السياق: تحدي التنظيم المزدوج
منذ يناير 2025، باتت كثير من كيانات القطاع المالي في الاتحاد الأوروبي خاضعةً في آنٍ واحد لتشريعَين رئيسيَّين للأمن السيبراني: توجيه NIS2 (التوجيه 2022/2555) وقانون المرونة التشغيلية الرقمية (اللائحة 2022/2554، المعروفة بـ DORA). يثير سيناريو التنظيم المزدوج هذا تساؤلات مشروعة حول المتطلبات المتداخلة والتعارضات المحتملة وكيفية بناء برنامج امتثال يُرضي كلا الإطارَين بكفاءة.
كُتب هذا التحليل لضباط الامتثال والمدققين ومديري المخاطر الذين يحتاجون إلى فهم أوجه تقاطع الإطارَين وتباعدهما وكيفية تجنب ازدواجية الجهد وثغرات الامتثال معاً.
مبدأ القانون الخاص: المادة 4 من NIS2
تُرسي المادة 4 من توجيه NIS2 مبدأً قانونياً حاسماً: حيث يشترط قانون اتحادي قطاعي خاص على الكيانات الأساسية أو المهمة اتخاذ تدابير إدارة مخاطر الأمن السيبراني أو الإخطار بالحوادث الجوهرية، وحيث تكون تلك المتطلبات مكافئةً في أثرها على الأقل للالتزامات الواردة في NIS2، يسود القانون القطاعي الخاص.
يُعترف صراحةً بـ DORA بوصفه قانوناً قطاعياً خاصاً من هذا النوع للقطاع المالي. عملياً، يعني ذلك:
- في المجالات التي تُقدِّم فيها DORA متطلبات مكافئة أو أشد، تسود DORA على الكيانات المالية.
- في المجالات التي تغطي فيها NIS2 مسائل لا تتناولها DORA، تظل التزامات NIS2 سارية.
- لا يُنشئ مبدأ القانون الخاص إعفاءً شاملاً من NIS2 — بل يُنشئ تسلسلاً هرمياً يجب تقييمه متطلباً بمتطلب.
كثيراً ما يُساء فهم هذه الدقة. يجب على ضباط الامتثال إجراء رسم خرائط على مستوى المتطلبات، لا افتراض أن الامتثال لـ DORA يُرضي تلقائياً جميع التزامات NIS2.
مقارنة شاملة: متطلبات NIS2 مقابل DORA
يُقدِّم الجدول التالي رسم خرائط تفصيلياً لمجالات المتطلبات الرئيسية عبر كلا الإطارَين، مُحدِّداً التداخلات والفجوات والإطار الذي يسود للكيانات المالية.
| مجال المتطلب | متطلب NIS2 | مكافئ DORA | تحليل التداخل / الفجوة |
|---|---|---|---|
| إدارة المخاطر | المادة 21(1): تدابير تقنية وتشغيلية وتنظيمية ملائمة ومتناسبة قائمة على نهج شامل للمخاطر | المواد 6-16: إطار إدارة مخاطر ICT تفصيلي مع متطلبات محددة للتحديد والحماية والكشف والاستجابة والتعافي والتعلم | تسود DORA. DORA أكثر تفصيلاً بكثير في إدارة مخاطر ICT. ينبغي للكيانات المالية استخدام إطار DORA أساساً أولياً للامتثال. |
| الإبلاغ عن الحوادث | المادة 23: إنذار مبكر خلال 24 ساعة، إخطار بالحادث خلال 72 ساعة، تقرير نهائي خلال شهر | المادة 19: إخطار أولي، تقارير وسيطة، وتقرير نهائي للجهة المختصة. معايير تصنيف محددة للحوادث الكبرى المتعلقة بـ ICT. | تسود DORA لحوادث ICT. تختلف جداول الإبلاغ ومعايير التصنيف. قد تنطبق NIS2 على حوادث أمنية من غير ICT تؤثر في شبكات وأنظمة المعلومات. |
| أمن سلسلة التوريد | المادة 21(2)(د): أمن سلسلة التوريد بما يشمل الجوانب الأمنية للعلاقات بين الكيانات وموردِّيها أو مزودي خدماتها المباشرين | المواد 28-44: إطار شامل لإدارة مخاطر الجهات الخارجية في ICT، يشمل المتطلبات التعاقدية والرقابة على مزودي ICT الحيويين من الجهات الخارجية ومخاطر التركز | DORA تذهب أبعد بكثير. تُنشئ DORA إطاراً رقابياً لمزودي ICT الحيويين من الجهات الخارجية لا يوجد ما يكافئه في NIS2. الكيانات المالية تستفيد من متطلبات سلسلة التوريد الأكثر تفصيلاً في DORA. |
