في خطوة استراتيجية تهدف إلى تحصين الاقتصاد الرقمي للمملكة، أصدرت الهيئة الوطنية للأمن السيبراني وثيقة «ضوابط الأمن السيبراني لجهات القطاع الخاص من غير ذات البنى التحتية الحساسة» لعام 2025. وتضع هذه الوثيقة إطاراً تنظيمياً صارماً يُلزم منشآت القطاع الخاص بمعايير دقيقة لضمان استمرارية الأعمال وحماية البيانات الوطنية.
سياق التحول الرقمي ورؤية 2030
تأتي هذه التحركات التنظيمية استجابةً للتسارع الكبير في التحول الرقمي الذي تشهده المملكة العربية السعودية ضمن مستهدفات «رؤية 2030». فمع سعي المملكة لرفع مساهمة القطاع الخاص في الناتج المحلي الإجمالي إلى 65%، وزيادة حصة المنشآت الصغيرة والمتوسطة إلى 35%، أصبح الفضاء السيبراني ساحة حيوية تتطلب حماية قصوى. وتُعد هذه الضوابط جزءاً من جهود المملكة لتعزيز مكانتها العالمية في مؤشرات الأمن السيبراني، حيث تواجه الاقتصادات الرقمية عالمياً تحديات متزايدة تتمثل في هجمات الفدية واختراقات البيانات، مما يستدعي وجود سياج رقمي وطني موحد.
تصنيف المنشآت وتحديد المسؤوليات
اعتمدت الهيئة منهجية دقيقة في تصنيف الجهات المستهدفة لضمان تناسب الضوابط مع حجم المخاطر، حيث تم تقسيم الشركات إلى فئتين:
- الفئة الأولى (الجهات الكبيرة): وهي التي تضم أكثر من 250 موظفاً أو تتجاوز إيراداتها السنوية 200 مليون ريال. وقد أُلزمت هذه الفئة بتطبيق 65 ضابطاً أساسياً تغطي كافة الجوانب الأمنية والتقنية.
- الفئة الثانية (الجهات الصغيرة والمتوسطة): وتشمل المنشآت التي يتراوح عدد موظفيها بين 6 إلى 249 موظفاً، أو إيراداتها بين 3 ملايين و200 مليون ريال، حيث خُصصت لها 26 ضابطاً أساسياً تركز على حماية العمليات الجوهرية دون إثقال كاهلها بأعباء تنظيمية مفرطة.
الحوكمة: سعودة القيادات وفصل الصلاحيات
أحدثت الوثيقة تغييراً جوهرياً في الهيكل الإداري للشركات الكبيرة، حيث فرضت إنشاء وحدة إدارية مستقلة للأمن السيبراني تتبع مباشرة لرئيس الجهة، مما يضمن فصلها تماماً عن إدارة تقنية المعلومات (IT) لمنع تضارب المصالح. وفي إطار تعزيز السيادة الرقمية وتوطين المعرفة، شددت الضوابط على أن يتولى رئاسة هذه الإدارة وكوادرها الإشرافية مواطنون سعوديون متفرغون يتمتعون بالكفاءة اللازمة، مما يفتح آفاقاً واسعة لتوظيف الكفاءات الوطنية في هذا القطاع الحيوي.
تحصين الدفاعات التقنية والسحابية
على الصعيد التقني، لم تكتفِ الهيئة بالعموميات، بل حددت إجراءات واجبة التنفيذ تشمل:
- إلزامية استخدام المصادقة متعددة العناصر (MFA) للدخول عن بُعد والبريد الإلكتروني.
- تفعيل بروتوكولات حماية البريد الإلكتروني العالمية (SPF, DMARC) للتصدي لرسائل التصيد وانتحال الشخصية.
- إجراء نسخ احتياطي دوري واختبار قابليته للاستعادة لمواجهة كوارث فقدان البيانات.
- تضمين متطلبات الأمن السيبراني في العقود مع الموردين ومزودي الخدمات السحابية، مع ضمان فصل بيانات الجهة عن غيرها في البيئات السحابية المشتركة.
وتؤكد هذه الضوابط أن الأمن السيبراني لم يعد خياراً تقنياً، بل ركيزة أساسية للاستقرار الاقتصادي، حيث تهدف الهيئة من خلال هذه المعايير إلى خلق بيئة استثمارية آمنة وموثوقة تدعم نمو القطاع الخاص وتحميه من التهديدات المتطورة.
