في خطوة استراتيجية تهدف إلى تعزيز البنية التحتية الرقمية في المملكة العربية السعودية، أعلنت الهيئة الوطنية للأمن السيبراني عن اعتماد وثيقة "ضوابط الأمن السيبراني" الموجهة لجهات القطاع الخاص، وتحديداً تلك التي لا تمتلك بنى تحتية حساسة. يأتي هذا القرار ليرسخ معايير الأمان الرقمي ويضمن الحد الأدنى من الحماية للمعلومات والأصول التقنية في مواجهة التهديدات المتزايدة.
سياق التحول الرقمي ورؤية 2030
يأتي إصدار هذه الضوابط مواكباً للتحول الرقمي المتسارع الذي تشهده المملكة ضمن مستهدفات رؤية السعودية 2030. فمع اعتماد القطاع الخاص بشكل متزايد على التقنيات الحديثة والخدمات السحابية، أصبحت الحاجة ملحة لوجود إطار تنظيمي يضمن سرية المعلومات وسلامتها وتوافرها. وتعمل المملكة، التي حققت مراتب متقدمة عالمياً في المؤشر العالمي للأمن السيبراني، على سد أي ثغرات قد تستغلها التهديدات السيبرانية الداخلية أو الخارجية، مما يعزز من جاذبية بيئة الأعمال للاستثمارات الأجنبية والمحلية.
تصنيف المنشآت: معايير دقيقة للمسؤولية
راعت الهيئة في ضوابطها التفاوت في أحجام المنشآت وقدراتها، حيث تم تقسيم الجهات المستهدفة إلى فئتين رئيسيتين لضمان تطبيق فعال وواقعي:
- الفئة الأولى (الجهات الكبيرة): وهي المنشآت التي تضم أكثر من 250 موظفاً بدوام كامل أو تتجاوز إيراداتها السنوية 200 مليون ريال سعودي. ونظراً لتعقيد عملياتها، خُصصت لها ضوابط شاملة تتضمن 3 مكونات أساسية، و22 مكوناً فرعياً، و65 ضابطاً إلزامياً.
- الفئة الثانية (المنشآت الصغيرة والمتوسطة): وتشمل الجهات التي يتراوح عدد موظفيها بين 3 إلى 249 موظفاً، أو إيراداتها بين 3 ملايين و200 مليون ريال. وقد حُددت لها متطلبات تتناسب مع حجمها، تشمل مكوناً أساسياً واحداً، و13 مكوناً فرعياً، و26 ضابطاً إلزامياً.
المحاور الثلاثة: الإنسان، الإجراءات، والتقنية
ترتكز الضوابط الجديدة على فلسفة شمولية تغطي كافة جوانب الأمن السيبراني، مقسمة إلى ثلاثة محاور رئيسية:
- محور الأشخاص: ويركز على العنصر البشري كخط الدفاع الأول، من خلال إلزام الجهات بتأهيل الموظفين ورفع وعيهم الأمني، وتعيين مسؤولين مؤهلين لحماية البيانات.
- محور الإجراءات: ويشمل وضع سياسات تنظيمية موثقة، وخطط لإدارة المخاطر، وآليات واضحة للتعامل مع حوادث تسرب البيانات لضمان استمرارية الأعمال.
- محور التقنية: ويعنى بتبني الحلول التقنية اللازمة لحماية الشبكات والأنظمة، وضمان التشفير المناسب للبيانات الحساسة.
آلية الامتثال والحصول على الشهادة
لضمان الالتزام، وضعت الهيئة مساراً واضحاً للحصول على "شهادة اعتماد"، حيث يتم تقييم الطلبات خلال مدة أقصاها 90 يوم عمل. وتلزم الضوابط الجهات الحاصلة على الشهادة بالمحافظة على المعايير طوال فترة سريانها، مع ضرورة الإفصاح الفوري عن أي تغييرات جوهرية أو حوادث سيبرانية. ويعد هذا التنظيم نقلة نوعية تهدف إلى خلق بيئة سيبرانية آمنة وموثوقة تدعم النمو الاقتصادي وتحمي حقوق المستهلكين والشركاء في القطاع الخاص.
