"السيبراني" يُلزم الشركات بـ "سعودة" مسؤولي الأمن وفصل إداراتهم عن "التقنية" - عاجل

أصدرت الهيئة الوطنية للأمن السيبراني وثيقة «ضوابط الأمن السيبراني لجهات القطاع الخاص من غير ذات البنى التحتية الحساسة» لعام 2025، واضعةً إطاراً تنظيمياً دقيقاً يُلزم الشركات الكبيرة والمتوسطة والصغيرة بمعايير أمنية صارمة لضمان استمرارية الأعمال وحماية الاقتصاد الوطني من التهديدات المتصاعدة.
وتأتي هذه الخطوة مواكبةً لمستهدفات رؤية المملكة 2030 الرامية لرفع مساهمة القطاع الخاص في الناتج المحلي الإجمالي إلى 65%، وزيادة حصة المنشآت الصغيرة والمتوسطة إلى 35%، مما استدعى وضع سياج رقمي آمن يحمي هذه المكتسبات الاقتصادية الضخمة من المخاطر السيبرانية.

أخبار متعلقة السعودية: الخطوات التي قامت بها الإمارات بالغة الخطورة وأمن المملكة خط أحمرعدم الأهلية بسبب وجود سجل تجاري.. كيفية التعديل عبر حساب المواطن .article-img-ratio{ display:block;padding-bottom: 67%;position:relative; overflow: hidden;height:0px; } .article-img-ratio img{ object-fit: contain; object-position: center; position: absolute; height: 100% !important;padding:0px; margin: auto; width: 100%; } "السيبراني" يُلزم الشركات بـ "سعودة" - اليوم
تصنيف معايير المنشآت
وتستهدف الضوابط الجديدة فئتين رئيستين تم تصنيفهما بدقة بناءً على معايير «منشآت»، حيث تشمل الفئة الأولى «الجهات الكبيرة» التي تضم أكثر من 250 موظفاً أو تتجاوز إيراداتها السنوية 200 مليون ريال، وتلزمها الهيئة بتطبيق حزمة شاملة من المعايير.
فيما تضم الفئة الثانية «الجهات الصغيرة والمتوسطة» التي يتراوح عدد موظفيها بين 6 إلى 249 موظفاً، أو تتراوح إيراداتها بين 3 ملايين و200 مليون ريال، حيث خُصصت لها ضوابط محددة تتناسب مع حجم أعمالها وطبيعة المخاطر التي قد تواجهها.
وحددت الوثيقة العبء التنظيمي للفئة الكبيرة بالالتزام ب 65 ضابطاً أساسياً موزعة على 22 مكوناً فرعياً تغطي ثلاثة محاور رئيسية، لضمان تغطية كافة الثغرات المحتملة في البنية التحتية التقنية لهذه الكيانات الضخمة.
بينما ألزمت الهيئة الجهات الصغيرة والمتوسطة بحد أدنى من المتطلبات يشمل 26 ضابطاً أساسياً ضمن 13 مكوناً فرعياً، مع التركيز بشكل أساسي على محور تعزيز الأمن السيبراني لضمان حماية عملياتها الجوهرية دون إثقال كاهلها.
وترتكز الضوابط الصادرة على ثلاثة مكونات أساسية تشكل الهيكل العام للحماية، وهي حوكمة الأمن السيبراني، وتعزيز الدفاعات السيبرانية، إضافة إلى الأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية، لضمان شمولية المواجهة ضد التهديدات.
ضوابط الحوكمة
وفيما يخص الحوكمة، ألزمت الضوابط الجهات الكبيرة بإنشاء وحدة إدارية مستقلة للأمن السيبراني ترتبط مباشرة برئيس الجهة، لضمان فصلها تماماً عن إدارة تقنية المعلومات ومنع أي تضارب في المصالح قد يضعف المنظومة الأمنية.
كما شددت الوثيقة على ضرورة أن يتولى رئاسة هذه الإدارة وكوادرها الإشرافية مواطنون سعوديون متفرغون يتمتعون بكفاءة عالية، تعزيزاً للسيادة الرقمية وتوطين الخبرات في هذا القطاع الحساس.
وعلى صعيد تعزيز الدفاعات، فرضت الهيئة على جميع الفئات تطبيق سياسات صارمة لإدارة الهويات والصلاحيات، تشمل استخدام المصادقة متعددة العناصر «MFA» بشكل إلزامي لعمليات الدخول عن بُعد والبريد الإلكتروني.
وتضمنت المتطلبات التقنية إلزامية حماية البريد الإلكتروني عبر تفعيل بروتوكولات عالمية موثوقة مثل «SPF» و«DMARC» لمنع انتحال الشخصية والتصدي لرسائل التصيد التي تعد البوابة الأولى للاختراقات.
وأوجبت الضوابط على الجهات إجراء نسخ احتياطي دوري للأنظمة الحساسة واختبار قابليتها للاستعادة، لضمان عدم توقف الأعمال في حال تعرض الجهة لهجمات الفدية أو الكوارث الرقمية.
وفي محور الأمن المتعلق بالأطراف الخارجية، ألزمت الوثيقة الجهات بتضمين متطلبات الأمن السيبراني في عقودها مع الموردين ومزودي الخدمات السحابية، لضمان عدم تسرب البيانات عبر طرف ثالث قد يكون الحلقة الأضعف.
كما دعت الضوابط إلى ضرورة تصنيف البيانات قبل استضافتها سحابياً، والتأكد من فصل البيئة التقنية للجهة عن الجهات الأخرى في السحابة، مع ضمان استعادة البيانات بصيغة قابلة للاستخدام عند انتهاء التعاقد.
وأكدت الهيئة أن هذه الضوابط تمثل الحد الأدنى المطلوب لتقليل المخاطر السيبرانية، مشيرة إلى حقها في إلزام أي جهة بضوابط إضافية إذا دعت الحاجة الأمنية لذلك، مع توليها مهمة التقييم المستمر لمدى الالتزام.

المصدر: صحيفة اليوم