جزء من سلسلة Compliance & Regulation
اقرأ الدليل الكاملالمتطلبات التنظيمية للأمن السيبراني حسب المنطقة: خريطة الامتثال للشركات العالمية
**قامت أكثر من 70 دولة بسن أو تحديث لوائح الأمن السيبراني منذ عام 2023. ** يتطور المشهد التنظيمي بشكل أسرع مما تستطيع معظم الشركات تتبعه. ما كان توجيهًا طوعيًا قبل عامين أصبح الآن قانونًا قابلاً للتنفيذ مع عقوبات كبيرة. يرسم هذا الدليل المتطلبات التنظيمية للأمن السيبراني عبر المناطق الرئيسية، مما يساعد الشركات العالمية على فهم التزاماتها وتحديد أولويات الامتثال.
الوجبات الرئيسية
- قام NIS2 (الاتحاد الأوروبي) بتوسيع التزامات الأمن السيبراني لتشمل أكثر من 160.000 منظمة، مع المسؤولية الشخصية للإدارة
- تتطلب قواعد الكشف عن الأمن السيبراني لدى هيئة الأوراق المالية والبورصة (SEC) من الشركات العامة الأمريكية الإبلاغ عن الحوادث المادية خلال 4 أيام عمل
- تتباين القواعد التنظيمية لمنطقة آسيا والمحيط الهادئ على نطاق واسع: وتتصدر سنغافورة وأستراليا هذه القواعد، في حين لا تزال بلدان أخرى تعمل على تطوير أطر العمل
- إطار أمني موحد (ISO 27001 أو NIST CSF) يلبي 60-80% من المتطلبات الإقليمية على مستوى العالم
الخريطة التنظيمية الإقليمية
الاتحاد الأوروبي
| اللائحة | فعالة | النطاق | المتطلبات الرئيسية | العقوبات |
|---|---|---|---|---|
| توجيه NIS2 | أكتوبر 2024 | الجهات الأساسية والمهمة (18 قطاعاً) | إدارة المخاطر، الإبلاغ عن الحوادث (24 ساعة/72 ساعة)، أمن سلسلة التوريد، المساءلة الإدارية | 10 مليون يورو أو 2% إيرادات (أساسية)، 7 مليون يورو أو 1.4% (مهم) |
| دورا | يناير 2025 | القطاع المالي (البنوك، التأمين، الاستثمار، مزودي تكنولوجيا المعلومات والاتصالات) | إدارة مخاطر تكنولوجيا المعلومات والاتصالات، تصنيف/الإبلاغ عن الحوادث، اختبار المرونة، مخاطر الطرف الثالث | متناسب مع حجم الكيان |
| قانون المرونة السيبرانية | 2027 (مراحل) | المنتجات ذات العناصر الرقمية | آمن حسب التصميم، ومعالجة الثغرات الأمنية، وSBOM، وعلامة CE | إيرادات 15 مليون يورو أو 2.5% |
| اللائحة العامة لحماية البيانات (الجوانب الأمنية) | 2018 | أي منظمة تعالج البيانات الشخصية للاتحاد الأوروبي | "الإجراءات الفنية والتنظيمية المناسبة" | إيرادات 20 مليون يورو أو 4% |
تغييرات مفتاح NIS2 من NIS1:
- توسعت من ~10,000 إلى ~160,000 منظمة
- الهيئات الإدارية مسؤولة شخصيا عن الامتثال
- "إنذار مبكر" إلزامي لمدة 24 ساعة للحوادث الكبيرة
- متطلبات أمن سلسلة التوريد
- غرامات لا تقل عن 10 ملايين يورو للكيانات الأساسية
###الولايات المتحدة
| اللائحة | فعالة | النطاق | المتطلبات الرئيسية | العقوبات |
|---|---|---|---|---|
| قواعد الأمن السيبراني SEC | ديسمبر 2023 | الشركات العامة الأمريكية | الإفصاح عن الحوادث الجوهرية (4 أيام عمل)، التقارير السنوية لإدارة المخاطر | إجراءات إنفاذ هيئة الأوراق المالية والبورصة |
| تقارير CISA (CIRCIA) | 2026 (مقترح) | البنية التحتية الحيوية (16 قطاعاً) | الإبلاغ عن الحوادث على مدار 72 ساعة، والإبلاغ عن دفعات برامج الفدية على مدار 24 ساعة | العقوبات المدنية |
