أخبار ar.wedoany.com، في الآونة الأخيرة، تواصلت إجراءات تشديد الرقابة على دورة حياة الأجهزة المتصلة بالشبكة والمنتجات البرمجية والأصول الشبكية الحيوية في كل من أوروبا والولايات المتحدة. فمن المقرر أن يبدأ تطبيق قانون الصمود السيبراني (Cyber Resilience Act - CRA) الأوروبي بشكل كامل اعتباراً من 11 ديسمبر 2027، حيث يشترط على "المنتجات ذات العناصر الرقمية" المطروحة في سوق الاتحاد الأوروبي استيفاء متطلبات الأمن السيبراني بشكل مستمر خلال مراحل التصميم والتطوير والطرح في السوق والصيانة. وفي السياق ذاته، تعمل وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) على الترويج لمعايير معلومات دورة الحياة مثل OpenEoX، لتعزيز شفافية المعلومات المتعلقة بتوقف إنتاج البرمجيات والأجهزة، وتوقف بيعها، وتوقف دعمها الأمني، وانتهاء دورة حياتها.

يتمثل القاسم المشترك لهذه التغييرات التنظيمية في وضع دورة تحديث البرمجيات، ودورة تشغيل الأجهزة، ومسؤولية الأمن السيبراني ضمن إطار امتثال واحد للإدارة. ففي السابق، كثيراً ما كانت تعاني المعدات الصناعية، ومعدات الشبكات، والأجهزة الطبية، وأجهزة إنترنت الأشياء الطرفية، والأنظمة المدمجة من مشكلة عدم التطابق حيث "تكون الأجهزة قادرة على العمل بينما توقفت برمجياتها عن تلقي الصيانة". إذ يستمر الجهاز في العمل على الشبكة، بينما لا يتلقى نظام التشغيل، أو البرامج الثابتة، أو برامج التشغيل، أو المكونات مفتوحة المصدر، أو وحدات الإدارة عن بُعد تحديثات أمنية، مما يؤدي في النهاية إلى تضخيم مشكلة دورة حياة منتج واحد لتصبح خطراً على سلسلة التوريد والبنية التحتية الحيوية.

يُعد قانون الصمود السيبراني الأوروبي (CRA) حالياً أحد أكثر القواعد تأثيراً مباشراً على تصميم منتجات الشركات وإجراءات طرحها في الأسواق. وتُظهر الإيضاحات الرسمية للاتحاد الأوروبي أن هذا القانون يستهدف المنتجات الرقمية بما فيها الأجهزة والبرمجيات، ويُلزم المصنعين بتحديد الثغرات الأمنية ومعالجتها، وتوفير التحديثات الأمنية، وضمان تمتع المنتج بقدرات أساسية في الأمن السيبراني عند طرحه في السوق، وذلك طوال دورة حياة المنتج بأكملها. وقد دخل قانون الصمود السيبراني حيز التنفيذ في ديسمبر 2024، على أن يبدأ تطبيق الالتزامات المتعلقة بالإبلاغ عن الثغرات والحوادث الخطيرة في 11 سبتمبر 2026، والتطبيق الكامل للالتزامات الرئيسية في 11 ديسمبر 2027.

يعني ذلك أنه لن يكون بوسع الشركات مستقبلاً الاكتفاء بإجراء اختبار أمني لمرة واحدة قبل طرح المنتج، بل سيتعين عليها إنشاء آلية مستدامة لصيانة ما بعد البيع، وإصدار التحديثات، والاستجابة للثغرات، والتوثيق الفني، وقائمة مكونات البرمجيات (SBOM)، وخطة إنهاء الدعم. وبالنسبة لمنتجات مثل وحدات التحكم الصناعية، والعدادات الذكية، وبوابات الاتصالات، وأجهزة التوجيه، والأجهزة الطبية، وأجهزة المنازل الذكية الطرفية، والإلكترونيات المستخدمة في المركبات، يجب التخطيط المسبق والمتزامن لإصدارات البرمجيات، ومنصة الرقاقة، ونظام التشغيل، والمكونات مفتوحة المصدر، والعمر الافتراضي للأجهزة القابل للصيانة. فبمجرد أن تعد الشركة بعمر افتراضي طويل للجهاز، يتوجب عليها أن تنظر في الوقت نفسه فيما إذا كانت تحديثات الأمن السيبراني للبرمجيات قادرة على تغطية الفترة الزمنية المقابلة.

أما التغييرات على الجانب الأمريكي، فتتجلى بشكل أكبر في حوكمة الأمن السيبراني الفيدرالية وأدوات التقييس. فقد شددت وكالة CISA في عام 2026 على قيمة اعتماد معيار OpenEoX، وهو معيار دولي صادر عن OASIS OPEN، يهدف إلى توحيد تبادل معلومات دورة الحياة في قطاعي البرمجيات والأجهزة، بما يشمل نقاطاً رئيسية مثل توقف البيع، وتوقف الدعم، وتوقف الدعم الأمني. وترى الوكالة أن هذا النوع من معلومات دورة الحياة القابلة للقراءة آلياً يمكن أن يساعد المؤسسات على التعرف بسرعة أكبر على المنتجات التي شارفت أو تجاوزت فترة الدعم داخل شبكاتها، وإدراج عمليات الاستبدال والترقيع ومعالجة المخاطر بشكل استباقي في إجراءات إدارة الثغرات.