| الاختبار | المادة 21(2)(و): سياسات وإجراءات لتقييم فعالية تدابير إدارة مخاطر الأمن السيبراني | المواد 24-27: اختبار المرونة التشغيلية الرقمية بما يشمل اختبار الاختراق القائم على التهديدات (TLPT) للكيانات الهامة، واختبار متناسب للكيانات الأخرى | DORA تذهب أبعد. تُفرض DORA منهجيات اختبار محددة بما فيها TLPT (المستند إلى إطار TIBER-EU). NIS2 أقل تفصيلاً في مناهج الاختبار. |
| الحوكمة | المادة 20: يجب على هيئات الإدارة الموافقة على تدابير إدارة مخاطر الأمن السيبراني والإشراف على تنفيذها ويمكن مساءلتها. يجب على الأعضاء المشاركة في التدريب. | المادة 5: هيئة الإدارة تتحمل المسؤولية النهائية عن إدارة مخاطر ICT. يجب تحديد إطار إدارة مخاطر ICT واعتماده والإشراف على تنفيذه واستراتيجية المرونة التشغيلية الرقمية. | تداخل جوهري. كلاهما يشترط مساءلة هيئة الإدارة. DORA أكثر تحديداً فيما يخص إطار إدارة مخاطر ICT الذي يجب على هيئة الإدارة اعتماده. الامتثال لـ DORA المادة 5 يفي إلى حد بعيد بـ NIS2 المادة 20 للمسائل المتعلقة بـ ICT. |
| تبادل المعلومات | المادة 29: ترتيبات تطوعية لتبادل معلومات التهديدات السيبرانية بين الكيانات الأساسية والمهمة | المادة 45: تبادل تطوعي لمعلومات التهديدات السيبرانية بين الكيانات المالية، بما يشمل مؤشرات الاختراق والأساليب والتنبيهات | أحكام متوازية. كلاهما يشجع التبادل التطوعي للمعلومات. DORA قطاعية التخصص. قد تشارك الكيانات المالية في ترتيبات التبادل العامة (NIS2) والقطاعية المالية (DORA) معاً. |
| استمرارية الأعمال | المادة 21(2)(ج): استمرارية الأعمال بما يشمل إدارة النسخ الاحتياطي والتعافي من الكوارث وإدارة الأزمات | المواد 11-12: سياسة استمرارية أعمال ICT، خطط الاستجابة والتعافي لـ ICT، سياسات النسخ الاحتياطي، إجراءات الاستعادة والتعافي | تسود DORA. DORA تُقدِّم متطلبات أكثر تفصيلاً لاستمرارية ICT والتعافي. قد تظل متطلبات NIS2 لاستمرارية الأعمال الأوسع نطاقاً (غير ICT) سارية. |
| معالجة الثغرات | المادة 21(2)(ه): معالجة الثغرات والإفصاح عنها | المواد 7-8 (ضمن إدارة المخاطر): تحديد وتقييم ثغرات ICT كجزء من إطار الحماية والوقاية | NIS2 أوسع نطاقاً. تتناول NIS2 صراحةً الإفصاح المنسَّق عن الثغرات. تتناول DORA إدارة الثغرات ضمن إطار إدارة مخاطر ICT لكنها لا تعالج عمليات الإفصاح العام بالقدر ذاته. |
| التشفير والتعمية | المادة 21(2)(ح): سياسات وإجراءات بشأن استخدام التشفير والتعمية حيثما اقتضى الأمر | المادة 9(4)(د): تدابير أمن البيانات بما فيها الأساليب التشفيرية كجزء من إدارة مخاطر ICT | نطاق مقارن. كلاهما يشترط ضوابط تشفيرية ملائمة. تُدمج DORA هذا الجانب ضمن إطار إدارة مخاطر ICT الأشمل. تُدرجه NIS2 بوصفه مجال متطلب مستقلاً. |
