[ad_1]
Zscaler هو عميل Business Reporter.
بحلول 17 أكتوبر، سيتعين على ما يقرب من 160.000 مؤسسة عبر 15 قطاعًا الالتزام بتوجيه NIS 2 الجديد في أوروبا حيث أنها تقع ضمن الفئات التنظيمية الموسعة. تصاحب هذه اللائحة المحدثة لأوروبا والشرق الأوسط وأفريقيا متطلبات أكثر صرامة لإدارة المخاطر والإبلاغ عن الحوادث، وتغطية أوسع للقطاعات، وعقوبات أكثر صرامة لعدم الامتثال.
لتعزيز نهج أكثر استباقية تجاه الأمن السيبراني، تم تقديم لوائح مثل التوجيه المحدث لأمن الشبكات والمعلومات، المعروف باسم NIS 2، لتزويد المؤسسات بعمليات وأطر الأمان الأساسية اللازمة لتعزيز نظافتها السيبرانية. تعد هذه المبادرة التنظيمية بمثابة استجابة لمشهد التهديدات غير المسبوق في يومنا هذا، حيث شجع التقدم في التقنيات مثل الذكاء الاصطناعي الجهات الفاعلة في البرامج الضارة على العثور على الثغرات الأمنية واستغلالها بشكل أسرع من أي وقت مضى. في مواجهة هذه البيئة الخطيرة وسريعة التطور، تدرك المزيد والمزيد من المؤسسات القيود المفروضة على نهجها الحالي التفاعلي للأمن السيبراني.
يدخل توجيه NIS 2 حيز التنفيذ في أكتوبر 2024، ويفرض على الإدارة داخل المؤسسات في فئات محددة تنفيذ تدابير إدارة مخاطر الأمن السيبراني. وهي تركز على البنية التحتية المادية والرقمية الحيوية داخل الدول الأعضاء في الاتحاد الأوروبي، ولكنها تتمتع أيضًا بمدى واسع النطاق بشكل مدهش. ولا ينطبق هذا فقط على المنظمات داخل الاتحاد الأوروبي، ولكن أيضًا على أي منظمة في جميع أنحاء العالم تقدم خدمات لأي من القطاعات المحمية داخل الاتحاد الأوروبي.
يختلف حجم شركة المؤسسات المتضررة حسب القطاع، ولكنه يتراوح من 50 موظفًا على الأقل للكيانات المهمة (IEs) وما لا يقل عن 250 موظفًا للكيانات الأساسية (EEs). يمكن للدول الأعضاء في الاتحاد الأوروبي فرض غرامات إدارية في حالات عدم الامتثال للشيكل الجديد. بالنسبة للكيانات الأساسية، يمكن للدول الأعضاء في الاتحاد الأوروبي فرض غرامات إدارية تصل إلى 10 ملايين يورو أو 2% من إجمالي حجم الأعمال السنوي في جميع أنحاء العالم في السنة المالية السابقة لعدم الامتثال. بالنسبة للكيانات المهمة، يمكن أن تصل الغرامات إلى 7 ملايين يورو أو 1.4% من إجمالي حجم الأعمال السنوي في جميع أنحاء العالم في السنة المالية السابقة.
هل الكيانات الأوروبية مستعدة للامتثال؟
في أبريل 2024، أجرت Zscaler دراسة استقصائية عبر ستة أسواق أوروبية، حيث أشركت أكثر من 875 من قادة تكنولوجيا المعلومات لتقييم تقدم المؤسسات في تلبية متطلبات الامتثال لـ NIS 2 قبل الموعد النهائي. وتكشف النتائج عن انفصال مثير للقلق بين مستويات الثقة لدى الشركات الأوروبية وفهمها لمتطلبات الامتثال الأساسية للشيكل 2، على الرغم من أهمية التوجيه. وتثير هذه الفجوة إنذارات بشأن احتمال الاندفاع في اللحظة الأخيرة نحو الامتثال، وهو ما قد يحول التركيز عن مخاوف حيوية أخرى تتعلق بالأمن السيبراني، وبالتالي تفاقم نقاط الضعف القائمة.
إن قادة تكنولوجيا المعلومات في جميع أنحاء المنطقة الأوروبية واثقون من أن مؤسساتهم ستكون قادرة على الوصول إلى الامتثال لـ NIS 2 قبل الموعد النهائي في أكتوبر، حيث يعتقد 80 في المائة ممن شملهم الاستطلاع أن هذا هو الحال. وفي الوقت نفسه، قال 14% من صناع القرار الذين شملهم الاستطلاع أنهم استوفوا بالفعل المتطلبات قبل أشهر من الموعد النهائي. وفي المملكة المتحدة، يعد مستوى الثقة أعلى قليلاً مقارنة بالدول المجاورة، حيث يثق 82 في المائة من قادة تكنولوجيا المعلومات في المملكة المتحدة بأن مؤسساتهم ستلبي متطلبات الامتثال لـ NIS 2 بحلول الموعد النهائي، ويزعم 15 في المائة أنهم قد استوفوا هذه المتطلبات بالفعل.
