بدأ الاتحاد الأوروبي هذا الأسبوع دخول مرحلة جديدة من تنظيم أمن المنتجات الرقمية، مع سريان أولى بنود قانون المرونة السيبرانية الذي يستهدف رفع مستوى الحماية في الأجهزة والبرمجيات المعروضة داخل السوق الأوروبية. لكن رغم أهمية التشريع، تشير بيانات حديثة إلى أن عدداً كبيراً من المؤسسات ما زال غير مدرك لما يعنيه عملياً، خصوصاً في ما يتعلق باستخدام البرمجيات مفتوحة المصدر داخل الأنظمة المؤسسية.
وبحسب استطلاع أجرته مؤسسة OpenSSF، فإن نحو ثلثي المشاركين لم يكونوا على دراية كافية بالقانون الجديد. هذه النتيجة تعكس فجوة واضحة بين سرعة تطور التشريعات الرقمية في أوروبا وبين جاهزية الشركات للتعامل معها، لا سيما في البيئات التي تعتمد بصورة واسعة على مكونات برمجية خارجية ومشروعات مفتوحة المصدر.
ما الذي يفرضه القانون الجديد؟
يركز قانون المرونة السيبرانية على جعل المنتجات الرقمية أكثر أماناً منذ مرحلة التصميم وحتى ما بعد طرحها في السوق. ولا يقتصر أثره على الشركات المصنعة للعتاد أو البرمجيات التجارية، بل يمتد أيضاً إلى المؤسسات التي تستخدم مكونات مفتوحة المصدر ضمن أنظمتها أو سلاسل توريدها التقنية.
ومن أبرز ما يطرحه التشريع أنه يخلق دوراً تنظيمياً جديداً داخل المؤسسات يُعرف باسم مشرف البرمجيات مفتوحة المصدر، وهو مسؤول عن التأكد من وجود سياسة أمنية واضحة لكل ما يُستخدم من برمجيات داخل الشركة، سواء كانت مطورة داخلياً أو مستوردة أو مبنية على مكونات مجتمعية مفتوحة.
كما أن القانون يتجه إلى فرض متطلبات أدق على الموردين، من بينها الإبلاغ عن الثغرات الأمنية إلى الجهات المختصة وفق جداول زمنية محددة. وهذه الخطوة تعني أن التعامل مع الأمن لم يعد خياراً تقنياً معزولاً، بل أصبح جزءاً من الالتزام القانوني والتنظيمي.
مواعيد السريان والالتزامات المقبلة
دخلت أولى عناصر القانون حيز التنفيذ في 11 يونيو، وتحديداً ما يتعلق بتعيين هيئات تقييم المطابقة من جانب الدول الأعضاء. ثم في 11 سبتمبر، تبدأ مرحلة أخرى أكثر حساسية، إذ يُطلب من المصنعين الإبلاغ عن الثغرات في منتجاتهم إلى السلطات المختصة.
أما الالتزامات الكاملة، بما فيها العقوبات المالية الكبيرة، فلن تُطبق إلا في 11 ديسمبر 2027. ورغم أن هذا الموعد يبدو بعيداً نسبياً، إلا أن الخبراء يحذرون من أن التحضير الفعلي يحتاج إلى وقت طويل، لأن الامتثال لا يتعلق بتعديل وثيقة أو إجراء واحد، بل بإعادة بناء كاملة لعمليات الحوكمة وإدارة المخاطر وسلاسل التوريد.
وتصل الغرامات المحتملة إلى 15 مليون يورو أو 2.5% من الإيرادات السنوية العالمية، أيهما أكبر، وهي عقوبات كفيلة بإحداث أثر بالغ على الشركات المتوسطة والصغيرة، فضلاً عن تأثيرها المباشر على الشركات الكبرى إذا وقع أكثر من مخالفة.
البرمجيات مفتوحة المصدر تحت المجهر
تكتسب القضية بعداً إضافياً بسبب الطبيعة المعقدة للبرمجيات مفتوحة المصدر. فالمؤسسات لا تستهلك هذه البرمجيات بوصفها حزمات منفصلة وواضحة فقط، بل تدمجها أحياناً عبر طبقات متعددة داخل أنظمة إنتاجية شديدة التشابك، ما يجعل تتبع أصل كل مكوّن أمراً صعباً.
وفي هذا السياق، يبرز مفهوم قائمة مكونات البرمجيات أو SBOM، وهي وثيقة يفترض أن توضح ما يحتويه المنتج البرمجي من حزم واعتمادات ومكتبات. ووفقاً للخبراء، فإن القانون الجديد يدفع باتجاه جعل هذه القوائم جزءاً أساسياً من متطلبات الأمان، بما يساعد على معرفة المكونات المعرضة للمخاطر أو المرتبطة بثغرات معلنة.
