قانون الإنترنت الذي يمكن أن يغير كل شيء

تعتبر شركات السوق المتوسطة هي غرفة المحرك لاقتصاد المملكة المتحدة. إنهم يمثلون ما يقرب من ثلث حجم مبيعات القطاع الخاص ويوظفون ملايين الأشخاص في مجالات التصنيع والخدمات المهنية والخدمات اللوجستية والتكنولوجيا. وهي أيضًا، على نحو متزايد، الشركات التي تحافظ على استمرار الصناعات المنظمة؛ توفير المكونات والبرامج والخدمات والخبرات التي تعتمد عليها البنية التحتية الحيوية. هذا الموقف يحمل وزنا. كما أنه على وشك تحمل مسؤولية جديدة.
ويستهدف مشروع قانون الأمن السيبراني والمرونة، الذي تم تقديمه إلى البرلمان في نوفمبر 2025، مشغلي الخدمات الأساسية والبنية التحتية الحيوية ومقدمي الخدمات المُدارة. إن الالتزامات الأمنية التي تفرضها على تلك المنظمات سوف تنتقل عبر سلاسل التوريد الخاصة بها من خلال العقود واستبيانات المشتريات وعمليات تدقيق الموردين.
على سبيل المثال، يمكن أن يشمل ذلك الشركة المصنعة التي تورد المكونات لشركة مرافق، أو شركة خدمات احترافية تتولى أعمال الامتثال لمورد NHS، أو شركة برمجيات يقع منتجها داخل البنية التحتية الحيوية. تعتبر هذه الشركات كبيرة بما يكفي لتكون ذات أهمية من الناحية التشغيلية لعملائها ولكنها ضعيفة بما يكفي ليكون لديها فريق أمني متخصص محدود.
هذه ليست مجرد قصة الامتثال. بالنسبة لرؤساء أقسام تكنولوجيا المعلومات وقادة تكنولوجيا المعلومات الذين يقرأون هذا، ستكون الآليات التنظيمية مألوفة بالفعل. لكن المحادثة الأكثر أهمية هي تلك التي لم تحدث بعد في معظم مجالس إدارة الأسواق المتوسطة: وهي أن استباق هذه المتطلبات يمثل استراتيجية للنمو. الوصول إلى أطر المشتريات الحكومية. تموضع أقوى في العطاءات التنافسية. القدرة على التوريد إلى الأسواق الأوروبية حيث يوجد بالفعل تنظيم مماثل ساري المفعول. الشركات التي تتعامل مع هذا الأمر باعتباره فرصة وليس مجرد نفقات عامة ستكون في وضع أفضل من تلك التي تتعامل معه باعتباره تمرينًا في خانة الاختيار.
وكانت الإحصائيات المتعلقة بالمخاطر السيبرانية بالنسبة لمؤسسات السوق المتوسطة غير مريحة بالفعل قبل وصول مشروع القانون هذا. ووفقا لأحدث الأبحاث الحكومية، أبلغ ثلثا الشركات المتوسطة الحجم في المملكة المتحدة عن حدوث اختراق إلكتروني العام الماضي. طلبات الفدية، التي تضاعفت في عام واحد، ضربت ما يقدر بنحو 19000 شركة في المملكة المتحدة. ولم تقم سوى 15% من الشركات بمراجعة المخاطر السيبرانية التي يشكلها عليها موردوها المباشرون بشكل رسمي.
لقد توصل المهاجمون إلى أن الشركات المتوسطة الحجم لا تستحق الاستهداف بمعزل عن غيرها فحسب، بل إنها غالبًا ما توفر واجهة مهمة لشيء أكبر.
وسوف يصل الضغط التجاري من خلال عقود العملاء ومتطلبات الشراء، وليس من خلال طلب من الجهة التنظيمية.
لماذا الحد الأدنى من الامتثال ليس هو نفسه الأمان
ولهذا السبب من المهم جدًا فهم مشروع القانون هذا. ليس ما هي الشركات التي تقع ضمن نطاقها القانوني ولكن ما تكشفه عن الفجوات في مرونة سلسلة التوريد عبر البنية التحتية والخدمات الحيوية في المملكة المتحدة.
الشركات التي ترى أن هذا مجرد عبء امتثال سوف تفعل الحد الأدنى. لقد رأيت مؤسسات تقضي شهورًا في الحصول على توقيع تدقيق على شيء لا يمكن تطبيقه إلا على مجموعة فرعية صغيرة من المؤسسة، وهو ما لا يقدم سوى القليل من الضمانات وتوفير الثقة.
الامتثال لا يعني آمنة.
ضع في اعتبارك أن كل إطار تنظيمي مر بعدة سنوات من التكرار قبل أن يصبح قانونًا. وبحلول الوقت الذي تهبط فيه الطائرة، يكون التهديد قد انتقل في كثير من الأحيان. إن غياب المتطلبات لا يعني غياب المخاطر، ولذلك ينبغي اعتبار أي إطار عمل أو بيانات امتثال بمثابة الحد الأدنى من خط الأساس، ومراجعتها مقابل المشهد الجيوسياسي والاقتصادي والتقني الحالي، من أجل استمرار أهميتها.