| قانون لجنة التجارة الفيدرالية (القسم 5) | مستمرة | الشركات العاملة في التجارة | ممارسات أمنية "معقولة"، وإنفاذ الممارسات "غير العادلة" | يختلف (أوامر الموافقة، الغرامات) |
| قوانين الخصوصية في الولاية (CA، CO، CT، VA، إلخ.) | متنوع | الشركات التي تستوفي عتبات الدولة | الممارسات الأمنية، إشعار الانتهاك (يختلف حسب الدولة) | إنفاذ الدولة AG |
| قاعدة أمان HIPAA | 2005 (محدث) | كيانات الرعاية الصحية وشركاء الأعمال | الضمانات الإدارية والمادية والفنية لـ PHI | ما يصل إلى 1.9 مليون دولار لكل فئة مخالفة سنويًا |
| قاعدة ضمانات GLBA | تم التحديث 2023 | المؤسسات المالية | تقييم المخاطر، ضوابط الوصول، MFA، التشفير، الاستجابة للحوادث | إنفاذ الوكالة الفيدرالية |
المملكة المتحدة
| اللائحة | فعالة | النطاق | المتطلبات الرئيسية | العقوبات |
|---|---|---|---|---|
| لوائح NIS في المملكة المتحدة | 2018 (محدث) | الخدمات الأساسية، الخدمات الرقمية | إدارة المخاطر، الإبلاغ عن الحوادث، سلسلة التوريد | 17 مليون جنيه إسترليني |
| المملكة المتحدة اللائحة العامة لحماية البيانات | 2021 | المنظمات التي تعالج بيانات المقيمين في المملكة المتحدة | التدابير الأمنية، إشعار الاختراق (72 ساعة) | 17.5 مليون جنيه إسترليني أو 4٪ إيرادات |
| متطلبات هيئة الرقابة المالية | مستمرة | شركات الخدمات المالية | المرونة التشغيلية، الإبلاغ عن الحوادث، مخاطر الطرف الثالث | إنفاذ هيئة الرقابة المالية |
| مشروع قانون الأمن السيبراني والمرونة المقترح | 2025-2026 | موسعة من نطاق NIS الحالي | تعزيز الإبلاغ عن الحوادث، ومتطلبات سلسلة التوريد | سيتم تحديده لاحقًا |
آسيا والمحيط الهادئ
| البلد | اللائحة | المتطلبات الرئيسية | العقوبات |
|---|---|---|---|
| سنغافورة | قانون الأمن السيبراني 2018 | مشغلو CII: الإبلاغ عن الحوادث وعمليات التدقيق وتقييم المخاطر | 100 ألف دولار سنغافوري |
| أستراليا | قانون SOCI لعام 2022 (معدل) | البنية التحتية الحيوية: إدارة المخاطر والإبلاغ عن الحوادث (12-72 ساعة) | العقوبات المدنية |
| اليابان | قانون الأمن الاقتصادي 2022 | البنية التحتية الحيوية: فحص سلسلة التوريد | أوامر إدارية |
| كوريا الجنوبية | قانون الشبكة + PIPA | إشعار خرق البيانات، التدابير الأمنية | 50 مليون وون كوري + 3% إيرادات |
| الهند | CERT-في الاتجاهات 2022 | الإبلاغ عن الحوادث لمدة 6 ساعات، والاحتفاظ بالسجل (180 يومًا) | السجن + الغرامات |
| الصين | سي اس ال + دي اس ال + بيبل | البنية التحتية الحيوية: الترجمة، والمراجعات الأمنية، والإبلاغ عن الحوادث | إيرادات تصل إلى 5% |
الشرق الأوسط وأفريقيا
| البلد | اللائحة | المتطلبات الرئيسية | العقوبات |
|---|---|---|---|
| الإمارات العربية المتحدة | معايير NESA + PDPL | البنية التحتية الحيوية: الضوابط الأمنية والإبلاغ عن الحوادث | غرامات + إلغاء الترخيص |
| المملكة العربية السعودية | إطار NCA ECC | حكومي/حرج: تقييمات الامتثال والرصد | الإنفاذ التنظيمي |
