DOI: https://doi.org/10.1080/1369118x.2025.2609780
تاريخ النشر: 2026-01-06
المؤلف: Fabian Maximillian Johannes Teichmann
الموضوع الرئيسي: دراسات الأمن السيبراني والحرب السيبرانية
نظرة عامة
تتناول ورقة البحث المشهد المتطور لحوكمة المنصات التي تشكلها توجيهات NIS2 الخاصة بالاتحاد الأوروبي وقانون المرونة السيبرانية المقترح (CRA)، والذي يرسخ مبدأ “الأمن السيبراني من التصميم” ضمن الخدمات الرقمية. توضح المتطلبات الرئيسية المفروضة على المنصات عبر الإنترنت، مثل إدارة المخاطر، والالتزامات المتعلقة بالتطوير الآمن، والتعامل مع الثغرات خلال دورة الحياة، وتقارن هذه مع المعايير الدولية مثل الأمر التنفيذي الأمريكي 14028 وISO 27001. تستخدم الدراسة أطرًا سوسيولوجية، بما في ذلك نظرية الشبكة الفاعلة ونظرية بورديو للممارسة، لتؤكد أن الأمن السيبراني من التصميم ليس مجرد تفويض تقني ولكن ممارسة اجتماعية تتأثر بالثقافة التنظيمية وتفاعلات أصحاب المصلحة.
تؤكد الخاتمة أن توجيه NIS2 وCRA يمثلان تحولًا كبيرًا في الحوكمة الرقمية، حيث يمددان مبادئ الأمن السيبراني عبر كل من الخدمات والمنتجات. تسلط الدراسة الضوء على أن التنفيذ الفعال يتطلب استيعاب ممارسات الأمن السيبراني داخل المنظمات، مما يستلزم التدريب، والتزام القيادة، والتكامل في استراتيجيات الأعمال. كما تحذر من احتمال الترسخ البيروقراطي وسوء استخدام تدابير الأمن. في النهاية، تدعو الورقة إلى نهج تعاوني بين التقنيين وصانعي السياسات والمجتمع لضمان أن يعزز الأمن السيبراني من التصميم بيئة رقمية مرنة مع حماية الحقوق الأساسية. ستعتمد نجاح هذه المبادرة على تحقيق التوازن بين الأمن والابتكار والحفاظ على حوار مستمر بين جميع أصحاب المصلحة.
مقدمة
تسلط مقدمة هذه الورقة البحثية الضوء على الاعتماد المتزايد لصانعي السياسات على الأطر التنظيمية لفرض “الأمن السيبراني من التصميم” في المنصات الرقمية، مدفوعة بزيادة الانتهاكات الكبيرة للبيانات والثغرات النظامية. تتطلب التدابير التشريعية الرئيسية، مثل التوجيه الثاني لشبكة وأمن المعلومات (NIS2) الخاص بالاتحاد الأوروبي وقانون المرونة السيبرانية (CRA) القادم، دمج الأمن من مرحلة التصميم حتى النشر التشغيلي. يبرز هذا التحول أن الأمن السيبراني يجب ألا يكون فكرة لاحقة ولكن جانبًا أساسيًا من أنظمة المعلومات. تُلاحظ مبادرات مماثلة في الولايات المتحدة ومن خلال المعايير العالمية مثل ISO/IEC 27001:2022، التي تدعو إلى ممارسات تطوير برمجيات آمنة.
تتبنى الدراسة عدسة سوسيولوجية لاستكشاف تنفيذ هذه الأطر التنظيمية داخل المنصات الكبيرة عبر الإنترنت، مثل وسائل التواصل الاجتماعي والتجارة الإلكترونية. تستند إلى نظريات من دراسات العلوم والتكنولوجيا (STS) والممارسة الاجتماعية لتحليل التفاعل بين القانون والتكنولوجيا والعوامل البشرية في تشكيل أمان المنصة. من خلال تأطير الأمن السيبراني كممارسة اجتماعية، تهدف البحث إلى سد الفجوة بين الحلول التقنية والوكالة البشرية، مشددة على أن نتائج الأمن تنشأ من تفاعلات كل من الفاعلين البشريين وغير البشريين. ستفصل الورقة أيضًا أحكام NIS2 وCRA، وتوضح نهجها التحليلي، وتناقش النتائج من دراسات الحالة التي توضح التحديات التي تواجهها المنصات في الالتزام بتفويضات الأمن من التصميم، مما يعكس في النهاية الآثار الأوسع لحوكمة المنصات في مشهد سوسيولوجي تقني معقد.