إن مستوى الثقة في الوصول إلى الامتثال في الوقت المناسب مرتفع وتحظى فرق تكنولوجيا المعلومات بدعم القيادة التي تدرك أهمية مثل هذه اللوائح لنجاح الأمن السيبراني. ومع ذلك، وعلى الرغم من اعتقاد قادة تكنولوجيا المعلومات القوي بأن مؤسساتهم ستصل إلى الامتثال في الوقت المناسب، يشير الاستطلاع إلى أن هذه الثقة قد تكون مبنية على أسس هشة. يعتقد نصف المشاركين الأوروبيين فقط (53%) أن فرقهم تفهمت تمامًا متطلبات الامتثال لـ NIS 2. وينخفض هذا إلى 49 في المائة عند سؤالهم عما إذا كانوا يشعرون بأن القيادة تفهم المتطلبات بشكل كامل. ويبدو أن المملكة المتحدة في طليعة اللعبة، حيث يرى 57 في المائة من المشاركين أن الفرق تتفهم متطلبات الامتثال، ويعتقد 56 في المائة من القادة أنهم يفهمون المتطلبات بشكل كامل.
إن مستوى الثقة المرتفع هذا ليس مفاجئًا، حيث يبدو أن المنظمات في المملكة المتحدة تتقدم قليلاً على أوروبا القارية في تبني اتجاهات التكنولوجيا. هناك عنصر من عقلية “حافظ على الهدوء واستمر في العمل” البريطانية، حيث أصبحت العديد من الشركات أكثر استعدادًا لقبول هذه التغييرات والتعامل مع الضربات. يبحث قادة الأعمال عن طرق عملية وفعالة للامتثال دون الاضطرار إلى تجريد كل شيء مرة أخرى وبدء عملياتهم الأمنية مرة أخرى.
هناك أيضًا رغبة أكبر لدى المؤسسات في المملكة المتحدة للاستفادة من التقنيات الجديدة بشكل أسرع لدعم إطارها الأمني المستمر. وفي الوقت نفسه، يبدو أن بقية أوروبا تشعر بالقلق بشأن تحقيق الامتثال للشيكل 2 بسبب المستوى الواسع من التخطيط الذي يمنع فعليًا أي تقدم للأمام في هذه المرحلة. وقد يحقق هذا النهج القاري مكاسب على المدى الطويل، ولكنه قد يؤخر العملية.
الثقة لا ترتبط بالفهم
وسلط التقرير الضوء أيضًا على الانفصال بين كيفية وضع التوجيه وكيف ينظر إليه قادة تكنولوجيا المعلومات. يتم وضع NIS 2 كتوجيه لتحسين الأمن الأساسي وباعتباره امتدادًا لإطار NIS الحالي. ومع ذلك، يعتقد ما يقرب من ثلثي (62%) الذين شملهم الاستطلاع أن هذا يمثل خروجًا كبيرًا عن استراتيجيتهم الحالية، وفي المملكة المتحدة يعتقد ما يقرب من ثلاثة أرباع المشاركين أن هذا هو الحال (74%). ويشير هذا إلى أن العديد من الشركات لم تكن تواكب الحلول التقنية المتطورة، بل ظلت تفلت من الحفاظ على الحد الأدنى من متطلبات الأمان لأطول فترة ممكنة.
وفي حين تم تأكيد هذا الافتراض من خلال حقيقة أن ثلث قادة تكنولوجيا المعلومات (32 في المائة) فقط في أوروبا القارية صنفوا نظافة الإنترنت الحالية لديهم على أنها ممتازة، فإن 45 في المائة من قادة تكنولوجيا المعلومات في المملكة المتحدة سيصنفون نظافة الإنترنت لديهم بالفعل على أنها ممتازة، بمجرد أكثر مما يعكس مستوى أعلى من الثقة. تم رسم صورة مماثلة عندما تم سؤال المؤسسات عما إذا كانت قد نفذت بالفعل بنية أمنية حديثة قائمة على الثقة المعدومة. قال خمسا المشاركين في جميع أنحاء أوروبا إن مؤسساتهم لم تنفذ بعد بنية انعدام الثقة كجزء من نهجها للأمن السيبراني، مع موافقة المملكة المتحدة على هذا السؤال بنسبة 39 في المائة.
