تتخلف معظم دول الاتحاد الأوروبي عن الموعد النهائي للوفاء بقواعد الأمن السيبراني الجديدة
تعمل الشركات جاهدة لتغيير ثقافتها داخليًا للتأكد من أنها تأخذ تهديد الخروقات الإلكترونية وحوادث انقطاع التيار الكهربائي على محمل الجد. أندرو بروكس | مصدر الصورة | Getty Images بدأت لوائح الاتحاد الأوروبي الجديدة التي تتطلب من الشركات تعزيز دفاعاتها السيبرانية بداية بطيئة حيث فشلت العديد من الدول الأعضاء في اعتماد القواعد في الوقت المناسب للوفاء بموعد نهائي رئيسي للتنفيذ، وفقًا لبحث يراقب التقدم المحرز في التوجيه. شيكل 2 توجيهات الأمن السيبراني يضع معيارًا عاليًا للشركات فيما يتعلق بأنظمة وممارسات الأمن السيبراني الداخلية الخاصة بها. وهو يفرض متطلبات أكثر صرامة حول إدارة المخاطر والتزامات الشفافية والتخطيط لاستمرارية الأعمال، في حالة حدوث خرق إلكتروني. وفي يوم الخميس، أصبح التوجيه الجديد قابلاً للتنفيذ رسميًا من قبل الدول الأعضاء. وهذا يعني أنه يتعين على الشركات الآن التأكد من أن عملياتها تتوافق مع القواعد. ومع ذلك، فإن معظم الدول الأعضاء في الاتحاد الأوروبي لم تنفذ بعد الشيكل 2 في قوانينها الوطنية، مما يعني أن التنفيذ من المرجح أن يكون متقطعًا. ولم تبدأ دولتان – البرتغال وبلغاريا – في عملية نقل الشيكل 2، حيث يتم دمج التوجيهات في القوانين الوطنية للدول الأعضاء في الاتحاد الأوروبي، وفقا ل أداة تعقب من منظمة أبحاث الإنترنت اتحاد أبحاث DNS. ولم تكن حكومتا البرتغال وبلغاريا متاحة على الفور للتعليق عندما اتصلت بهما CNBC يوم الأربعاء. وقال تيم رايت، الشريك والمحامي التكنولوجي في Fladgate، لـ CNBC عبر البريد الإلكتروني: “تختلف حالة التنفيذ بشكل كبير عبر الكتلة”.ما هو NIS 2؟ NIS 2 – أو توجيه أمن الشبكات والمعلومات 2 – هو توجيه من الاتحاد الأوروبي يهدف إلى زيادة أمن أنظمة وشبكات تكنولوجيا المعلومات عبر الكتلة. تم اقتراح القانون لأول مرة في عام 2020، وهو بمثابة تحديث لتوجيه سابق يسمى NIS. NIS 2 يوسع نطاق سابقه لمعالجة تحديات وتهديدات الأمن السيبراني الأحدث، حيث وجد المجرمون طرقًا جديدة لاختراق الشركات وتعريض بياناتها الحساسة للخطر. وينطبق التوجيه على المنظمات التي تعمل داخل الاتحاد الأوروبي وتقدم الخدمات الأساسية للمستهلكين، بما في ذلك البنوك وموردي الطاقة ومؤسسات الرعاية الصحية ومقدمي الإنترنت وشركات النقل ومعالجي النفايات. سيكون على الشركات “واجب الرعاية” للإبلاغ و مشاركة المعلومات حول نقاط الضعف والاختراقات الإلكترونية مع الشركات الأخرى بموجب اللائحة الجديدة – حتى لو كان ذلك يعني الاعتراف بكونك ضحية لاختراق إلكتروني. إذا وقعت شركة ما ضحية لاختراق إلكتروني، فسيكون أمامها 24 ساعة لتقديم شكوى مبكرة إشعار تحذيري للسلطات – وهو جدول زمني أكثر صرامة من النافذة التي تبلغ 72 ساعة والتي يتعين على الشركات إخطار السلطات بشأن انتهاك البيانات بموجب اللائحة العامة لحماية البيانات، وهو قانون منفصل لخصوصية البيانات في الاتحاد الأوروبي. وسيتعين على الشركات أيضًا فحص بائعي التكنولوجيا الخاصين بها واحدًا تلو الآخر واحد للتهديدات السيبرانية ونقاط الضعف.هل ستكون فعالة؟ قال رايت من فلادجيت إن فعالية NIS2 كلائحة ستعتمد إلى حد كبير على التنفيذ والإنفاذ المتسقين عبر الدول الأعضاء في الاتحاد الأوروبي. وقال لـ CNBC: “الموردون والموردين الأقل أمانًا للوصول إلى مؤسسات أكبر وأكثر حماية بشكل أفضل”. تعمل الشركات على تشكيل عملياتها الداخلية وضوابطها وثقافتها الأوسع حول الأمن السيبراني لسنوات قبل الموعد النهائي يوم الخميس. وقال غاو، رئيس السياسة العامة للاتحاد الأوروبي في شركة سيسكو للتكنولوجيا، إن الطبيعة المتقطعة لتنفيذ NIS 2 “قد تفاقمت بسبب التكيف المحلي للقانون”. وهذا بدوره “يخلق تناقضات قد يكون من الصعب التعامل معها، خاصة “للمنظمات الصغيرة ذات الموارد المحدودة،” قال جاو لـ CNBC في تعليقات عبر البريد الإلكتروني. وأوصى بأنه بدلاً من “الإرهاق” بسبب التناقضات في التعديلات المحلية لـ NIS 2، يجب على المنظمات “تحديد جوهر مشترك للضوابط والعمليات الأمنية التي تجعلها في وضع صعب”. وضع جيد للوفاء وإظهار الامتثال على نطاق واسع.”ماذا لو فشلت الشركة في الالتزام؟ بالنسبة للكيانات “الأساسية” مثل شركات النقل والتمويل والمياه، يمكن أن يؤدي عدم الالتزام بقانون 2 شيكل إلى غرامات تصل إلى 10 ملايين يورو (10.9 مليون دولار) أو 2% من الإيرادات السنوية العالمية – أيهما وفي الوقت نفسه، تتطلع الشركات “المهمة” – مثل شركات الأغذية وشركات المواد الكيميائية وخدمات إدارة النفايات – إلى فرض غرامات تصل إلى 7 ملايين يورو أو 1.4% من إيراداتها السنوية العالمية بسبب الانتهاكات. ويمكن أن تواجه الشركات أيضًا احتمالات تعليق الخدمة إذا فشلوا في الالتزام بـ NIS 2، بالإضافة إلى الإشراف الدقيق.” وقال كارل ليونارد، استراتيجي الأمن السيبراني في أوروبا والشرق الأوسط وأفريقيا في Proofpoint، لـ CNBC: “لقد تم وضع خط أساس فيما يتعلق بتدابير إدارة المخاطر والتخفيف منها، بما في ذلك التعامل مع الحوادث، وتدريب الموظفين، ومساءلة القيادة وغيرها الكثير”. وأضاف ليونارد. (علامات للترجمة) الأخبار العاجلة: السياسة (ر) التكنولوجيا (ر) الأخبار العاجلة: التكنولوجيا (ر) السياسة (ر) أخبار الأعمال
المصدر