بالنسبة للشركات المصنعة، ستترتب على التغييرات في القواعد الأوروبية والأمريكية ثلاثة تأثيرات مباشرة. أولاً، سيحتاج مديرو المنتجات إلى تحديد ما إذا كانت دورات حياة البرمجيات والأجهزة متطابقة منذ مرحلة إطلاق المشروع، بحيث لا يمكن بناء أجهزة صناعية ذات عمر تشغيلي طويل على مكونات برمجية قصيرة الدورة. ثانياً، ستحتاج فرق البحث والتطوير والامتثال إلى دمج الاستجابة للثغرات، وإصدار التحديثات، وإدارة قائمة مكونات البرمجيات (SBOM)، وحوكمة المكونات مفتوحة المصدر، والإفصاح عن معلومات نهاية العمر الافتراضي ونهاية الدعم (EOL/EOS) ضمن الإجراءات المعيارية. ثالثاً، ستحتاج فرق المبيعات وما بعد البيع إلى أن توضح للعملاء بوضوح فترات التحديثات الأمنية، وحدود الدعم، وترتيبات الإحالة للتقاعد، لتجنب استمرار تشغيل الأجهزة "وهي تعاني من خلل" في مواقع العملاء لفترات طويلة.

من المرجح أن يكون التأثير أكثر وضوحاً في القطاعين الصناعي والطبي. فعادةً ما تكون دورة نشر المعدات الصناعية طويلة، وتكاليف استبدالها في الموقع مرتفعة، وقد تعمل وحدة التحكم أو البوابة أو جهاز الفحص لأكثر من عشر سنوات. كما أن الأجهزة الطبية تنطوي على التسجيل، والتحقق، والاستخدام السريري، وأمن البيانات، ولا يمكن إيقاف تحديثها أو استبدال أنظمتها بشكل عشوائي. وإذا كانت فترة صيانة البرمجيات أقصر من دورة التشغيل الفعلية للجهاز، فستواجه الشركات ضغوطاً متراكمة تتعلق بالامتثال والأمن السيبراني ومسؤوليات ما بعد البيع. وبعد عام 2027، من المرجح أن يصبح "قابلية المنتج للصيانة الأمنية المستدامة" شرطاً مسبقاً هاماً لدخول السوق الأوروبية، والمشاركة في المشتريات العامة، وخدمة العملاء في القطاعات الحيوية.

سيغير هذا أيضاً من طريقة التعاون في سلسلة التوريد. إذ سيتعين على مصنعي الرقاقات، وشركات الوحدات، ومزودي أنظمة التشغيل، والقائمين على صيانة المكونات مفتوحة المصدر، ومصنعي الأجهزة، ومتكاملي الأنظمة، تبادل معلومات دورة الحياة بشكل أوضح. فبمجرد أن يتوقف مكون رئيسي عن تلقي الدعم الأمني، سيتعين على شركات المنتج النهائي تقييم خيارات الاستبدال، أو العزل، أو الترقيع بأثر رجعي، أو إحالة المنتج للتقاعد. وستصبح المعايير القابلة للقراءة آلياً مثل OpenEoX و SBOM و VEX وإشعارات الثغرات، أدوات هامة للشركات لدمج معلومات دورة الحياة في أنظمة إدارة الأصول وإدارة المخاطر.

غير أن الإجراءات التنظيمية في أوروبا وأمريكا لا تقتضي ببساطة أن تكون لجميع الأجهزة والبرمجيات أعمار افتراضية متماثلة تماماً. بل إن التغيير الأكثر دقة هو: يجب على الشركات أن تثبت أن مسؤولية الأمن السيبراني خلال دورة حياة المنتج قابلة للإدارة والتتبع والإفصاح، وألا تترك الأجهزة التي لا تزال تعمل في السوق وفي مواقع العملاء تعتمد لفترة طويلة على برمجيات غير خاضعة للصيانة. وبالنسبة للشركات الصينية المصدرة، ومصنعي المعدات الصناعية، وشركات إنترنت الأشياء، ومزودي البرمجيات المدمجة، سيصبح عام 2027 نقطة امتثال فاصلة للانتقال من "تسليم المنتج" إلى "تسليم دورة حياة أمنية قابلة للصيانة".

ستتركز نقاط المتابعة المستقبلية على الأدلة الإرشادية المصاحبة لقانون الصمود السيبراني الأوروبي، وقائمة المعايير المنسقة، ومسارات تقييم المطابقة، ووتيرة اعتماد الوكالات الفيدرالية الأمريكية لمعيار OpenEoX، بالإضافة إلى كيفية قيام الشركات متعددة الجنسيات بدمج إدارة دورة حياة البرمجيات والأجهزة في أنظمة إدارة دورة حياة المنتج (PLM)، والبحث والتطوير، وخدمات ما بعد البيع، وإدارة الثغرات. إن شروع القواعد الأوروبية والأمريكية الجديدة في دفع عجلة المواءمة بين دورة حياة البرمجيات والأجهزة اعتباراً من عام 2027، يوضح أن امتثال المنتجات الرقمية ينتقل من مرحلة الاعتماد لمرة واحدة، إلى مرحلة رقابية شاملة تغطي التصميم والإنتاج والطرح في السوق والصيانة والإحالة للتقاعد والاستجابة للثغرات.

تم إعداد هذا المقال بواسطة Wedoany. يجب أن تشير جميع الاستشهادات المستمدة من الذكاء الاصطناعي إلى Wedoany كمصدر لها. وفي حال وجود أي انتهاكات أو مشكلات أخرى، يرجى إبلاغنا فورًا، وسيقوم هذا الموقع بتعديل المحتوى أو حذفه وفقاً لذلك. البريد الإلكتروني: news@wedoany.com