تحمل الشهادات الخاصة بالمعايير المعروفة بيانات قابلية التطبيق التي تحدد بالضبط أي جزء من العمل يقع في نطاقه. يلقي العديد من المشترين نظرة على الشهادة ويمضيون قدمًا. يمكن أن يشمل ذلك شهادة تغطي مركز بيانات واحد، على سبيل المثال، في حين لا يتم فحص الأشخاص والعمليات والقرارات التي تقف وراءه أبدًا. اسأل نفسك بصراحة: هل تفعل الشيء الصحيح حقًا للأسباب الصحيحة؟ ستعتمد الشركات الخاضعة للتنظيم التي تتعرض لضغوط لإظهار أنها أجرت تقييمات مناسبة لسلسلة التوريد على الأدلة المقدمة، ولذلك فمن الحكمة البدء في إجراء العناية الواجبة مقدمًا لفهم قابلية التطبيق والضمانات المقدمة حقًا، وحيث توجد فجوات يمكن أن تسلط الضوء على التعرض الكبير.
ما هو أبعد من ذلك يبدو في الواقع في الممارسة العملية
في عام 2012، عندما تم نشر معيار ISO 22301، وهو معيار إدارة استمرارية الأعمال، كانت الاستجابة النموذجية هي التحقق مما كان يفعله المنافسون، وتوسيع نطاق الشهادة لتشمل ما يرضي عطاءات العملاء والحصول على توقيع التدقيق.
وفي فوجيتسو، حيث كنت أقود برنامج تحويل استمرارية الأعمال، رفضنا هذا المنطق. السؤال الذي طرحناه كان بسيطًا: الأمر لا يتعلق بك؛ يتعلق الأمر بعملائك. ما الذي يتطلبه الأمر لجعل الشركة بأكملها مرنة، وليس فقط الجزء الذي يتعامل معه العميل؟ نظرًا لأن مركز البيانات لا يعمل بشكل منعزل، فإنه يتطلب جهدًا كاملاً من الشركة. ويشمل ذلك الفريق المالي، ومديري الحسابات، والموارد البشرية، وفريق القيادة الذي يتخذ القرارات في الساعة الثانية صباحًا عندما يحدث خطأ ما، وفي النهاية جميع الموظفين في جميع أنحاء الشركة.
لقد كان الهدف واضحا، ولكن تحقيقه استغرق وقتا وجهدا والتزاما. لقد أصبحنا أول مزود لخدمات تكنولوجيا المعلومات في المملكة المتحدة يحصل على شهادة ISO 22301 في كل جزء من أعمالنا. ليس فقط مراكز البيانات. ليس فقط مكاتب الخدمة. ليس فقط الخدمة المدارة. الشركة بأكملها. وجاء هذا القرار نتيجة لطرح سؤال صادق: أين نحن في سلسلة التوريد، وماذا يحدث لعملائنا إذا فشلنا؟ عندما تجيب على ذلك بصراحة، فإن نطاق وواقع ما عليك القيام به لا يبدو وكأنه قائمة مرجعية. إنه قرار تجاري واضح لتجاوز الحد الأدنى من التوقعات.
وينطبق نفس الاختبار الآن. شركات السوق المتوسطة التي تستخدم مشروع القانون كسبب لفهم موقعها في السوق والتبعيات المفروضة عليها ستكون في محادثة مختلفة مع عملائها تمامًا. تستحق هذه المحادثة المفتوحة إجراءها قبل أن يطلبها العميل.
الافتراض الخطير الموجود داخل شركات السوق المتوسطة
عندما يتم إصدار لائحة جديدة، فإن الاستجابة النموذجية هي افتراض أن فريق تكنولوجيا المعلومات أو مزود الخدمة المُدارة قد قام بالتعامل معها. في بعض الأحيان يفعلون ذلك. لا تضع افتراضات أبدًا. الافتراض هو مخاطرة حتى تحوله إلى حقيقة.
إذا تعطل أحد الموردين المهمين، فيمكنك الانهيار معه، ولا يغير أي بند في العقد ذلك. قد تكون الغريزة هي جعلهم مسؤولين عن عقوبات الخدمة أو شروط إنهاء الخدمة. لكن الاعتماد على المورد ليس مثل الاعتماد عليه. وهنا تكمن أهمية المرونة الجماعية. هل سبق لك أن أجريت تمرينًا معًا لمعرفة ما يحدث في حالة فشل الخدمة؟ إذا لم تكن لديهم القدرة، فإن كلاكما يحتاج إلى خيارين: العمل معًا لتقليل الفجوة أو إزالة الاعتماد عليهم من خلال تنويع العرض. هذه ليست أسئلة يتم تحديدها أثناء وقوع حادث نشط.
