ضوابط الأمن السيبراني 2025: توطين القيادات وفصل الإدارات

في خطوة استراتيجية تهدف إلى تحصين الاقتصاد الرقمي للمملكة، أصدرت الهيئة الوطنية للأمن السيبراني وثيقة «ضوابط الأمن السيبراني لجهات القطاع الخاص من غير ذات البنى التحتية الحساسة» لعام 2025. وتضع هذه الوثيقة إطاراً تنظيمياً دقيقاً ومُلزماً للشركات الكبيرة والمتوسطة والصغيرة، يفرض معايير أمنية صارمة لضمان استمرارية الأعمال وحماية المكتسبات الوطنية من التهديدات الرقمية المتصاعدة عالمياً.

سياق التحول الرقمي وأهمية القرار

يأتي هذا التحرك التنظيمي في وقت تشهد فيه المملكة العربية السعودية طفرة تقنية هائلة ضمن مستهدفات «رؤية 2030»، التي تسعى لرفع مساهمة القطاع الخاص في الناتج المحلي الإجمالي إلى 65%، وزيادة حصة المنشآت الصغيرة والمتوسطة إلى 35%. ومع تزايد الاعتماد على الحلول الرقمية، ارتفعت وتيرة الهجمات السيبرانية عالمياً، مما جعل الأمن السيبراني ركيزة أساسية للاستقرار الاقتصادي وليس مجرد خيار تقني. وتستهدف هذه الضوابط خلق بيئة استثمارية آمنة تعزز من ثقة المستثمرين وتحمي البيانات الحساسة للشركات والعملاء على حد سواء.

تصنيف دقيق للمنشآت والمسؤوليات

اعتمدت الهيئة في وثيقتها الجديدة تصنيفاً دقيقاً للفئات المستهدفة استناداً إلى معايير «منشآت»، لضمان تناسب الضوابط مع حجم المخاطر والموارد المتاحة:

• الفئة الأولى (الجهات الكبيرة): تشمل الكيانات التي تضم أكثر من 250 موظفاً أو تتجاوز إيراداتها السنوية 200 مليون ريال. وقد أُلزمت هذه الفئة بتطبيق 65 ضابطاً أساسياً موزعة على 22 مكوناً فرعياً تغطي كافة الجوانب الأمنية والتقنية.
• الفئة الثانية (الجهات الصغيرة والمتوسطة): تضم المنشآت التي يتراوح عدد موظفيها بين 6 إلى 249 موظفاً، أو إيراداتها بين 3 ملايين و200 مليون ريال. وخُصصت لها حزمة مخففة تشمل 26 ضابطاً أساسياً ضمن 13 مكوناً فرعياً، مع التركيز على حماية العمليات الجوهرية.

الحوكمة: توطين القيادات وفصل السلطات

أحدثت الوثيقة تغييراً جوهرياً في الهيكل الإداري للشركات الكبيرة، حيث ألزمتها بإنشاء وحدة إدارية مستقلة للأمن السيبراني تتبع مباشرة لرئيس الجهة، مما يضمن فصلها تماماً عن إدارة تقنية المعلومات (IT). يهدف هذا الفصل إلى منع تضارب المصالح وضمان حيادية الرقابة الأمنية.

وفي سياق تعزيز السيادة الرقمية، شددت الضوابط على ضرورة «سعودة» المناصب القيادية في هذه الوحدات، حيث اشترطت أن يتولى رئاسة إدارة الأمن السيبراني وكوادرها الإشرافية مواطنون سعوديون متفرغون يتمتعون بالكفاءة اللازمة، مما يسهم في توطين المعرفة والخبرات في هذا القطاع الحيوي.

تحصين الدفاعات التقنية وسلاسل الإمداد

لم تغفل الضوابط الجوانب التقنية الدقيقة، حيث فرضت تطبيق سياسات صارمة لإدارة الهويات، أبرزها إلزامية المصادقة متعددة العناصر (MFA) للدخول عن بُعد والبريد الإلكتروني. كما أوجبت تفعيل بروتوكولات حماية البريد الإلكتروني العالمية مثل (SPF) و(DMARC) للتصدي لهجمات التصيد وانتحال الشخصية.

وفيما يتعلق بالأمن السيبراني للأطراف الخارجية، ألزمت الوثيقة الشركات بتضمين متطلبات الأمان في عقودها مع الموردين ومزودي الخدمات السحابية، مع ضرورة تصنيف البيانات قبل استضافتها سحابياً، والتأكد من فصل البيئة التقنية للجهة عن غيرها، لضمان عدم تحول سلاسل الإمداد إلى ثغرة خلفية للاختراقات.