ضوابط الأمن السيبراني 2025: إلزام الشركات بالسعودة وفصل الإدارات

في خطوة استراتيجية تهدف لتعزيز الحصانة الرقمية للمملكة، أصدرت الهيئة الوطنية للأمن السيبراني وثيقة «ضوابط الأمن السيبراني لجهات القطاع الخاص من غير ذات البنى التحتية الحساسة» لعام 2025. وتضع هذه الوثيقة إطاراً تنظيمياً دقيقاً يُلزم الشركات الكبيرة والمتوسطة والصغيرة بمعايير أمنية صارمة، لضمان استمرارية الأعمال وحماية الاقتصاد الوطني من التهديدات المتصاعدة في الفضاء السيبراني.

سياق التحول الرقمي ورؤية 2030

تأتي هذه الإجراءات الحاسمة مواكبةً لمستهدفات رؤية المملكة 2030، التي تسعى لرفع مساهمة القطاع الخاص في الناتج المحلي الإجمالي إلى 65%، وزيادة حصة المنشآت الصغيرة والمتوسطة إلى 35%. ومع تسارع التحول الرقمي في المملكة وتبوؤها مراتب متقدمة عالمياً في مؤشرات الأمن السيبراني، أصبح وضع سياج رقمي آمن ضرورة ملحة لحماية المكتسبات الاقتصادية الضخمة. وتُعد هذه الضوابط جزءاً من جهود المملكة لترسيخ مكانتها كقوة رقمية إقليمية ودولية، مما يعزز ثقة المستثمرين في البيئة الرقمية السعودية.

تصنيف المنشآت والمعايير المحددة

استهدفت الضوابط الجديدة فئتين رئيستين تم تصنيفهما بدقة لضمان التناسب بين حجم المنشأة والمتطلبات الأمنية:

• الفئة الأولى (الجهات الكبيرة): تشمل الشركات التي تضم أكثر من 250 موظفاً أو تتجاوز إيراداتها السنوية 200 مليون ريال. أُلزمت هذه الفئة بـ 65 ضابطاً أساسياً موزعة على 22 مكوناً فرعياً لتغطية كافة الثغرات المحتملة في بنيتها التحتية المعقدة.
• الفئة الثانية (الجهات الصغيرة والمتوسطة): تضم المنشآت التي يتراوح عدد موظفيها بين 6 إلى 249 موظفاً، أو إيراداتها بين 3 ملايين و200 مليون ريال. خُصصت لها 26 ضابطاً أساسياً ضمن 13 مكوناً فرعياً، مع التركيز على حماية العمليات الجوهرية دون إثقال كاهلها بأعباء تنظيمية مفرطة.

الحوكمة: فصل الإدارات وسعودة القيادات

في تحول جوهري لهيكلة الشركات، ألزمت الضوابط الجهات الكبيرة بإنشاء وحدة إدارية مستقلة للأمن السيبراني ترتبط مباشرة برئيس الجهة. يهدف هذا الفصل التام عن إدارة تقنية المعلومات إلى منع تضارب المصالح، حيث أن دمج الإدارتين غالباً ما يؤدي إلى تغليب سرعة التشغيل على حساب الأمان.

كما شددت الوثيقة على بُعد وطني استراتيجي، يتمثل في إلزامية أن يتولى رئاسة هذه الإدارة وكوادرها الإشرافية مواطنون سعوديون متفرغون. وتأتي هذه الخطوة لتعزيز السيادة الرقمية وتوطين الخبرات في هذا القطاع الحساس، مما يضمن وجود كوادر وطنية مؤهلة قادرة على إدارة الأزمات السيبرانية وحماية البيانات الوطنية.

تعزيز الدفاعات التقنية وحماية البيانات

على الصعيد التقني، فرضت الهيئة تطبيق سياسات صارمة تشمل:

• إدارة الهويات: الإلزام باستخدام المصادقة متعددة العناصر (MFA) للدخول عن بُعد والبريد الإلكتروني.
• حماية البريد الإلكتروني: تفعيل بروتوكولات عالمية مثل (SPF) و(DMARC) لمنع انتحال الشخصية والتصدي لرسائل التصيد.
• النسخ الاحتياطي: إجراء نسخ دوري للأنظمة الحساسة واختبار قابليتها للاستعادة لمواجهة هجمات الفدية.
• أمن الأطراف الخارجية: تضمين متطلبات الأمن السيبراني في العقود مع الموردين ومزودي الخدمات السحابية، وتصنيف البيانات قبل استضافتها سحابياً.

وأكدت الهيئة أن هذه الضوابط تمثل الحد الأدنى المطلوب، محتفظة بحقها في إلزام أي جهة بضوابط إضافية عند الحاجة، مع استمرارها في تقييم مدى الالتزام لضمان بيئة عمل آمنة ومستقرة.