وتزداد أهمية هذا الأمر في القطاعات المنظمة مثل البنوك والجهات المالية والمؤسسات الحكومية، حيث قد تحتوي التطبيقات الواحدة على عشرات أو مئات الاعتمادات غير المرئية للمستخدم النهائي. ومع هذا التعقيد، يصبح السؤال عن المسؤولية أكثر إلحاحاً: من يتابع الثغرات؟ ومن يثبت الامتثال؟ ومن يضمن أن المكونات المدمجة آمنة بالفعل؟
الذكاء الاصطناعي يزيد صعوبة الامتثال
لا يأتي هذا التحدي من البرمجيات مفتوحة المصدر وحدها، بل يتعقد أكثر مع توسع استخدام أدوات الذكاء الاصطناعي في كتابة الشيفرة البرمجية. فبحسب خبراء أمنيين، لم تعد فرق التطوير قادرة دائماً على تتبع مصدر كل سطر أو كل اعتماد برمجي عندما تنتج أدوات المساعدة الذكية أجزاء كبيرة من الكود.
المشكلة هنا ليست فقط في السرعة التي يضيف بها الذكاء الاصطناعي الأكواد، بل في أنه قد يقترح أنماطاً أو مكتبات أو تكوينات لا تنسجم مع سياسات المؤسسة الأمنية أو مع التزاماتها القانونية. وهذا يعني أن إدارة المخاطر لم تعد تقتصر على مراجعة المطورين البشر، بل باتت تشمل أيضاً مراقبة المخرجات التي تنتجها النماذج الذكية.
ومع أن بعض المؤسسات تنظر إلى هذه الأدوات بوصفها وسيلة لزيادة الإنتاجية، فإن الواقع التنظيمي الجديد يفرض عليها أن تسأل: هل نعرف فعلاً ما الذي يدخل إلى منتجاتنا؟ وهل نملك سجلاً كاملاً للمكونات التي جرى تضمينها أو توليدها عبر أدوات الذكاء الاصطناعي؟
تأخر الشركات عن الاستعداد يثير القلق
الملفت في نتائج الاستطلاع أن قلة من المؤسسات تبدو واثقة من قدرتها على الوصول إلى الامتثال الكامل قبل الموعد النهائي في 2027. فجزء كبير من المشاركين قالوا إنهم لا يعرفون متى سيتمكنون من تحقيق ذلك، ما يشير إلى أن المشكلة ليست في إدراك المخاطر فقط، بل في غياب خطة تنفيذية واضحة.
ويرى محللون أن هذا التأخر يشبه إلى حد ما ما حدث في بدايات تطبيق تشريعات الخصوصية في أوروبا، حين لم تنتبه كثير من الشركات إلى حجم التغيير المطلوب إلا بعد بدء فرض الغرامات. لكن الفرق هذه المرة أن قانون المرونة السيبرانية يتعامل مع طبقات أعمق من البنية التقنية، ما يجعله أكثر تعقيداً من ناحية التتبع والتوثيق وإدارة الموردين.
ويحذر خبراء من أن تجاهل هذه التطورات قد يكون مكلفاً على المدى القريب، لأن التشريعات المماثلة قد لا تبقى محصورة داخل الاتحاد الأوروبي. فبلدان أخرى تدرس بالفعل نماذج تنظيمية مشابهة، ما قد يحول الامتثال إلى معيار عالمي في أسواق التكنولوجيا خلال السنوات المقبلة.
رسالة واضحة لقطاع التقنية
الرسالة الأساسية من القانون الأوروبي الجديد هي أن أمن البرمجيات لم يعد مسؤولية فرق الأمن فقط، بل مسؤولية تشغيلية وقانونية تشمل المطورين والموردين والمشترين والمستخدمين النهائيين. ومع تزايد اعتماد المؤسسات على البرمجيات مفتوحة المصدر وأدوات الذكاء الاصطناعي، يصبح بناء رؤية دقيقة للمكونات الداخلية ضرورة لا يمكن تأجيلها.
وبينما تستعد الجهات التنظيمية لتنفيذ المراحل التالية من القانون، تبدو الشركات أمام سباق حقيقي مع الوقت. فالمطلوب ليس فقط فهم النص القانوني، بل تحويله إلى عمليات فعلية تشمل الجرد البرمجي، وإدارة الثغرات، وتوثيق مكونات المنتجات، وتحديد المسؤوليات داخل المؤسسة بوضوح.
في المحصلة، لا يتعامل الاتحاد الأوروبي مع الأمن السيبراني كميزة إضافية، بل كبنية أساسية يجب إثباتها وإدارتها ومراجعتها باستمرار. ومع دخول قانون المرونة السيبرانية طور التنفيذ، سيُختبر مدى جاهزية الشركات العالمية على التكيف مع مرحلة جديدة من الشفافية والمساءلة في صناعة التكنولوجيا.