في خطوة تهدف إلى تعزيز الحصانة الرقمية للمملكة، اعتمدت الهيئة الوطنية للأمن السيبراني وثيقة ضوابط الأمن السيبراني الموجهة لجهات القطاع الخاص، وتحديداً تلك التي لا تمتلك بنى تحتية حساسة. يأتي هذا القرار لوضع الحد الأدنى من معايير الحماية المعلوماتية والتقنية للمنشآت الخاصة، بهدف الحد من المخاطر السيبرانية المتزايدة وضمان حماية الأصول الرقمية، فضلاً عن تأمين سرية وسلامة وتوافر المعلومات.
سياق التحول الرقمي ورؤية 2030
تأتي هذه الخطوة استكمالاً للجهود الحثيثة التي تبذلها المملكة العربية السعودية في إطار رؤية 2030، التي تضع التحول الرقمي في صلب أولوياتها. فمع التوسع الكبير في الاعتماد على الخدمات الإلكترونية والحلول الرقمية في قطاع الأعمال، برزت الحاجة الملحة إلى وجود إطار تنظيمي موحد يضمن بيئة عمل آمنة. وقد عملت الهيئة منذ تأسيسها على بناء منظومة متكاملة للأمن السيبراني، حيث لا تعد هذه الضوابط مجرد إجراءات روتينية، بل هي جزء من استراتيجية وطنية شاملة تهدف إلى جعل الفضاء السيبراني السعودي آمناً وموثوقاً، مما يعزز من مكانة المملكة كقوة رقمية إقليمية وعالمية.
تصنيف المنشآت وآليات الامتثال
وفقاً للوثيقة المعتمدة، تنطبق هذه الضوابط على جميع جهات القطاع الخاص المصنفة كمنشآت متناهية الصغر والصغيرة والمتوسطة والكبيرة التي لا تدير بنى تحتية حساسة. وقد قسمت الهيئة الجهات المستهدفة إلى فئتين رئيسيتين لضمان التناسب في التطبيق:
- الفئة الأولى (الجهات الكبيرة): وهي التي تضم أكثر من 250 موظفاً بدوام كامل أو تحقق إيرادات سنوية تتجاوز 200 مليون ريال سعودي. وتخضع هذه الفئة لضوابط أكثر شمولية تتضمن 3 مكونات أساسية، و22 مكوناً فرعياً، و65 ضابطاً إلزامياً.
- الفئة الثانية (الجهات الصغيرة والمتوسطة): وتشمل الجهات التي يتراوح عدد موظفيها بين 3 إلى 249 موظفاً، أو إيراداتها بين 3 ملايين و200 مليون ريال. وتطالب هذه الفئة بتطبيق مكون أساسي واحد، و13 مكوناً فرعياً، و26 ضابطاً إلزامياً.
انعكاسات تطبيق المعايير على الاقتصاد الرقمي
يحمل تطبيق ضوابط الأمن السيبراني أبعاداً اقتصادية وأمنية بالغة الأهمية. فعلى الصعيد المحلي، يساهم الالتزام بهذه الضوابط في رفع مستوى الثقة بين المستهلكين والشركات، حيث يشعر العملاء بالأمان عند مشاركة بياناتهم الشخصية والمالية. إقليمياً ودولياً، يعزز هذا التوجه من جاذبية البيئة الاستثمارية في المملكة، حيث تفضل الشركات العالمية العمل في أسواق تتمتع بتشريعات واضحة وحماية قوية للبيانات. كما أن تقليل مخاطر الاختراقات السيبرانية يوفر على الاقتصاد الوطني تكاليف باهظة قد تنجم عن تعطل الأعمال أو سرقة الملكية الفكرية.
المحاور الثلاثة لضوابط الأمن السيبراني
ترتكز الضوابط المعتمدة على ثلاثة محاور رئيسية لضمان شمولية الحماية:
- محور الأشخاص: ويركز على العنصر البشري من خلال تأهيل الموظفين ورفع وعيهم الأمني، وتعيين مسؤولين مؤهلين لحماية البيانات الشخصية، حيث تشترط الضوابط وجود خبرات لا تقل عن ثلاث سنوات في هذا المجال.
- محور الإجراءات: ويعنى بوضع سياسات وإجراءات موثقة وواضحة، بما في ذلك خطط التعامل مع حوادث تسرب البيانات ومراجعتها بشكل دوري لضمان فعاليتها.
- محور التقنية: ويشمل استخدام الأدوات والحلول التقنية الحديثة لمراقبة وحماية الأنظمة والشبكات بشكل مستمر، لضمان استمرارية الأعمال ومنع الوصول غير المصرح به.
إجراءات الحصول على شهادة الاعتماد
لضمان الامتثال، وضعت الهيئة مساراً واضحاً للحصول على شهادة الاعتماد، يبدأ بتقديم طلب رسمي مرفقاً بالوثائق الداعمة. وتستغرق عملية التقييم مدة أقصاها 90 يوم عمل. وتلزم الهيئة الجهات الحاصلة على الشهادة بالحفاظ على مستوى الالتزام طوال فترة سريانها، مع ضرورة الإبلاغ عن أي تغييرات قد تؤثر على الامتثال أو أي حوادث سيبرانية، مما يضمن استدامة الأمن الرقمي في القطاع الخاص.
