المملكة: "السيبراني" يُلزم الشركات بـ "سعودة" مسؤولي الأمن وفصل إداراتهم عن "التقنية"

أصدرت الهيئة الوطنية للأمن السيبراني وثيقة “ضوابط الأمن السيبراني لمنشآت القطاع الخاص دون بنية تحتية حساسة” لعام 2025، والتي تحدد إطارًا تنظيميًا دقيقًا يلزم الشركات الكبيرة والمتوسطة والصغيرة بالالتزام بالمعايير إجراءات أمنية مشددة لضمان استمرارية الأعمال وحماية الاقتصاد الوطني من التهديدات المتصاعدة.

وتأتي هذه الخطوة تماشياً مع أهداف رؤية المملكة 2030 التي تهدف إلى رفع مساهمة القطاع الخاص في الناتج المحلي الإجمالي إلى 65%، وزيادة حصة المنشآت الصغيرة والمتوسطة إلى 35%، وهو ما استلزم إنشاء سياج رقمي آمن يحمي هذه المكاسب الاقتصادية الضخمة من المخاطر السيبرانية.

وتستهدف الضوابط الجديدة فئتين رئيسيتين تم تصنيفهما بعناية بناء على المعايير «الشركات“، حيث تشمل الفئة الأولى “الجهات الكبيرة” التي يزيد عدد موظفيها عن 250 موظفاً أو التي تتجاوز إيراداتها السنوية 200 مليون ريال، وتلزمها الهيئة بتطبيق مجموعة شاملة من المعايير.

بينما تشمل الفئة الثانية «الجهات الصغيرة والمتوسطة» التي يتراوح عدد موظفيها من 6 إلى 249 موظفاً، أو التي تتراوح إيراداتها بين 3 ملايين و200 مليون ريال، حيث تم تخصيص ضوابط محددة لها تتناسب مع حجم أعمالها وطبيعة المخاطر التي قد تنشأ. إنه يواجه.

وحددت الوثيقة العبء التنظيمي للفئة الكبيرة من خلال الالتزام بـ 65 ضابطا أساسيا موزعين على 22 مكونا فرعيا تغطي ثلاثة محاور رئيسية، لضمان تغطية كافة الثغرات المحتملة في البنية التحتية التقنية لهذه الكيانات الضخمة.

بينما ألزمت الهيئة المنشآت الصغيرة والمتوسطة بالحد الأدنى الذي يشمل 26 موظفاً أساسياً ضمن 13 مكوناً فرعياً، مع التركيز بشكل أساسي على محور تعزيز الأمن السيبراني لضمان حماية عملياتها الأساسية دون إثقال كاهلها.

وترتكز الضوابط الصادرة على ثلاثة مكونات أساسية تشكل الهيكل العام للحماية، وهي حوكمة الأمن السيبراني، وتعزيز الدفاعات السيبرانية، بالإضافة إلى الأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية، لضمان المواجهة الشاملة ضد التهديدات.

وفيما يتعلق بالحوكمة، ألزمت الضوابط الجهات الكبيرة بإنشاء وحدة إدارية مستقلة للأمن السيبراني ترتبط مباشرة برئيس الجهة، لضمان فصلها التام عن إدارة تكنولوجيا المعلومات ومنع أي تضارب في المصالح قد يضعف المنظومة الأمنية.

كما أكدت الوثيقة على ضرورة أن يرأس هذه الإدارة وكوادرها الإشرافية مواطنون سعوديون متفرغون وذوو كفاءة عالية، وذلك لتعزيز السيادة الرقمية و توطين الخبرة في هذا القطاع الحساس

وفيما يتعلق بتعزيز الدفاعات، فرضت الهيئة على جميع الفئات تطبيق سياسات صارمة لإدارة الهويات والصلاحيات، بما في ذلك الاستخدام الإلزامي للمصادقة متعددة العوامل “MFA” لعمليات تسجيل الدخول عن بعد وعمليات البريد الإلكتروني.

وتضمنت المتطلبات الفنية الحماية الإلزامية للبريد الإلكتروني من خلال تفعيل البروتوكولات العالمية الموثوقة مثل “SPF” و”DMARC” لمنع انتحال الشخصية ومواجهة رسائل التصيد التي تعد البوابة الأولى للقرصنة.

وطالبت الضوابط الجهات بإجراء نسخ احتياطية دورية للأنظمة الحساسة واختبار قدرتها على التعافي، لضمان عدم توقف الأعمال في حالة تعرض الجهة لهجمات فدية أو كوارث رقمية.

وفيما يتعلق بالجانب الأمني ​​المتعلق بالأطراف الخارجية، ألزمت الوثيقة الجهات بإدراج متطلبات الأمن السيبراني في عقودها مع الموردين ومقدمي الخدمات السحابية، لضمان عدم تسرب البيانات من خلال طرف ثالث قد يكون الحلقة الأضعف.

كما دعت الضوابط إلى ضرورة تصنيف البيانات قبل استضافتها في السحابة، والتأكد من فصل البيئة التقنية للجهة عن الكيانات الأخرى في السحابة، مع التأكد من استعادة البيانات في شكل قابل للاستخدام عند انتهاء العقد.

وأكدت الهيئة أن هذه الضوابط تمثل الحد الأدنى المطلوب للحد من المخاطر السيبرانية، مبينة حقها في إلزام أي جهة بضوابط إضافية إذا نشأت الحاجة الأمنية لذلك، مع توليها مهمة التقييم المستمر لمدى الالتزام.