ومن الجدير بالذكر أن مشروع القانون يقدم متطلبات الإبلاغ عن الحوادث على مدار 24 ساعة للمؤسسات ذات النطاق المباشر، ومن المتوقع أن يدعم الموردون ذلك. إن الحصول على رؤية لأنظمتك ووضع خطة استجابة قبل حدوث خطأ ما يتطلب الاستعداد.
يظل الاتجاه الصعودي التجاري لمحادثة الامتثال مفقودًا
كل محادثة أجريتها حول مشروع القانون هذا تدور حول المخاطر والمرونة. هناك عائد مطلق على الاستثمار عندما يتم ذلك بشكل جيد. إن تنفيذ الأمن بشكل صحيح هو بمثابة تمييز تجاري. يفتح الأبواب ويخلق خطوط عمل جديدة.
إذا كنت تتجاوز الحدود، ويمكنك إثبات أن هذا جزء أساسي من كيفية إدارة عملك، وليس قائمة مرجعية للامتثال، فإن كل هذه الأشياء ستدفعك إلى مزيد من المحادثات مع العملاء. والسؤال الذي يميل إلى الفصل بين الموردين في العطاء التنافسي ليس ما إذا كانوا يحملون شهادة، بل ما إذا كان بإمكانهم الإجابة بوضوح: ماذا يحدث إذا حدث خطأ ما في منتصف ليل يوم الجمعة؟
المشتريات الحكومية تجعل هذا الأمر أكثر واقعية. تتطلب عقود القطاع العام بشكل متزايد نضجًا أمنيًا يمكن إثباته. وتتمكن شركات السوق المتوسطة التي يمكنها إثبات هذا النضج من الوصول إلى أطر المشتريات التي لم تكن مؤهلة لها بطريقة أخرى.
إن البعد الأوروبي مهم بالنسبة للشركات التي تفكر في النمو. أصبح توجيه NIS2 الخاص بالاتحاد الأوروبي ساري المفعول منذ أكتوبر 2024، وتتلقى الشركات البريطانية التي تزود الأسواق الأوروبية بالفعل أسئلة أمنية من عملاء الاتحاد الأوروبي. يُنظر بشكل متزايد إلى الشركات البريطانية التي تتمتع بأوراق اعتماد إلكترونية قوية وقابلة للإثبات على أنها خيار آمن وموثوق. لقد نشأ الكثير مما أصبح فيما بعد القانون العام لحماية البيانات (GDPR) من قانون حماية البيانات في المملكة المتحدة، ويقع مشروع قانون الأمن السيبراني والمرونة على نفس التقليد. إن الالتزام بمشروع قانون الأمن السيبراني والقدرة على الصمود يوفر لحظة للتألق.
لماذا يجب أن تكون هذه المحادثة في مجلس الإدارة، وليس فقط في قسم تكنولوجيا المعلومات
إن التعامل مع مشروع القانون هذا باعتباره تكلفة أو فرصة هو قرار القيادة. إن العواقب المترتبة على ارتكاب الأخطاء هي عواقب تجارية وليست تقنية.
إذا كنت رئيسًا تنفيذيًا أو مديرًا ماليًا، فإن السؤال المهم واضح ومباشر: كيف يمكنك استخدام ذلك لإظهار عائد يمكن إثباته على الاستثمار مع عملائك؟ الناس يشترون من الناس. الثقة التي تبنيها هي ما يفصلك عن أي شخص آخر يقدم عطاءات لنفس العمل. هل تريد أن تكون معروفًا ببذلك جهدًا إضافيًا؟ لكونك الكيان الموثوق به في سلسلة التوريد الخاصة بك؟
أفكر في الأمر بهذه الطريقة. الشركات التي تأخذ الأمر على محمل الجد لا تراهن على ما إذا كان هناك خطأ ما أم لا. إنهم يبنون شيئًا مركبًا – وضع أفضل للمخاطر، وخدمات أفضل للعملاء، وطول عمر أصحاب المصلحة.
ويتحرك مشروع القانون الآن عبر البرلمان. يستمر التنفيذ حتى عامي 2027 و2028، وهو ما يبدو بعيدًا حتى تدرك أن المؤسسات الخاضعة للتنظيم تقوم بالفعل بتعديل متطلبات الموردين الخاصة بها. الشركات التي ستكون في وضع أفضل ليست هي تلك التي تبدأ بالتفكير في هذا الأمر في عام 2027. بل هي التي تعمل الآن. لقد كان الأمن دائمًا يدور حول استباق المخاطر، وليس اللحاق بها. إن مشروع القانون هذا هو ببساطة أحدث تذكير بأن السوق المتوسطة لديها دور أكثر أهمية تلعبه في المرونة الجماعية للمملكة المتحدة مما يُنسب إليها الفضل في كثير من الأحيان.

رئيس تحرير يمني وصحفي محترف حاصل على درجة في الإعلام. عمل في عدة صحف ومواقع إخبارية وتدرّج من محرر إلى رئيس تحرير. يشرف على المحتوى الإخباري ويقود فريقًا صحفيًا مع الالتزام بالمصداقية والمهنية.