| ضبط الوصول والمصادقة | المواد 21(2)(ط-ي): سياسات ضبط الوصول؛ استخدام MFA أو حلول المصادقة المستمرة | المادة 9(4)(ج): سياسات ضبط الوصول بما فيها آليات المصادقة القوية | نطاق مقارن. كلاهما يشترط ضوابط وصول قوية ومصادقة متينة. DORA أقل تحديداً في MFA لكنها تشترط مصادقة قوية ضمن الإطار القائم على المخاطر. |
حيث تذهب NIS2 أبعد من DORA
يجب أن ينتبه ضباط الامتثال بشكل خاص للمجالات التي قد لا يُغطِّيها الامتثال لـ DORA بالكامل:
- نطاق أوسع لشبكات وأنظمة المعلومات: تنطبق NIS2 على جميع شبكات وأنظمة المعلومات المستخدمة في تقديم الخدمات، لا على أنظمة ICT بالمعنى المقصود في DORA فحسب. أنظمة التكنولوجيا التشغيلية وأنظمة الأمن المادي ذات الاتصال الشبكي وأنظمة إدارة المباني قد تندرج ضمن NIS2 لكنها خارج تركيز DORA على ICT.
- الإفصاح المنسَّق عن الثغرات: تتناول NIS2 صراحةً عمليات الإفصاح عن الثغرات. الكيانات المالية التي تكتشف ثغرات في برمجيات مستخدمة على نطاق واسع قد يكون لها التزامات بموجب NIS2 لا تعالجها DORA.
- سلسلة التوريد خارج ICT: تغطي المادة 21(2)(د) من NIS2 أمن سلسلة التوريد على نطاق واسع، بما فيه الموردون من غير ICT الذين تؤثر خدماتهم في أمن شبكات وأنظمة المعلومات. تركز DORA تحديداً على مزودي خدمات ICT التابعين لجهات خارجية.
- آليات تعاون الدول الأعضاء: تُنشئ NIS2 فرق CSIRT ومجموعة التعاون وEU-CyCLONe للتعاون عبر الحدود. قد تحتاج الكيانات المالية إلى التفاعل مع هذه الآليات للجوانب غير المالية من عملياتها.
حيث تذهب DORA أبعد من NIS2
تُقدِّم DORA متطلبات أكثر تفصيلاً بكثير في عدة مجالات:
- إدارة مخاطر ICT التابعة لجهات خارجية: تُنشئ المواد 28-44 من DORA إطاراً شاملاً لإدارة مخاطر ICT التابعة لجهات خارجية، يشمل أحكاماً تعاقدية إلزامية (المادة 30) وتقييم مخاطر التركز وإطاراً رقابياً لمزودي ICT الحيويين من الجهات الخارجية (المواد 31-44) مع إشراف مباشر من سلطات الإشراف الأوروبية. ليس لـ NIS2 ما يضاهي ذلك.
- اختبار المرونة التشغيلية الرقمية: تُفرض DORA اختبار الاختراق القائم على التهديدات (TLPT) للكيانات المالية الهامة، مع متطلبات محددة لنطاق الاختبار ومنهجيته وإعداد تقاريره. تشترط NIS2 اختبار الفعالية لكنها أقل تفصيلاً.
- تصنيف الحوادث المتعلقة بـ ICT: تُقدِّم DORA معايير تفصيلية لتصنيف الحوادث الكبرى المتعلقة بـ ICT، بما فيها عتبات التأثير عبر الحدود. تصنيف الحوادث في NIS2 أكثر عمومية.
- استراتيجية المرونة التشغيلية الرقمية: تشترط DORA استراتيجية رسمية للمرونة التشغيلية الرقمية تعتمدها هيئة الإدارة مع متطلبات محددة للمحتوى. لا تُفرض NIS2 وثيقة استراتيجية مماثلة.
توصيات عملية للكيانات الخاضعة للتنظيم المزدوج
بناءً على تحليل التداخل أعلاه، يجب على ضباط الامتثال في الكيانات الخاضعة للتنظيم المزدوج النظر في النهج التالي:
1. البناء على DORA بوصفها الإطار الأساسي
بما أن DORA أكثر تفصيلاً لمعظم المتطلبات المتعلقة بـ ICT، استخدم الامتثال لـ DORA أساساً. ارسم خرائط لمتطلبات NIS2 في مقابل برنامج الامتثال لـ DORA لتحديد الفجوات بدلاً من بناء برنامجَين منفصلَين.