الطرق
تستخدم الدراسة نهج تحليل نظري وسياسي، حيث تجمع بين الأطر القانونية من توجيه NIS2 وتنظيم CRA مع رؤى من سوسيولوجيا التكنولوجيا. تتضمن فحصًا مفصلًا لهذه النصوص القانونية لاستخراج المتطلبات المتعلقة بالتصميم الآمن، وإدارة المخاطر، وإبلاغ الحوادث، والتي يتم وضعها في سياق من خلال مقارنات مع وثائق سياسية خارجية، مثل الأمر التنفيذي الأمريكي 14028 ومعيار ISO/IEC 27001. يهدف هذا التحليل المقارن إلى تحديد كل من المبادئ المشتركة والاختلافات في ممارسات الأمن السيبراني.
لتفسير الآثار العملية للأمن السيبراني من التصميم، تستخدم البحث نظرية الشبكة الفاعلة (ANT) ومفاهيم بورديو عن الحقل والعادات. تتيح ANT النظر في كل من العناصر التقنية (مثل بروتوكولات الأمان وقوائم التحقق من الامتثال) والفاعلين البشريين (مثل المهندسين والمنظمين) كأطراف مترابطة في شبكات الأمن السيبراني. يساعد إطار بورديو في فهم توزيع السلطة والخبرة التقنية داخل مجال الأمن السيبراني. على الرغم من أن التحليل مفاهيمي ولا يتضمن بيانات استبيانات أو مقابلات أصلية، إلا أنه يتضمن دراسات حالة توضيحية من مصادر ثانوية، مثل الحوادث الموثقة للأمن السيبراني التي تشمل منصات كبيرة مثل فيسبوك وتويتر، لتأسيس النقاش في سياقات العالم الحقيقي. تم تطبيق اختبار CRAAP لضمان مصداقية المصادر المستخدمة، مع إعطاء الأولوية للأدبيات التي تمت مراجعتها من قبل الأقران والتقارير الموثوقة مع استبعاد المصادر غير الأكاديمية ما لم يتم تأكيدها بأدلة مستقلة.
النتائج
تناقش قسم النتائج الالتزامات التنظيمية المتعلقة بتنفيذ مبادئ الأمن من التصميم في المنصات الرقمية. يبرز ضرورة أن تدمج المنصات تدابير الأمان من المراحل الأولية للتطوير، بدلاً من اعتبارها فكرة لاحقة. هذه المقاربة الاستباقية ضرورية للتخفيف من المخاطر المرتبطة بانتهاكات البيانات والتهديدات السيبرانية.
تشير النتائج الرئيسية إلى أن الأطر التنظيمية تفرض بشكل متزايد الامتثال لممارسات الأمن من التصميم، مما يبرز أهمية تقييم وإدارة المخاطر طوال دورة حياة تطوير البرمجيات. يكشف التحليل أن المنصات التي تلتزم بهذه الالتزامات لا تعزز فقط موقفها الأمني ولكن أيضًا تعزز ثقة المستخدمين والامتثال للمعايير القانونية. بشكل عام، تؤكد الدراسة على الدور الحاسم للإرشادات التنظيمية في تشكيل استراتيجيات أمان فعالة للمنصات الرقمية.
