توجيه NIS2

كيف يعمل

ما يحدث فعلاً في الميدان: المراجع يستلم سياسة أمن معلومات بصياغة ممتازة، يطابقها مع قائمة ضوابط NIS2، يضع علامة، ويغلق القسم. المشكلة أن الموجّه لا يطلب وجود السياسة، بل يطلب إثبات أن الإدارة قيّمت المخاطر السيبرانية وتدخلت بناءً عليها. هذه فجوة كاملة بين ما يُختبر وما يُطلب.

دخل توجيه NIS2 حيز التنفيذ في يناير 2023، وكان على الدول الأعضاء نقله إلى تشريعاتها الوطنية بحلول 17 أكتوبر 2024. التوجيه يلزم المنظمات في القطاعات الأساسية (الطاقة، المياه، النقل، الصحة، البنية التحتية الرقمية، الإدارة العامة) والمهمة (الخدمات البريدية، إدارة النفايات، تصنيع الأجهزة الطبية، الغذاء) بتقييم منهجي لمخاطر الأمن السيبراني واعتماد تدابير تخفيف ملائمة. الفقرة 21 تحدد عشرة عناصر رقابة دنيا، والفقرة 23 تفرض الإبلاغ عن الحوادث الجسيمة خلال 24 ساعة من الكشف عنها.

من منظور المراجع، يتطلب معيار المراجعة ٣٤٠ فهم البيئة القانونية والتنظيمية ذات الصلة بالكيان. يعني هذا توثيق ما إذا كان NIS2 ينطبق على عميلك، وكيف عالجته الإدارة، وما إذا كان فهمك لذلك يصمد أمام مفتش جودة لاحق.

في الممارسة، السؤالان الأساسيان:

1. هل ينطبق التوجيه؟ التصنيف يربط التطبيق بحدود الموظفين، الإيرادات، والقطاع، وليس بهيكل الملكية. 2. إذا كان ينطبق، هل قيّمت الإدارة فعلياً المخاطر السيبرانية بموجب الفقرة 21، واعتمدت تدابير قابلة للتشغيل؟

هنا تبدأ المنطقة الرمادية. التمييز بين كيان "أساسي" و"مهم" يبدو واضحاً في الجدول التنظيمي وغامضاً في حالة الشركة الفعلية. شركة لوجستية متوسطة تخدم مستشفيات: هل هي أساسية بحكم العميل، أم مهمة بحكم الحجم؟ المعيار يرسل القرار إلى السلطة المختصة، والسلطة المختصة لم تنشر بعد إرشادات تفصيلية في كل دولة.

بيئة الرقابة الضعيفة في هذا المجال ترفع تقييمات مخاطر المادية المتعلقة بتوفر البيانات والبنية التحتية وفق معيار المراجعة ٣١٥ (المعدل ٢٠١٩).

مثال عملي: شركة بولندية لإمداد الطاقة

العميل: مورد كهرباء، إيرادات السنة المالية 2024 بقيمة 180 مليون يورو، تقارير IFRS.

الخطوة 1: تحديد نطاق التطبيق

موفرو الكهرباء للمناطق السكنية والتجارية مصنفون كيانات أساسية بموجب الملحق الأول من التوجيه. وثّقت في ورقة العمل A-10: "الشركة مصنفة كيان أساسي. التزام NIS2 ساري. تقييم المخاطر مرتفع."

الخطوة 2: تقييم جهود الإدارة

التقيت برئيس تكنولوجيا المعلومات وطلبت ثلاثة أشياء: نتائج تقييم المخاطر السيبرانية، الفجوات المحددة، خطة المعالجة. الشركة أجرت تقييماً، لكن التوثيق كان موجزاً للغاية. تقييم يناير 2024 حدد ثلاث مجالات ضعف: غياب نظام مراقبة الوصول المركزي، نقص خطة الاستجابة للحوادث، غياب التدريب السنوي. الجدول الزمني للمعالجة لم يكن واضحاً.

الخطوة 3: تعقيد منتصف العام

في يونيو، اشترى العميل شركة برمجيات صغيرة من خارج الاتحاد الأوروبي. هل تدخل في نطاق NIS2 الآن؟ المعيار يربط التطبيق بحدود الإيرادات والقطاع، وليس بالملكية. لكن البنية التحتية المشتراة باتت تعالج بيانات تشغيلية للكيان الأساسي. كيف يوثق المراجع الفجوة بين تاريخ الاستحواذ وتاريخ الالتزام؟ نقاش طويل مع شريك جودة المراجعة انتهى بقرار توسيع نطاق الاختبار ليشمل الأنظمة المضمومة، مع ملاحظة صريحة أن السلطة المختصة لم تُسأل بعد عن الحالة.

