NIS2 و DORA

NIS2 و DORA هما لوائح أوروبية تفرض متطلبات الأمن السيبراني والمرونة التشغيلية على منظمات البنية التحتية الحيوية والقطاع المالي. دخلت كلتاهما حيز التنفيذ في 2025 وتنطبق على نطاق واسع عبر صناعات الاتحاد الأوروبي.

توجيه NIS2

يحدد توجيه أمن الشبكات والمعلومات 2 (NIS2) متطلبات الأمن السيبراني للكيانات “الأساسية” و”المهمة” عبر قطاعات تشمل الطاقة والنقل والصحة والبنية التحتية الرقمية والإدارة العامة.

النص الكامل: التوجيه (EU) 2022/2555

تعيين متطلبات NIS2

متطلب NIS2	قدرة Rediacc
تدابير إدارة المخاطر (المادة 21)	تشفير LUKS2 في حالة السكون، عزل الشبكة لكل مستودع، وصول SSH فقط، تسجيل تدقيق على مستوى الحساب (أكثر من 40 نوع حدث)
معالجة الحوادث (المادة 21(2)(b))	أكثر من 40 نوع حدث على مستوى الحساب (المصادقة، الرموز، التكوين، الترخيص) توفر مساراً جنائياً. عزل كل مستودع يحد من نطاق التأثير.
استمرارية الأعمال (المادة 21(2)(c))	`rdc repo backup push/pull` مع نسخ احتياطي مشفر متعدد الوجهات. لقطات CoW للتراجع الفوري.
أمن سلسلة التوريد (المادة 21(2)(d))	الاستضافة الذاتية تلغي مخاطر سلسلة توريد SaaS. لا مزود سحابة طرف ثالث يعالج بياناتك.
أمن الشبكة (المادة 21(2)(e))	Docker daemons لكل مستودع، قواعد iptables، عزل loopback IP (شبكات فرعية /26).
التشفير (المادة 21(2)(h))	تشفير LUKS2 AES-256 إلزامي. مخزن تكوين بمعرفة صفرية مع AES-256-GCM.
التحكم في الوصول (المادة 21(2)(i))	مصادقة بمفتاح SSH، رموز API محددة النطاق مع ربط IP، مصادقة ثنائية (TOTP).
الإبلاغ عن الحوادث، تحذير مبكر 24 ساعة (المادة 23)	تسجيل التدقيق يمكّن الكشف السريع عن الحوادث وتحديد نطاقها.

مخاطر سلسلة التوريد

أمن سلسلة التوريد هو محور اهتمام رئيسي في NIS2 (المادة 21(2)(d)). يجب على المنظمات تقييم وإدارة المخاطر من مزودي خدمات تكنولوجيا المعلومات والموردين.

الاستضافة الذاتية في Rediacc تزيل أكبر سطح هجوم لسلسلة التوريد: لا SaaS طرف ثالث يتعامل مع بياناتك، لا مزود سحابة لديه وصول منطقي لبنيتك التحتية، ولا بيئة مشتركة تعرضك لوضع أمني لعملاء آخرين. أدت اختراقات موردي SaaS إلى أضرار متتالية عبر آلاف المنظمات. هجوم Blackbaud بفدية عام 2020 كشف بيانات من أكثر من 13,000 منظمة عميلة، بتكلفة 49.5 مليون دولار في التسويات.

DORA (قانون المرونة التشغيلية الرقمية)

يحدد DORA متطلبات إدارة مخاطر تكنولوجيا المعلومات، والإبلاغ عن الحوادث، واختبار المرونة، وإدارة مخاطر الطرف الثالث للقطاع المالي في الاتحاد الأوروبي. ينطبق على البنوك وشركات التأمين وشركات الاستثمار ومقدمي خدمات الأصول المشفرة ومزودي خدمات تكنولوجيا المعلومات الحيويين.

النص الكامل: اللائحة (EU) 2022/2554

تعيين متطلبات DORA

متطلب DORA	قدرة Rediacc
إطار إدارة مخاطر تكنولوجيا المعلومات (المادة 6)	التشفير والعزل وتسجيل التدقيق والنسخ الاحتياطي تشكل طبقة الضوابط التقنية.
الحماية والوقاية (المادة 9)	تشفير LUKS2 AES-256 في حالة السكون. عزل الشبكة يمنع الحركة الجانبية. وصول SSH فقط.
الكشف (المادة 10)	أكثر من 40 نوع حدث على مستوى الحساب. لوحة تحكم المسؤول مع تصفية لكل مستخدم وفريق. عمليات الجهاز قابلة للتدقيق عبر SSH وسجلات النظام.
الاستجابة والاسترداد (المادة 11)	لقطات CoW للتراجع الفوري. `rdc repo backup push/pull` للاسترداد متعدد الوجهات. اختبار التعافي من الكوارث القائم على Fork.
مخاطر تكنولوجيا المعلومات من الطرف الثالث (المواد 28-30)	الاستضافة الذاتية تلغي تصنيف “مزود خدمات تكنولوجيا المعلومات الحيوي من طرف ثالث” بالكامل.
اختبار المرونة التشغيلية الرقمية (المواد 24-27)	استنساخ CoW يمكّن اختبار الاختراق الموجه بالتهديدات على بيئات شبيهة بالإنتاج دون كشف البيانات. استنساخ، اختبار، تدمير.

مخاطر مزود خدمات تكنولوجيا المعلومات من الطرف الثالث

أكثر متطلبات DORA عبئاً تتعلق بإدارة مزودي خدمات تكنولوجيا المعلومات الحيويين (المواد 28-30). يجب على المؤسسات المالية الاحتفاظ بسجلات لمزودي تكنولوجيا المعلومات، وإجراء تقييمات المخاطر، والتفاوض على أحكام تعاقدية محددة، والتخطيط لاستراتيجيات الخروج.

الاستضافة الذاتية في Rediacc تتجنب ذلك بالكامل. لا مزود خدمات تكنولوجيا معلومات من طرف ثالث للتسجيل أو التقييم أو المراقبة. تتحكم المؤسسة المالية في بنيتها التحتية مباشرة.

اختبار المرونة

يفرض DORA اختبار المرونة التشغيلية الرقمية، بما في ذلك اختبار الاختراق الموجه بالتهديدات (TLPT) للمؤسسات الكبيرة (المادة 26). يتعامل استنساخ CoW مع هذا مباشرة:

إنشاء نسخة من بيئة الإنتاج (فوري، نفس الجهاز، بدون نقل بيانات)
تشغيل اختبارات الاختراق ضد النسخة
تدمير النسخة عند الانتهاء

لا يُمس الإنتاج، ومع ذلك بيئة الاختبار نسخة طبق الأصل. لا تغادر أي بيانات الجهاز.