| جنوب أفريقيا | بوبيا + إكتا | الضمانات الأمنية، إشعار الاختراق | ZAR 10M أو السجن |
| كينيا | قانون حماية البيانات 2019 | التدابير الأمنية، الإخطار بالخرق | إيرادات 5 مليون شلن كيني أو 1٪ |
بناء إطار امتثال عالمي
خريطة الضوابط إلى اللوائح
بدلاً من تنفيذ ضوابط منفصلة لكل لائحة، قم ببناء إطار موحد:
| مجال التحكم | شيكل 2 | ثانية | دورا | المملكة المتحدة شيكل | سنغافورة وكالة الفضاء الكندية | |---------------|------|------|--------|--------------| | تقييم المخاطر | مطلوب | مطلوب | مطلوب | مطلوب | مطلوب | | خطة الاستجابة للحوادث | مطلوب | كشف | مطلوب | مطلوب | مطلوب | | الإبلاغ عن الحوادث | 24 ساعة/72 ساعة | 4 حافلة. أيام | على أساس التصنيف | 72 ساعة | مطلوب | | أمن سلسلة التوريد | مطلوب | كشف | مطلوب | مطلوب | موصى به | | وزارة الخارجية / التحكم في الوصول | مطلوب | موصى به | مطلوب | مطلوب | مطلوب | | التشفير | مطلوب | موصى به | مطلوب | مطلوب | مطلوب | | اختبار الاختراق | مطلوب | موصى به | مطلوب سنويا | مطلوب | مطلوب | | إشراف مجلس الإدارة | مطلوب (المسؤولية الشخصية) | مطلوب (إفصاح) | مطلوب | موصى به | موصى به | | التدريب على التوعية الأمنية | مطلوب | موصى به | مطلوب | مطلوب | مطلوب | | استمرارية الأعمال | مطلوب | كشف | مطلوب (اختبار المرونة) | مطلوب | مطلوب |
الإطار الأساسي الموصى به
ابدأ باستخدام NIST Cybersecurity Framework 2.0 أو ISO 27001:2022 كأساس لك:
- NIST CSF 2.0: مجاني ومرن ومعترف به على نطاق واسع في الولايات المتحدة وعلى المستوى الدولي
- ISO 27001: معتمد، مفضل في الاتحاد الأوروبي والعملاء من المؤسسات
يغطي كلا الإطارين مجالات التحكم الأساسية التي تتطلبها معظم اللوائح. أضف المتطلبات التنظيمية الخاصة (الجداول الزمنية لإعداد التقارير، وتنسيقات الوثائق) في الأعلى.
مقارنة الإبلاغ عن الحوادث
| الولاية القضائية | الموعد النهائي لتقديم التقارير | تقرير إلى | المحتوى مطلوب |
|---|---|---|---|
| الاتحاد الأوروبي (شيكل 2) | إنذار مبكر لمدة 24 ساعة، و72 ساعة كاملة | CSIRT الوطنية/السلطة | التأثير، المؤشرات، التأثير عبر الحدود |
| الاتحاد الأوروبي (GDPR) | 72 ساعة (للسلطة)، "دون تأخير لا مبرر له" (للأفراد إذا كانت هناك مخاطر عالية) | هيئة الإشراف | الطبيعة، الفئات، السجلات التقريبية، العواقب، التدابير |
| الاتحاد الأوروبي (دورا) | يعتمد على التصنيف (من ساعة إلى شهر) | هيئة الرقابة المالية | التفاصيل القائمة على التصنيف |
| الولايات المتحدة (ثانية) | 4 أيام عمل (الحوادث المادية) | تسجيل هيئة الأوراق المالية والبورصة (8-K) | الطبيعة، النطاق، التوقيت، التأثير المادي |
| الولايات المتحدة (CISA) | حوادث 72 ساعة، 24 ساعة فدية | سيسا | تفاصيل الحادث وتأثيره ومؤشراته |
| المملكة المتحدة (شيكل) | 72 ساعة | المركز الوطني للمواصفات والمقاييس والجودة / الجهة المختصة | تقييم الأثر والتدابير المتخذة |
| الهند (CERT-In) | 6 ساعات | CERT-إن | نوع الحادث، الأنظمة المتأثرة، التأثير |