الخطوة 4: اختبار الفعالية

اختبار ضوابط الوصول: عينة من 10 حسابات إدارية، 7 منها تم منحها بمراجعة يدوية لا تتضمن ضابطاً تقنياً. نسبة الفشل 70%. خطة الاستجابة للحوادث موجودة في ملف PDF لكنها لم تُختبر فعلياً. حبراً على ورق. أعتقد أن أكثر من نصف الملفات التي تدّعي تغطية NIS2 لا تختبر فعلياً زمن الاستجابة للإبلاغ خلال 24 ساعة، لأن الاختبار يتطلب محاكاة فعلية، ومحاكاة الحوادث ليست في موازنة الأتعاب.

الخطوة 5: الملاحظة

"فشل الكيان في تنفيذ ضوابط تقنية فعالة للتحكم في الوصول، ولم يختبر خطة الاستجابة للحوادث منذ اعتمادها. بيئة الرقابة الضعيفة تثير أسئلة بشأن موثوقية البيانات المالية المعتمدة على هذه الأنظمة." الإدارة وافقت على تسريع التنفيذ، وحُلّت الملاحظة في النسخة النهائية.

ما الذي يخطئ به المراجعون والممارسون

ما نراه فعلاً: فرق المراجعة تجمع سياسات الأمن، تطابقها مع قائمة الفقرة 21، وتضع علامة "ممتثل". هذه إجراءات صورية. السياسة على الرف لا تثبت أن الإدارة قيّمت المخاطر، ولا تثبت أن المجلس فهمها.

في مكتبنا، لاحظنا أن الفجوة الأكبر ليست في الضوابط التقنية، بل في توثيق نقاش المجلس. الموجّه يلزم المجلس بتقييم المخاطر السيبرانية شخصياً، لكنه لا يحدد ما يكفي لإثبات أن المجلس فهم. هذا الغموض هو حيث ستتمحور النزاعات في السنوات الثلاث الأولى من التطبيق.

التصنيف الخاطئ: بعض الفرق تصنف مخاطر NIS2 متوسطة وتتجاهلها لاحقاً. الفشل في التحكم بالوصول قد يؤدي إلى تشويه بيانات على مستوى النظام، ويستحق تصنيف "مرتفع".

اختزال الالتزام إلى الوعي: توثيق أن الشركة "على دراية" بـ NIS2 لا يكفي. تقييم الإدارة نفسها للالتزام، أي ما عرّفوه على أنه مخاطر حقيقية وكيف تدخلوا، هو ما يجب التحقق منه.

نقطة خلاف بين ممارسين أكبر مني: شركة سعودية لها فروع أوروبية. هل تطبق NIS2 على الضوابط التقنية للشركة الأم في الرياض، أم فقط على الفروع الأوروبية؟ شريك أعمل معه يقول: التوجيه إقليمي، النطاق ينتهي عند حدود الفرع. شريك آخر يقول: إذا كانت الشركة الأم تستضيف البنية التحتية المركزية للفرع الأوروبي، فإن ضوابطها تدخل في النطاق بحكم الأمر الواقع. كلاهما صحيح من زاوية معينة. حسب خبرتي، السلطة المختصة في الدولة العضو هي من سيحسم القرار لاحقاً، وعلى المراجع توثيق المنطق المتبع لا الادعاء بأن الإجابة قاطعة.

نقطة خلاف ثانية: هل عطل في الخدمة دون تسريب بيانات يستوفي عتبة الإبلاغ بموجب الفقرة 23؟ التوجيه يستخدم "حادث جسيم" دون تعريف رقمي صارم. اثنان من زملائنا يختلفان حول هذا في كل ملف.

المقارنة: NIS2 و DORA و معيار المراجعة 320

NIS2 ليس بديلاً لتقييم الأهمية النسبية بموجب معيار المراجعة 320. يعدّل بيئة الرقابة التي قيّمتها. الكيانات التي فشلت في الامتثال قد يكون لديها بيئة رقابة أضعف على مستوى النظام، مما يرفع الأهمية النسبية الأدائية. عينة أكبر، حد أعلى لتراكم الأخطاء.

DORA (تنظيم المرونة التشغيلية الرقمية) يطبق على القطاع المالي حصراً ودخل التطبيق في يناير 2025. التداخل: مؤسسة مالية في الاتحاد الأوروبي قد تكون في نطاق DORA و NIS2 معاً. في الممارسة، DORA أكثر تفصيلاً في متطلبات الإبلاغ والاختبار، وهو ما يستخدمه المراجع كنقطة مرجعية حتى لكيانات NIS2 غير المالية.

هذا هو نوع الإطار الذي يبدو واضحاً في الصياغة وغامضاً في التطبيق، وهو السبب الذي يجعل الفرق المهنية تتجنب أن تكون أول من يبدي رأياً صريحاً عليه.

المصطلحات ذات الصلة

- معيار المراجعة 340 - كيفية تقييم مخاطر البيانات المالية عند وجود ضوابط معلومات ضعيفة - بيئة الرقابة - الإطار العام للضوابط الداخلية التي توجهها الإدارة والمجلس - معيار المراجعة 315 - متطلبات فهم الكيان والبيئة التنظيمية التي يعمل فيها - أمن المعلومات والضوابط التقنية - الفحوصات والإجراءات التحليلية المتعلقة بتكنولوجيا المعلومات

---