استشارات الأمن السيبراني للمؤسسات الكبرى
متخصصون في إدارة الوصول المميّز (PAM)، وإدارة الهوية والوصول (IAM)، وحوكمة أمن المعلومات — للمصارف وشركات التأمين والبنى الحساسة.
خبراء في أمن المؤسسات
إدارة الوصول المميّز (PAM)
تأمين الحسابات المميّزة، مراقبة الجلسات، إدارة كلمات المرور تلقائيًا.
معرفة المزيد ←إدارة الهوية والوصول (IAM)
دورة حياة الهوية، نماذج الأدوار، تسجيل دخول موحّد (SSO/MFA).
معرفة المزيد ←هل أنت مستعد لتعزيز أمن مؤسستك؟
فريقنا مستعد للتواصل وإجراء تقييم أولي مبني على احتياجاتك.
تواصل معنا ←info@pam-xpert.com
PAM Xpert Insights
الامتثال التنظيمي: NIS2 و DORA و CRA و GDPR
نظرة شاملة على أهم لوائح الاتحاد الأوروبي للأمن السيبراني — مع المتطلبات العملية للمؤسسات في القطاعات الخاضعة للتنظيم.
NIS2 – توجيه أمن الشبكات والمعلومات 2
يُعدّ توجيه NIS2 (الاتحاد الأوروبي 2022/2555) متطلبًا قانونيًا على مستوى الاتحاد الأوروبي، دخل حيّز التنفيذ في 16 يناير 2023، وكان يجب تحويله إلى تشريعات وطنية بحلول أكتوبر 2024. يوسّع نطاق توجيه NIS الأصلي بشكل كبير، ويُلزم مشغّلي الكيانات الأساسية والمهمة باتخاذ تدابير أمنية مناسبة.
تشمل القطاعات المتأثرة: الطاقة والنقل والمصارف والبنية التحتية للأسواق المالية والصحة ومياه الشرب والصرف الصحي والبنية التحتية الرقمية والإدارة العامة والفضاء. يجب على المؤسسات إنشاء نظام إدارة أمن المعلومات (ISMS)، والإبلاغ عن الحوادث الأمنية، وتنفيذ تدابير إدارة المخاطر — بما في ذلك تأمين الوصول المتميز (PAM).
حقائق رئيسية
- غرامات تصل إلى 10 ملايين يورو أو 2% من إجمالي المبيعات السنوية العالمية
- الإبلاغ الأوّلي عن الحوادث خلال 24 ساعة، والإبلاغ التكميلي خلال 72 ساعة
- المسؤولية الشخصية للإدارة في حالة الإخلال بالتزامات الأمان
- PAM متطلب تقني أمني محوري بموجب NIS2
DORA – قانون المرونة التشغيلية الرقمية
قانون المرونة التشغيلية الرقمية (DORA، الاتحاد الأوروبي 2022/2554) لائحة أوروبية سارية المفعول منذ 17 يناير 2025. يستهدف DORA الكيانات المالية — بما فيها البنوك وشركات التأمين ومزودي خدمات الدفع وشركات الاستثمار ومزودي خدمات الأصول المشفرة — فضلًا عن مزودي تكنولوجيا المعلومات والاتصالات الحيويين من الأطراف الثالثة.
تشمل المحاور الرئيسية لـ DORA: إدارة مخاطر تكنولوجيا المعلومات والاتصالات، وإدارة الحوادث المرتبطة بها، واختبار المرونة التشغيلية الرقمية (TLPT)، وإدارة مخاطر الأطراف الثالثة في مجال تكنولوجيا المعلومات، وتبادل المعلومات. يجب توثيق جميع الحسابات والوصول المتميز إلى الأنظمة المالية الحيوية ومراقبتها وتأمينها بالكامل.
حقائق رئيسية
- ينطبق على أكثر من 22,000 مؤسسة مالية في الاتحاد الأوروبي
- سارٍ منذ 17 يناير 2025
- خضوع مزودي تكنولوجيا المعلومات الحيويين مباشرةً لرقابة DORA من قِبل السلطات الأوروبية
- اختبارات TLPT السنوية (اختبار الاختراق الموجّه بالتهديدات) للمؤسسات الكبيرة
CRA – قانون المرونة الإلكترونية
قانون المرونة الإلكترونية (CRA، الاتحاد الأوروبي 2024/2847) لائحة أوروبية تهدف إلى تعزيز الأمن السيبراني للمنتجات ذات العناصر الرقمية. يسري على مصنّعي الأجهزة والبرمجيات ومكوناتها الرقمية، ودخل حيّز التنفيذ في ديسمبر 2024، مع تطبيق تدريجي كامل بحلول 2027.
يُلزم CRA المصنّعين بتطوير منتجات آمنة (الأمان بالتصميم)، وتوفير تحديثات أمنية منتظمة طوال دورة حياة المنتج، والإبلاغ عن الثغرات المستغلة بشكل نشط خلال 24 ساعة. تترتب على المؤسسات التي تطور برمجيات PAM أو إدارة الهوية أو تستخدمها التزامات امتثال مباشرة.
حقائق رئيسية
- غرامات تصل إلى 15 مليون يورو أو 2.5% من الإيرادات السنوية
- علامة CE شرط للوصول إلى السوق الموحدة الأوروبية
- ينطبق على جميع المنتجات التي تحتوي على مكوّن شبكي
GDPR – اللائحة العامة لحماية البيانات
اللائحة العامة لحماية البيانات (الاتحاد الأوروبي 2016/679، GDPR) سارية منذ مايو 2018، وتُعدّ أشمل قانون لحماية البيانات في الاتحاد الأوروبي. تحمي البيانات الشخصية للأشخاص الطبيعيين، وتُلزم المؤسسات بالشفافية وتحديد الغرض واتخاذ ضمانات تقنية وتنظيمية مناسبة.
في سياق الأمن السيبراني وPAM، تستوجب اللائحة GDPR حماية البيانات الشخصية عبر ضوابط وصول مناسبة. يجب تأمين الحسابات المتميزة التي يمكنها الوصول إلى قواعد البيانات أو الأنظمة التي تحتوي على بيانات شخصية وتسجيلها ومراجعتها دوريًا (المادتان 25 و32 من GDPR).
حقائق رئيسية
- غرامات تصل إلى 20 مليون يورو أو 4% من إجمالي الإيرادات السنوية العالمية
- إخطار اختراق البيانات خلال 72 ساعة للسلطة الإشرافية المختصة
- حقوق أصحاب البيانات: الوصول والحذف وقابلية نقل البيانات