| أستراليا (SOCI) | 12 ساعة (حرجة)، 72 ساعة (هامة) | ايه سي اس سي | التأثير وإجراءات الاستجابة والمؤشرات |
| سنغافورة (CSA) | الإطار الزمني المحدد | وكالة الفضاء الكندية | تفاصيل الحادث، الأثر، الاستجابة |
تحديد أولويات الامتثال
للشركات العاملة في مناطق متعددة
- تنفيذ ISO 27001 أو NIST CSF كأساس (يلبي 60-80% من جميع المتطلبات)
- حدد الفجوات التنظيمية لكل ولاية قضائية تعمل فيها
- تحديد الأولوية حسب شدة العقوبة: تفرض قواعد الاتحاد الأوروبي (NIS2/GDPR) ولجنة الأوراق المالية والبورصات أعلى العقوبات
- تنسيق إعداد التقارير: إنشاء عملية واحدة للإبلاغ عن الحوادث تفي بالموعد النهائي الأكثر صرامة (6 ساعات للهند) وتكييف النتائج لكل سلطة
- توثيق كل شيء: تتطلب معظم اللوائح امتثالًا واضحًا، وليس الأمان فقط
الأسئلة المتداولة
هل ينطبق 2 شيكل على شركتنا؟
ينطبق NIS2 إذا كنت تعمل في الاتحاد الأوروبي وتقع ضمن أحد القطاعات الثمانية عشر (الطاقة والنقل والخدمات المصرفية والرعاية الصحية والبنية التحتية الرقمية والإدارة العامة والفضاء والبريد والنفايات والأغذية والتصنيع والمواد الكيميائية والأبحاث وخدمات تكنولوجيا المعلومات والاتصالات). الكيانات الأساسية هي مؤسسات كبيرة في القطاعات الحيوية. الكيانات المهمة هي المؤسسات المتوسطة في تلك القطاعات. يشمل النطاق الموسع شركات أكثر بكثير من 1 شيكل. حتى لو لم تكن ضمن النطاق بشكل مباشر، فقد يطلب عملاؤك الامتثال لـ NIS2 من سلسلة التوريد الخاصة بهم.
كيف نلتزم بلوائح الأمن السيبراني في بلدان متعددة؟
بناء إطار أمان موحد (ISO 27001 أو NIST CSF) يغطي المتطلبات المشتركة. قم بإنشاء مستند تخطيط تنظيمي يوضح أي ضوابط إطارية تفي باللوائح. بالنسبة للمتطلبات الفريدة لسلطات قضائية محددة (الجداول الزمنية لإعداد التقارير، وتنسيقات الوثائق)، قم بإنشاء ملحقات لإطار العمل الأساسي الخاص بك. وهذا أكثر كفاءة بكثير من بناء برامج امتثال منفصلة.
هل هناك متطلبات للأمن السيبراني لأنظمة تخطيط موارد المؤسسات (ERP) على وجه التحديد؟
لا يقتصر الأمر على تخطيط موارد المؤسسات (ERP)، ولكن أنظمة تخطيط موارد المؤسسات (ERP) تقع عادةً ضمن نطاقات تنظيمية متعددة لأنها تعالج البيانات المالية (SOX، DORA)، والبيانات الشخصية (GDPR، NIS2)، وغالبًا ما تعتبر أنظمة أعمال مهمة. تأكد من أن نظام تخطيط موارد المؤسسات الخاص بك يحتوي على: التحكم في الوصول المستند إلى الدور، وتسجيل التدقيق، والتشفير، والتصحيح المنتظم، وإجراءات الاستجابة للحوادث. يوفر ECOSIRE تعزيز أمان Odoo الذي يعالج هذه المتطلبات.
ما يأتي بعد ذلك
يعد الامتثال التنظيمي للأمن السيبراني أحد أبعاد برنامج الحوكمة الخاص بك. يمكنك دمجها مع إدارة البيانات للوائح الخاصة بالبيانات، وخصوصية بيانات الموظف لبيانات القوى العاملة، وتنفيذ الموافقة على ملفات تعريف الارتباط لمواقع الويب.
اتصل بـ ECOSIRE للحصول على استشارات بشأن الامتثال للأمن السيبراني عبر ولايات قضائية متعددة.
تم النشر بواسطة ECOSIRE - لمساعدة الشركات على التنقل في المشهد التنظيمي العالمي.
