قانون المرونة السيبرانية الأوروبي يدخل حيز التنفيذ بينما تكشف بيانات عن ضعف جاهزية الشركات

دخلت المرحلة الأولى من قانون المرونة السيبرانية الأوروبي حيز التنفيذ هذا الأسبوع، في خطوة تهدف إلى رفع مستوى الأمان في الأجهزة والبرمجيات المباعة داخل سوق الاتحاد الأوروبي. لكن البيانات الجديدة تشير إلى أن عدداً كبيراً من المؤسسات لا يزال بعيداً عن الاستعداد العملي لمتطلبات القانون، سواء على مستوى المعرفة باللوائح أو على مستوى الإجراءات الفنية والتنظيمية اللازمة للامتثال.

وتعكس نتائج استطلاع حديث أجرته مؤسسة أمن البرمجيات مفتوحة المصدر فجوة واضحة بين حجم التغيير التنظيمي القادم وبين وعي الشركات به. فبحسب الاستطلاع، قال نحو ثلثي المشاركين إنهم لا يعرفون تفاصيل القانون أو لم يسمعوا به من الأساس، رغم أن تأثيره لا يقتصر على الشركات المصنّعة فقط، بل يمتد أيضاً إلى الجهات التي تستخدم البرمجيات مفتوحة المصدر داخل بنيتها التقنية.

قانون يوسّع دائرة المسؤولية

يستهدف قانون المرونة السيبرانية فرض معايير أوضح على الشركات التي تطوّر أو تبيع منتجات رقمية داخل الاتحاد الأوروبي، بحيث تصبح المسؤولية الأمنية جزءاً أصيلاً من دورة حياة المنتج، وليس مجرد خطوة لاحقة بعد وقوع الثغرات. كما يضع القانون أعباءً مباشرة على الموردين، لكنه في الوقت نفسه يفرض على المؤسسات المستفيدة من هذه البرمجيات أن تفهم ما تستخدمه فعلياً وأن تدير المخاطر المرتبطة به.

ومن أبرز ما يلفت الانتباه في هذا التشريع أنه يتعامل مع الأمن السيبراني باعتباره قضية سلسلة توريد كاملة، لا مجرد مشكلة تخص كوداً برمجياً منفرداً. وهذا يعني أن المؤسسات التي تعتمد على مكونات مفتوحة المصدر أو حلولاً تجارية متعددة ستحتاج إلى تتبع أوسع لما يدخل في أنظمتها، وكيفية اختباره، ومن يتحمل مسؤولية أي خلل يظهر لاحقاً.

كما ينشئ القانون دوراً تنظيمياً جديداً داخل المؤسسات يتمثل في الإشراف على البرمجيات مفتوحة المصدر، مع مسؤولية التأكد من وجود سياسة أمنية واضحة تحكم استخدامها. ويُنظر إلى هذا التغيير باعتباره محاولة لسد الفجوة التقليدية بين فرق التطوير وفرق الامتثال والأمن، وهي فجوة كثيراً ما أضعفت القدرة على توثيق الأصول البرمجية بشكل دقيق.

مراحل التنفيذ والغرامات

بدأ التنفيذ الفعلي للقانون على مراحل. ففي الحادي عشر من يونيو، دخلت حيز السريان الأحكام المتعلقة بتعيين هيئات تقييم المطابقة من جانب الدول الأعضاء. وبعد ذلك، سيتعين على المصنّعين بدء الإبلاغ عن الثغرات الأمنية في منتجاتهم اعتباراً من الحادي عشر من سبتمبر. أما الالتزامات الأوسع التي تشمل العقوبات المالية الكبيرة، فستدخل حيز التطبيق الكامل في الحادي عشر من ديسمبر 2027.

ورغم هذه الجداول الزمنية المعروفة مسبقاً، فإن الوعي داخل قطاع الأعمال يبدو محدوداً. وأظهر الاستطلاع أن 56% من المشاركين لم يكونوا على دراية بأن الغرامات عند عدم الامتثال قد تصل إلى 15 مليون يورو أو إلى 2.5% من الإيرادات السنوية العالمية، أيهما أكبر. وتُعد هذه الأرقام من بين العناصر التي قد تغيّر حسابات المخاطر لدى الشركات بمجرد أن تبدأ الجهات التنظيمية في تطبيق العقوبات فعلياً.

وتكتسب هذه الغرامات أهمية إضافية لأن سقف العقوبة يُحتسب على أساس كل مخالفة على حدة، وليس على أساس الشركة بالكامل، ما قد يضاعف الكلفة النهائية في حال وجود أكثر من خرق أو منتج غير متوافق.

