في خطوة استراتيجية تهدف إلى تحصين الاقتصاد الرقمي للمملكة، أصدرت الهيئة الوطنية للأمن السيبراني وثيقة «ضوابط الأمن السيبراني لجهات القطاع الخاص من غير ذات البنى التحتية الحساسة» لعام 2025. وتضع هذه الوثيقة إطاراً تنظيمياً دقيقاً يُلزم الشركات الكبيرة والمتوسطة والصغيرة بمعايير أمنية صارمة، لضمان استمرارية الأعمال وحماية المقدرات الوطنية من التهديدات السيبرانية المتصاعدة عالمياً.
سياق التحول الرقمي والمكانة العالمية
تأتي هذه الخطوة تعزيزاً لمكانة المملكة العربية السعودية التي تبوأت مراتب متقدمة في المؤشر العالمي للأمن السيبراني، حيث يعد الفضاء السيبراني الآمن ركيزة أساسية لنجاح مشاريع التحول الرقمي. ومع تسارع وتيرة الاعتماد على التقنية في قطاع الأعمال، باتت الهجمات السيبرانية تشكل خطراً وجودياً على استدامة الشركات، مما استدعى تدخلاً تنظيمياً لرفع مستوى الجاهزية، لا سيما وأن القطاع الخاص يعد شريكاً محورياً في تحقيق مستهدفات رؤية المملكة 2030 الرامية لرفع مساهمته في الناتج المحلي الإجمالي إلى 65%.
تصنيف المنشآت وتحديد المسؤوليات
استهدفت الضوابط الجديدة فئتين رئيستين تم تصنيفهما بدقة لضمان التناسب بين حجم المنشأة والمتطلبات الأمنية:
- الفئة الأولى (الجهات الكبيرة): وهي التي تضم أكثر من 250 موظفاً أو تتجاوز إيراداتها السنوية 200 مليون ريال. وقد ألزمتها الهيئة بتطبيق 65 ضابطاً أساسياً تغطي كافة الثغرات المحتملة.
- الفئة الثانية (الجهات الصغيرة والمتوسطة): وتشمل المنشآت التي يتراوح عدد موظفيها بين 6 إلى 249 موظفاً، أو إيراداتها بين 3 ملايين و200 مليون ريال، حيث خُصصت لها 26 ضابطاً أساسياً تركز على حماية العمليات الجوهرية.
حوكمة الأمن السيبراني وتوطين القيادات
لعل أبرز ما جاء في الوثيقة هو التغيير الجذري في هيكلة إدارات الأمن السيبراني، حيث ألزمت الضوابط الجهات الكبيرة بإنشاء وحدة إدارية مستقلة للأمن السيبراني ترتبط مباشرة برئيس الجهة، لضمان فصلها تماماً عن إدارة تقنية المعلومات، وذلك لمنع تضارب المصالح وضمان الحيادية في تقييم المخاطر.
وفي إطار تعزيز السيادة الرقمية، شددت الوثيقة على ضرورة «سعودة» منصب مسؤول الأمن السيبراني، مشترطة أن يتولى رئاسة هذه الإدارة وكوادرها الإشرافية مواطنون سعوديون متفرغون يتمتعون بالكفاءة، مما يفتح آفاقاً واسعة لتوظيف الكفاءات الوطنية في هذا القطاع الحيوي.
تعزيز الدفاعات التقنية وحماية البيانات
على الصعيد التقني، فرضت الهيئة سياسات صارمة تشمل:
- إلزامية استخدام المصادقة متعددة العناصر (MFA) للدخول عن بُعد والبريد الإلكتروني.
- تفعيل بروتوكولات حماية البريد الإلكتروني (SPF, DMARC) للتصدي لرسائل التصيد.
- إجراء نسخ احتياطي دوري للأنظمة الحساسة واختبار قابليتها للاستعادة لمواجهة هجمات الفدية.
- تضمين متطلبات الأمن السيبراني في العقود مع الموردين ومزودي الخدمات السحابية، لضمان عدم تسرب البيانات عبر الأطراف الثالثة.
وتهدف هذه المنظومة المتكاملة إلى خلق بيئة استثمارية آمنة وموثوقة، تدعم نمو الاقتصاد الرقمي وتقلل من الخسائر المحتملة الناجمة عن الجرائم الإلكترونية.