بقلم
ECOSIRE Research and Development Team
بناء منتجات رقمية بمستوى المؤسسات في ECOSIRE. مشاركة رؤى حول تكاملات Odoo وأتمتة التجارة الإلكترونية وحلول الأعمال المدعومة بالذكاء الاصطناعي.
مقالات ذات صلة
أفضل ممارسات أمان وكيل الذكاء الاصطناعي: حماية الأنظمة الذاتية
دليل شامل لتأمين وكلاء الذكاء الاصطناعي الذي يغطي الدفاع الفوري، وحدود الأذونات، وحماية البيانات، وتسجيل التدقيق، والأمن التشغيلي.
قائمة التحقق من إعداد التدقيق: كيف يجعل نظام تخطيط موارد المؤسسات (ERP) الخاص بك عمليات التدقيق أسرع بنسبة 60 بالمائة
استكمال القائمة المرجعية لإعداد التدقيق باستخدام أنظمة تخطيط موارد المؤسسات (ERP). يمكنك تقليل وقت التدقيق بنسبة 60 بالمائة من خلال التوثيق والضوابط المناسبة وجمع الأدلة تلقائيًا.
أفضل ممارسات الأمان السحابي للشركات الصغيرة والمتوسطة: حماية السحابة الخاصة بك بدون فريق أمان
قم بتأمين البنية التحتية السحابية الخاصة بك من خلال أفضل الممارسات العملية لـ IAM وحماية البيانات والمراقبة والامتثال التي يمكن للشركات الصغيرة والمتوسطة تنفيذها بدون فريق أمان مخصص.
المزيد من Compliance & Regulation
قائمة التحقق من إعداد التدقيق: كيف يجعل نظام تخطيط موارد المؤسسات (ERP) الخاص بك عمليات التدقيق أسرع بنسبة 60 بالمائة
استكمال القائمة المرجعية لإعداد التدقيق باستخدام أنظمة تخطيط موارد المؤسسات (ERP). يمكنك تقليل وقت التدقيق بنسبة 60 بالمائة من خلال التوثيق والضوابط المناسبة وجمع الأدلة تلقائيًا.
دليل تنفيذ موافقة ملفات تعريف الارتباط: إدارة الموافقة المتوافقة قانونًا
تنفيذ موافقة ملفات تعريف الارتباط التي تتوافق مع اللائحة العامة لحماية البيانات والخصوصية الإلكترونية وقانون خصوصية المستهلك في كاليفورنيا (CCPA) واللوائح العالمية. يغطي لافتات الموافقة وتصنيف ملفات تعريف الارتباط وتكامل CMP.
لوائح نقل البيانات عبر الحدود: التنقل في تدفقات البيانات الدولية
انتقل إلى لوائح نقل البيانات عبر الحدود من خلال الشروط التعاقدية النموذجية، وقرارات الملاءمة، والقواعد الملزمة للشركات، وتقييمات تأثير النقل للامتثال للقانون العام لحماية البيانات، والمملكة المتحدة، ومنطقة آسيا والمحيط الهادئ.
إدارة البيانات والامتثال: الدليل الكامل لشركات التكنولوجيا
دليل كامل لإدارة البيانات يغطي أطر الامتثال وتصنيف البيانات وسياسات الاحتفاظ ولوائح الخصوصية وخرائط طريق التنفيذ لشركات التكنولوجيا.
سياسات الاحتفاظ بالبيانات والأتمتة: احتفظ بما تحتاج إليه، واحذف ما يجب عليك حذفه
قم ببناء سياسات الاحتفاظ بالبيانات مع المتطلبات القانونية، والجداول الزمنية للاحتفاظ، والتنفيذ الآلي، والتحقق من الامتثال للقانون العام لحماية البيانات (GDPR)، وSOX، وHIPAA.
إدارة خصوصية بيانات الموظفين: الموازنة بين احتياجات الموارد البشرية وحقوق الخصوصية
قم بإدارة خصوصية بيانات الموظفين من خلال متطلبات اللائحة العامة لحماية البيانات (GDPR)، وأسباب معالجة بيانات الموارد البشرية، وسياسات المراقبة، وعمليات النقل عبر الحدود، وأفضل ممارسات الاحتفاظ.