البرمجيات مفتوحة المصدر تحت المجهر

أحد أسباب القلق الرئيسية لدى الخبراء هو أن القانون لا يتعامل فقط مع المنتجات التجارية الجاهزة، بل يمتد أثره إلى البرمجيات مفتوحة المصدر التي أصبحت مكوّناً أساسياً في معظم الأنظمة الحديثة. وهذه النقطة مهمة لأن كثيراً من المؤسسات لا تملك رؤية كاملة لمكوّنات البرمجيات التي تعتمد عليها، خاصة عندما تكون الحزم البرمجية متداخلة عبر مئات أو آلاف الاعتمادات.

وفي هذا السياق، يبرز ملف قائمة مكونات البرمجيات، أو ما يعرف اختصاراً بـSBOM، باعتباره عنصراً محورياً في الامتثال. فالشركات مطالبة بأن تكون قادرة على تقديم هذا السجل بشكل موثوق، بما يوضح المكوّنات والاعتمادات البرمجية المستخدمة داخل المنتج. ويُنظر إلى هذه الخطوة كوسيلة لتحسين الشفافية وتقليل فرص إخفاء المخاطر داخل سلاسل التوريد الرقمية.

ويرى مختصون أن بعض الشركات ربما تفترض خطأً أن التشريع يخص الموردين وحدهم، في حين أن المستخدمين النهائيين قد يظنون أنهم خارج نطاق التطبيق. إلا أن هذا الفهم يبدو مضللاً، لأن القانون يفرض في الواقع مستوى أوسع من المسؤولية على المنظومة بأكملها، من التطوير إلى النشر إلى الاستخدام داخل المؤسسة.

الذكاء الاصطناعي يعقّد الامتثال

أحد التطورات التي قد تجعل الامتثال أكثر صعوبة هو الاستخدام المتسارع لأدوات الذكاء الاصطناعي في كتابة الشيفرة البرمجية. فهذه الأدوات باتت تنتج أجزاء متزايدة من الكود داخل فرق التطوير، لكن هذا التسريع لا يعني بالضرورة أن المؤسسات تعرف بدقة ما تم إنشاؤه أو كيف تم بناؤه أو ما الاعتمادات التي تم إدخالها ضمنه.

المشكلة الأساسية هنا أن مساعدات البرمجة المعتمدة على الذكاء الاصطناعي لا تفهم السياسات الداخلية للشركات ولا التزاماتها القانونية ولا قواعدها الخاصة بإدارة البرمجيات المفتوحة المصدر. ونتيجة لذلك، قد تظهر داخل المنتج مكونات أو أنماط أو ثغرات يصعب ربطها بقرار بشري واضح أو بمطور محدد، وهو ما يربك فرق الأمن والحوكمة عند محاولة تتبع المسؤولية.

هذا التعقيد يضيف طبقة جديدة إلى التحدي التنظيمي الذي يفرضه القانون الأوروبي. فالمطلوب لم يعد فقط توثيق البرمجيات والتأكد من خلوها من الثغرات، بل أيضاً فهم كيف تم إنتاج الشيفرة نفسها، وما إذا كانت أدوات الذكاء الاصطناعي قد أدخلت عناصر غير مرئية في دورة التطوير التقليدية.

شركات كثيرة لا تعرف حجم المخاطر

تظهر نتائج الاستطلاع أيضاً أن 41% فقط من المصنّعين يعتقدون أنهم سيكونون مستعدين تماماً بحلول ديسمبر 2027، بينما قال 39% إنهم لا يعرفون متى يمكنهم الوصول إلى الجاهزية الكاملة. وهذه النسب توحي بأن كثيراً من المؤسسات تتعامل مع الملف بوصفه التزاماً مستقبلياً غامضاً، لا مشروع امتثال يحتاج إلى بدء فوري.

لكن الخبراء يحذّرون من أن التأخر قد يكون مكلفاً، خصوصاً إذا بدأت الهيئات التنظيمية في فرض الغرامات بصورة صارمة على غرار ما حدث في ملفات الامتثال الرقمي السابقة. فحتى لو استغرق التنفيذ الكامل وقتاً، فإن أولى الخطوات التنظيمية كافية لتغيير معادلة المخاطر داخل الشركات التي تعمل في السوق الأوروبية أو تتعامل مع عملاء أوروبيين.

وفي المحصلة، يكشف المشهد الحالي عن فجوة بين الإطار القانوني الجديد وبين جاهزية المؤسسات له. فبينما يسعى الاتحاد الأوروبي إلى بناء سوق أكثر أماناً للبرمجيات والأجهزة، ما زالت شركات عديدة في طور اكتشاف ما يعنيه هذا التغيير عملياً، من توثيق المكونات إلى مراقبة الثغرات إلى إعادة تنظيم مسؤوليات الأمن داخل فرق التطوير والحوكمة.