متطلبات امتثال البنية التحتية الحرجة
تُصنَّف شركات الطاقة والمرافق كمشغلين للخدمات الأساسية (OES) بموجب توجيه NIS2 الصادر عن الاتحاد الأوروبي — مما يُخضعها لالتزامات إلزامية تشمل إدارة مخاطر الأمن السيبراني والإبلاغ عن الحوادث وأمن سلسلة التوريد. يترتب على عدم الامتثال غرامات إدارية تصل إلى 10 ملايين يورو أو 2% من حجم الأعمال العالمي بموجب NIS2.
توجيه NIS2 — الالتزامات الرئيسية
- تدابير إدارة مخاطر الأمن السيبراني بما يتناسب مع حجم المخاطر
- الإبلاغ عن الحوادث: إبلاغ فريق الاستجابة الوطني CSIRT بالحوادث الجسيمة خلال 24 ساعة، وتقديم تقرير كامل خلال 72 ساعة
- أمن سلسلة التوريد — تقييم الممارسات الأمنية للموردين ومقدمي الخدمات
- تدابير استمرارية الأعمال — إدارة النسخ الاحتياطية والتعافي من الكوارث وإدارة الأزمات
- مسؤولية الإدارة العليا — يُحمِّل توجيه NIS2 صراحةً هيئات الإدارة المسؤولية الشخصية
التوافق بين ISO 27001 وتوجيه NIS2
يوفر معيار ISO 27001:2022 الإطار الأكثر شمولاً لتلبية متطلبات إدارة مخاطر الأمن السيبراني الواردة في المادة 21 من توجيه NIS2. يقوم برنامج الجاهزية لتوجيه NIS2 من BALTUM بربط ضوابط نظام إدارة أمن المعلومات (ISMS) وفق ISO 27001 بالتزامات NIS2 — مع تحديد الثغرات وتقديم خارطة طريق للمعالجة ذات أولويات تتوافق مع الموعد النهائي لتطبيق توجيه NIS2 في دولتكم العضو.
أمن التكنولوجيا التشغيلية وأنظمة التحكم الصناعي
تواجه مؤسسات الطاقة والمرافق تحدياً إضافياً يتمثل في أمن التكنولوجيا التشغيلية (OT) وأنظمة التحكم الصناعي (ICS) — وهي مجالات لا تغطيها الأطر المركزة على تقنية المعلومات بشكل كامل. تعمل BALTUM مع مدققين متخصصين في التكنولوجيا التشغيلية لتوسيع نطاق ISO 27001 ليشمل بيئات SCADA وDCS وICS، مع الإشارة إلى معايير IEC 62443 عند الاقتضاء.