المناقشة
يتناول قسم المناقشة في ورقة البحث آثار توجيه NIS2 وقانون المرونة السيبرانية (CRA) على حوكمة الأمن السيبراني، مشددًا على التحول نحو نهج الأمن السيبراني من التصميم. يوسع توجيه NIS2، الذي يدخل حيز التنفيذ من عام 2023، نطاق تنظيمات الأمن السيبراني ليشمل مقدمي الخدمات الرقمية مثل منصات وسائل التواصل الاجتماعي، مما يتطلب منهم تنفيذ تدابير شاملة لإدارة المخاطر. يشمل ذلك التعامل مع الحوادث، واستمرارية الأعمال، وأمان سلسلة التوريد، وممارسات النظافة السيبرانية الأساسية، التي يجب أن تتماشى مع المعايير الحديثة. يكمل CRA هذا من خلال فرض متطلبات على المنتجات ذات العناصر الرقمية، مما يضمن دمج الأمان طوال دورة حياة المنتج، من التصميم إلى الصيانة.
تسلط الورقة الضوء على ضرورة تضمين الأمان في الثقافة التنظيمية، حيث إن مجرد الامتثال للتنظيمات لا يضمن الأمن السيبراني الفعال. تستند إلى نظرية بورديو للممارسة لتوضيح كيف أن شركات التكنولوجيا قد أولت تاريخيًا الأولوية للابتكار على الأمان، مما يشير إلى أن التنظيمات الجديدة تهدف إلى تغيير هذه الديناميكية من خلال زيادة التكاليف المرتبطة بالممارسات غير الآمنة. تستكشف المناقشة أيضًا دور التكنولوجيا في فرض تدابير الأمان، داعية إلى نهج تنظيمي قائم على التصميم يدمج بروتوكولات الأمان مباشرة في الأنظمة. علاوة على ذلك، تتناول الديناميات القوية بين المنصات والدول، مشيرة إلى أن التنظيمات تمثل إعادة تأكيد للسلطة الحكومية على حوكمة المنصات، التي كانت تقليديًا ذاتية التنظيم. سيعتمد نجاح هذه المبادرات على قدرة الهيئات التنظيمية والتكيف المستمر لكل من المنظمات والمنظمين مع التحديات المتطورة للأمن السيبراني.
DOI: https://doi.org/10.1080/1369118x.2025.2609780
Publication Date: 2026-01-06
Author(s): Fabian Maximillian Johannes Teichmann
Primary Topic: Cybersecurity and Cyber Warfare Studies
Overview
The research paper examines the evolving landscape of platform governance shaped by the European Union’s NIS2 Directive and proposed Cyber Resilience Act (CRA), which institutionalize the principle of ‘cybersecurity-by-design’ within digital services. It outlines the key requirements imposed on online platforms, such as risk management, secure development obligations, and lifecycle vulnerability handling, and compares these with international standards like the US Executive Order 14028 and ISO 27001. The study employs sociological frameworks, including actor-network theory and Bourdieu’s theory of practice, to argue that cybersecurity-by-design is not merely a technical mandate but a social practice influenced by organizational culture and stakeholder interactions.
The conclusion emphasizes that the NIS2 Directive and CRA represent a significant shift in digital governance, extending cybersecurity principles across both services and products. The study highlights that effective implementation requires internalization of cybersecurity practices within organizations, necessitating training, leadership commitment, and integration into business strategies. It also warns against potential bureaucratic entrenchment and misuse of security measures. Ultimately, the paper advocates for a collaborative approach among technologists, policymakers, and society to ensure that cybersecurity-by-design fosters a resilient digital environment while safeguarding fundamental rights. The success of this initiative will depend on balancing security with innovation and maintaining an ongoing dialogue among all stakeholders.
Introduction
The introduction of this research paper highlights the increasing reliance of policymakers on regulatory frameworks to enforce ‘cybersecurity-by-design’ in digital platforms, driven by the rise of significant data breaches and systemic vulnerabilities. Key legislative measures, such as the European Union’s second Network and Information Security Directive (NIS2) and the forthcoming Cyber Resilience Act (CRA), mandate that security be integrated from the design phase through operational deployment. This shift emphasizes that cybersecurity should not be an afterthought but a foundational aspect of information systems. Similar initiatives are observed in the United States and through global standards like ISO/IEC 27001:2022, which advocate for secure software development practices.