2. إجراء تحليل رسمي للفجوات
وثِّق رسم خرائط متطلب بمتطلب بين NIS2 وDORA لمؤسستك. حدِّد أين يُرضي الامتثال لـ DORA متطلبات NIS2 (مستفيداً من مبدأ القانون الخاص)، وأين تُضيف NIS2 متطلبات تتجاوز DORA، وأين يستلزم الإطاران أدلة أو وثائق مختلفة.
3. معالجة الفجوات الخاصة بـ NIS2
في المجالات التي تتجاوز فيها NIS2 متطلبات DORA، نفِّذ ضوابط وتوثيقاً إضافيَّين. من المرجح أن تستلزم المجالات الرئيسية تدابير تكميلية: أمن سلسلة التوريد من غير ICT، والنطاق الأوسع لشبكات وأنظمة المعلومات، وعمليات الإفصاح عن الثغرات.
4. توحيد عمليات الإبلاغ
تختلف التزامات الإبلاغ عن الحوادث بين الإطارَين من حيث الجداول الزمنية والجهات والمعايير. أنشئ عملية إدارة حوادث واحدة قادرة على استيفاء متطلبات الإبلاغ لكلَّي الإطارَين، مع شجرات قرار واضحة بشأن الجهة التي يجب إخطارها ومتى.
5. الحفاظ على سجل مخاطر واحد
لا تحتفظ بسجلَّي مخاطر منفصلَين لـ NIS2 وDORA. استخدم سجل مخاطر ICT وسيبراني واحداً متكاملاً يُصنِّف المخاطر حسب اللائحة المنطبقة. يتجنب هذا الازدواجية ويضمن اتساق معالجة المخاطر.
ما يجب على المدققين التحقق منه للامتثال المزدوج
يجب على المدققين الذين يقيِّمون الكيانات الخاضعة للتنظيم المزدوج فحص:
- وثائق رسم الخرائط: هل أنتج الكيان رسم خرائط رسمياً من NIS2 إلى DORA يحدد الإطار المنطبق على كل مجال متطلب؟
- تحليل الفجوات: هل ثمة دليل على تحليل منهجي للفجوات يحدد أين لا يُغطِّي الامتثال لـ DORA التزامات NIS2؟
- تبرير مبدأ القانون الخاص: حيث يستند الكيان إلى مبدأ القانون الخاص، هل المبرر موثَّق وقابل للدفاع عنه لكل متطلب؟
- تقييم النطاق: هل قيَّم الكيان ما إذا كانت أي من شبكاته وأنظمة معلوماته تقع خارج نطاق ICT في DORA لكنها ضمن النطاق الأوسع لـ NIS2؟
- إجراءات الإبلاغ عن الحوادث: هل يمتلك الكيان إجراءات واضحة لتحديد التزامات الإبلاغ المنطبقة على أنواع مختلفة من الحوادث؟
- هيكل الحوكمة: هل تتلقى هيئة الإدارة تقارير تغطي التزامات NIS2 وDORA معاً، أم ثمة نقاط عمياء في الحوكمة؟
- أدلة الضوابط التكميلية: للمتطلبات الخاصة بـ NIS2 غير المغطاة بـ DORA، هل الضوابط موجودة وموثَّقة بالأدلة؟
موارد ذات صلة
لمزيد من التحليل حول التداخل التنظيمي ومعمارية الامتثال، انظر:
- مقارنة معمارية NIS2 مقابل DORA
- معمارية الامتثال المزدوج — شرح تفصيلي
- نظرة عامة على الامتثال لـ DORA
- نظرة عامة على الامتثال لـ NIS2
موارد ذات صلة للمدققين
- المسرد — تعريفات بلغة بسيطة للمصطلحات التقنية
- DORA المادة 21 — تحليل معمَّق
- DORA المادة 28 — شرح تفصيلي
- قائمة تدقيق الاستعداد للتدقيق
هل أنت جديد على تدقيق CI/CD؟ ابدأ بـ دليل المدقق.
