في خطوة استراتيجية تهدف إلى تحصين الاقتصاد الرقمي للمملكة، أصدرت الهيئة الوطنية للأمن السيبراني وثيقة «ضوابط الأمن السيبراني لجهات القطاع الخاص من غير ذات البنى التحتية الحساسة» لعام 2025. وتضع هذه الوثيقة إطاراً تنظيمياً دقيقاً يُلزم الشركات الكبيرة والمتوسطة والصغيرة بمعايير أمنية صارمة، لضمان استمرارية الأعمال وحماية المكتسبات الوطنية من التهديدات الرقمية المتصاعدة.
سياق التحول الرقمي ورؤية 2030
تأتي هذه الخطوة الحاسمة مواكبةً لمستهدفات رؤية المملكة 2030، التي تسعى لرفع مساهمة القطاع الخاص في الناتج المحلي الإجمالي إلى 65%، وزيادة حصة المنشآت الصغيرة والمتوسطة إلى 35%. وفي ظل هذا التحول الرقمي المتسارع الذي تشهده المملكة، أصبح الفضاء السيبراني ساحة حيوية تتطلب “سياجاً رقمياً” آمناً. وتُعد هذه الضوابط جزءاً من جهود المملكة المستمرة لتعزيز مكانتها كواحدة من الدول الرائدة عالمياً في مؤشرات الأمن السيبراني، حيث تهدف إلى خلق بيئة استثمارية آمنة تجذب رؤوس الأموال وتحمي بيانات المستثمرين والمستفيدين على حد سواء.
تصنيف دقيق للمنشآت والالتزامات
اعتمدت الضوابط الجديدة منهجية دقيقة في تصنيف المنشآت المستهدفة إلى فئتين رئيستين بناءً على معايير «منشآت»:
- الفئة الأولى (الجهات الكبيرة): وهي التي تضم أكثر من 250 موظفاً أو تتجاوز إيراداتها السنوية 200 مليون ريال. وقد ألزمتها الهيئة بتطبيق حزمة شاملة تتكون من 65 ضابطاً أساسياً موزعة على 22 مكوناً فرعياً، لتغطية كافة الثغرات المحتملة في بنيتها التحتية المعقدة.
- الفئة الثانية (الجهات الصغيرة والمتوسطة): وتشمل المنشآت التي يتراوح عدد موظفيها بين 6 إلى 249 موظفاً، أو إيراداتها بين 3 ملايين و200 مليون ريال. خُصصت لها ضوابط مرنة تشمل 26 ضابطاً أساسياً، تركز على حماية العمليات الجوهرية دون إثقال كاهلها بتكاليف تشغيلية باهظة.
حوكمة الأمن السيبراني وتوطين القيادات
لعل أبرز ما جاء في الوثيقة هو التوجه الصريح نحو تعزيز السيادة الرقمية من خلال “السعودة”. فقد ألزمت الضوابط الجهات الكبيرة بإنشاء وحدة إدارية مستقلة للأمن السيبراني ترتبط مباشرة برئيس الجهة، لضمان استقلاليتها التامة عن إدارة تقنية المعلومات ومنع تضارب المصالح. والأهم من ذلك، شددت الوثيقة على ضرورة أن يتولى رئاسة هذه الإدارة وكوادرها الإشرافية مواطنون سعوديون متفرغون يتمتعون بكفاءة عالية.
هذا التوجه لا يعزز الأمن القومي فحسب، بل يُتوقع أن يحدث تأثيراً إيجابياً كبيراً على سوق العمل المحلي من خلال خلق آلاف الفرص الوظيفية النوعية للكوادر الوطنية المتخصصة في مجالات الأمن السيبراني، مما يدعم ركيزة “اقتصاد مزدهر” ضمن الرؤية الوطنية.
تعزيز الدفاعات التقنية وحماية البيانات
على الصعيد التقني، فرضت الهيئة إجراءات وقائية صارمة تشمل:
- إدارة الهويات: الإلزام باستخدام المصادقة متعددة العناصر (MFA) لعمليات الدخول عن بُعد والبريد الإلكتروني.
- حماية البريد الإلكتروني: تفعيل بروتوكولات عالمية مثل (SPF) و(DMARC) للتصدي لرسائل التصيد وانتحال الشخصية.
- استمرارية الأعمال: وجوب إجراء نسخ احتياطي دوري للأنظمة الحساسة واختبار قابليتها للاستعادة لمواجهة هجمات الفدية.
- أمن الأطراف الخارجية: تضمين متطلبات الأمن السيبراني في العقود مع الموردين ومزودي الخدمات السحابية، مع التأكيد على تصنيف البيانات وفصل البيئات التقنية في السحابة.
ختاماً، أكدت الهيئة الوطنية للأمن السيبراني أن هذه الضوابط تمثل الحد الأدنى المطلوب، محتفظة بحقها في إلزام أي جهة بضوابط إضافية عند الحاجة، مع استمرارها في تقييم مدى الالتزام لضمان بيئة رقمية سعودية آمنة ومستدامة.