The study adopts a sociological lens to explore the implementation of these regulatory frameworks within large online platforms, such as social media and e-commerce. It draws on theories from Science and Technology Studies (STS) and social practice to analyze the interplay between law, technology, and human factors in shaping platform security. By framing cybersecurity as a social practice, the research aims to bridge the gap between technical solutions and human agency, emphasizing that security outcomes arise from the interactions of both human and non-human actors. The paper will further detail the provisions of NIS2 and the CRA, outline its analytical approach, and discuss findings from case studies that illustrate the challenges platforms face in adhering to security-by-design mandates, ultimately reflecting on the broader implications for platform governance in a complex sociotechnical landscape.
Methods
The study employs a theoretical and policy analysis approach, synthesizing legal frameworks from the NIS2 Directive and CRA Regulation with insights from the sociology of technology. It involves a detailed examination of these legal texts to extract requirements related to secure design, risk management, and incident reporting, which are then contextualized through comparisons with external policy documents, such as the US Executive Order 14028 and the ISO/IEC 27001 standard. This comparative analysis aims to identify both common principles and divergences in cybersecurity practices.
To interpret the practical implications of cybersecurity-by-design, the research utilizes actor-network theory (ANT) and Pierre Bourdieu’s concepts of field and habitus. ANT allows for the consideration of both technical elements (e.g., security protocols and compliance checklists) and human actors (e.g., engineers and regulators) as interconnected participants in cybersecurity networks. Bourdieu’s framework aids in understanding the distribution of power and technical expertise within the cybersecurity field. Although the analysis is conceptual and does not include original survey or interview data, it incorporates illustrative case studies from secondary sources, such as documented cybersecurity incidents involving major platforms like Facebook and Twitter, to ground the discussion in real-world contexts. A CRAAP test was applied to ensure the credibility of the sources used, prioritizing peer-reviewed literature and authoritative reports while excluding non-scholarly sources unless corroborated by independent evidence.
Results
The results section discusses the regulatory obligations pertaining to the implementation of security-by-design principles in digital platforms. It highlights the necessity for platforms to integrate security measures from the initial stages of development, rather than as an afterthought. This proactive approach is essential for mitigating risks associated with data breaches and cyber threats.
Key findings indicate that regulatory frameworks increasingly mandate compliance with security-by-design practices, emphasizing the importance of risk assessment and management throughout the software development lifecycle. The analysis reveals that platforms adhering to these obligations not only enhance their security posture but also foster user trust and compliance with legal standards. Overall, the study underscores the critical role of regulatory guidance in shaping effective security strategies for digital platforms.
Discussion
The discussion section of the research paper addresses the implications of the NIS2 Directive and the Cyber Resilience Act (CRA) for cybersecurity governance, emphasizing the shift towards a cybersecurity-by-design approach. The NIS2 Directive, effective from 2023, broadens the scope of cybersecurity regulations to include digital service providers like social media platforms, mandating them to implement comprehensive risk management measures. This includes incident handling, business continuity, supply chain security, and basic cyber hygiene practices, which must align with state-of-the-art standards. The CRA complements this by imposing requirements on products with digital elements, ensuring that security is integrated throughout the product lifecycle, from design to maintenance.
The paper highlights the necessity of embedding security into organizational culture, as mere compliance with regulations does not guarantee effective cybersecurity. It draws on Bourdieu’s theory of practice to illustrate how tech companies historically prioritized innovation over security, suggesting that the new regulations aim to alter this dynamic by increasing the costs associated with insecure practices. The discussion also explores the role of technology in enforcing security measures, advocating for a design-based regulatory approach that embeds security protocols directly into systems. Furthermore, it addresses the power dynamics between platforms and states, noting that the regulations represent a reassertion of governmental authority over platform governance, which has traditionally been self-regulated. The success of these initiatives will depend on the capacity of regulatory bodies and the ongoing adaptation of both organizations and regulators to evolving cybersecurity challenges.