وهذا يترك أمام المنظمات مساحة كبيرة للتعويض في الأشهر المتبقية قبل أن يتحول التوجيه إلى قوانين محلية على مستوى الدولة في جميع أنحاء أوروبا. وكانت المجالات المحددة التي حددها قادة تكنولوجيا المعلومات على أنها تحتاج إلى تغيير كبير لتصبح متوافقة هي تحديث مجموعة التكنولوجيا الخاصة بهم أو حلول الأمن السيبراني وتثقيف كل من الموظفين والقيادة. وأشار المشاركون أيضًا إلى ثلاثة مجالات من التوجيهات التي تسبب لهم التحدي الأكبر: الأمن في الشبكات وأنظمة المعلومات (31 في المائة)، والممارسات والتدريبات الأساسية للنظافة السيبرانية (30 في المائة)، والسياسات والإجراءات المتعلقة بفعالية الشبكة السيبرانية. تدابير إدارة المخاطر الأمنية (29 في المائة).
الطريق أمام الامتثال لـ NIS 2
تقليديًا، تقوم فرق تكنولوجيا المعلومات بتنفيذ تقنية جديدة فوق مجموعتها الحالية وتضغط على المفتاح لوضع علامة في مربع الامتثال. اليوم، هذا لا يكفي لحماية العقارات الرقمية. وبدلاً من ذلك، يجب أن تهدف فرق تكنولوجيا المعلومات إلى إزالة وتبسيط مجموعتها التكنولوجية، وتمكينها من أن تصبح أكثر مرونة وقدرة على تحديث بيئتها التنظيمية بوتيرة أسرع. ومع ذلك، هذا لا يعني أن التكنولوجيا لها دور أقل في جهود الامتثال. في الواقع، يعتقد 44% من قادة تكنولوجيا المعلومات أن الأدوات والخدمات ضرورية لنجاح تنفيذ NIS 2، وترتفع هذه النسبة إلى 54% في المملكة المتحدة.
التوجيهات الحكومية مثل NIS 2 تجبر المنظمات على مراجعة عملياتها الأمنية الحالية، وإذا لزم الأمر، تعزيزها إلى ما يعتبر الآن الطبقة الأساسية الحالية للحماية.
وهذا لن يؤدي بالضرورة إلى رفع سقف الأمن. في حين أنه من الممكن أن تكون متوافقة تمامًا مع NIS 2 على الورق، فإن المنظمات التي تتعامل معها بهذا الهدف النهائي وحده قد ينتهي بها الأمر إلى مستوى منخفض من الأمان التشغيلي. ويظهر البحث أن العديد من قادة تكنولوجيا المعلومات يفهمون ذلك ويدركون أن NIS 2 لا يذهب إلى أبعد من ذلك. تقول أغلبية كبيرة (71 بالمائة) من قادة تكنولوجيا المعلومات في جميع أنحاء أوروبا و80 بالمائة في المملكة المتحدة إن الحفاظ على الأمن السيبراني لمؤسسات اليوم يتطلب تغييرًا في العقلية لن يتم تحقيقه من خلال ممارسة الامتثال. علاوة على ذلك، يشكك 53 في المائة في مدى كفاية لوائح NIS 2 بالنظر إلى حجم تحدي الأمن السيبراني، مما يؤكد الحاجة إلى تدابير أكثر قوة.
مطلوب تغيير العقلية
مطلوب تغيير في الموقف لرفع الوضع الأمني لتكنولوجيا المعلومات في العصر الرقمي ونقل المؤسسات من تخفيف التهديدات الجارية إلى بناء نظرة شاملة لبيئتها التي تمكنها من تحديد مجالات المخاطر في وقت مبكر. وللقيام بذلك، يجب على فرق تكنولوجيا المعلومات ربط تقنياتها وأدواتها المتعددة في منصة حل واحدة، مثل Zero Trust Exchange من Zscaler. سيساعد ذلك المؤسسات على تقليل التعقيد التكنولوجي من خلال التحكم في الأذونات ومراقبة حركة المرور الرقمية من خلال مصدر واحد وتحديد الجهات الفاعلة في مجال التهديد والاستجابة لها، مما يقلل من الأضرار المحتملة وتأثير الهجمات.
يساعد تطبيق بنية الثقة المعدومة على تقليل سطح الهجوم الخاص بالمؤسسة، ويمنع الحركة الجانبية ويسمح للمؤسسات بربط المستخدم المناسب بالتطبيق الصحيح بشكل آمن دون تعريض شبكاتها إلى الإنترنت. وهذا يخفف بشكل كبير من مخاطر الهجمات بينما يساعد المؤسسات على تلبية متطلبات NIS2 للتعامل الآمن مع البيانات وضوابط الوصول وإدارة الحوادث.
في نهاية المطاف، تتطلب معالجة الامتثال لـ NIS 2 أكثر من مجرد تعديلات إجرائية؛ فهو يدعو إلى تحول أساسي نحو إدارة المخاطر الاستباقية واليقظة في مجال الأمن السيبراني. ومن خلال اعتماد هذا النهج الاستباقي فقط، يمكن للمؤسسات أن تتعامل بشكل فعال مع بيئة التهديدات الديناميكية وضمان حماية البنية التحتية الرقمية الخاصة بها.
لمزيد من المعلومات، قم بزيارة zscaler.com.
[ad_2]
المصدر