اعتماد ضوابط الأمن السيبراني للقطاع الخاص بالسعودية

أعلنت الهيئة الوطنية للأمن السيبراني عن اعتماد ضوابط الأمن السيبراني الجديدة والموجهة بشكل خاص لجهات القطاع الخاص التي لا تمتلك بنى تحتية حساسة. وتأتي هذه الخطوة الاستراتيجية بهدف وضع حد أدنى لمستويات الحماية المعلوماتية والتقنية في المنشآت الخاصة، مما يساهم في الحد من المخاطر السيبرانية المتزايدة الناجمة عن التهديدات الداخلية والخارجية، وضمان حماية الأصول الرقمية وتأمين سرية وسلامة وتوافر المعلومات.

نحو بيئة رقمية آمنة ومستدامة

يأتي هذا القرار في سياق الجهود الحثيثة التي تبذلها المملكة العربية السعودية لتعزيز مكانتها كقوة رقمية رائدة إقليمياً وعالمياً، وتماشياً مع مستهدفات رؤية المملكة 2030 التي تركز على التحول الرقمي كركيزة أساسية للتنمية. وتعمل الهيئة الوطنية منذ تأسيسها على بناء منظومة سيبرانية متينة تحمي المصالح الحيوية للدولة والقطاع الخاص على حد سواء. ويُعد تنظيم القطاع الخاص ورفع جاهزيته السيبرانية خطوة ضرورية لسد الثغرات التي قد تستغلها الجهات المعادية، خاصة مع تسارع وتيرة الاعتماد على التقنيات الحديثة في تسيير الأعمال التجارية.

تصنيف المنشآت ضمن ضوابط الأمن السيبراني

وتنطبق ضوابط الأمن السيبراني المعتمدة على جميع جهات القطاع الخاص المستهدفة وفقاً لتصنيفات محددة تعتمد على حجم المنشأة وإيراداتها، حيث تم تقسيم الجهات إلى فئتين رئيسيتين:

• الفئة الأولى (الجهات الكبيرة): وهي المنشآت التي تضم أكثر من 250 موظفاً بدوام كامل، أو تحقق إيرادات سنوية تتجاوز 200 مليون ريال سعودي. وتخضع هذه الفئة لضوابط شاملة تتناسب مع تعقيد عملياتها، تشمل 3 مكونات أساسية، و22 مكوناً فرعياً، و65 ضابطاً إلزامياً.
• الفئة الثانية (المنشآت الصغيرة والمتوسطة): وتشمل الجهات التي يتراوح عدد موظفيها بين 3 إلى 249 موظفاً، أو تتراوح إيراداتها بين 3 ملايين و200 مليون ريال. وتُلزم هذه الفئة بمتطلبات تتوافق مع قدرتها التشغيلية، تشمل مكوناً أساسياً واحداً، و13 مكوناً فرعياً، و26 ضابطاً إلزامياً.

الأثر الاقتصادي وتعزيز الثقة الاستثمارية

لا يقتصر تأثير هذه الضوابط على الجانب التقني فحسب، بل يمتد ليشمل أبعاداً اقتصادية هامة. فمن المتوقع أن يساهم الالتزام بهذه المعايير في تعزيز الثقة في البيئة الاستثمارية السعودية، حيث يبحث المستثمرون والشركاء الدوليون دائماً عن بيئات عمل آمنة تحمي بياناتهم وأصولهم الفكرية. كما سيؤدي تطبيق هذه الضوابط إلى تقليل الخسائر المالية الناتجة عن الهجمات السيبرانية وتسريب البيانات، مما يرفع من كفاءة الاقتصاد الرقمي الوطني ويحمي سمعة الشركات السعودية في الأسواق العالمية.

المحاور الرئيسية: الأشخاص، الإجراءات، والتقنية

ترتكز الضوابط المعتمدة على ثلاثة محاور رئيسية لضمان شمولية الحماية:

1. محور الأشخاص: يركز على تأهيل الكوادر البشرية ورفع وعي الموظفين بالمخاطر السيبرانية، لضمان أن يكون العنصر البشري خط الدفاع الأول وليس الحلقة الأضعف.
2. محور الإجراءات: يعنى بوضع سياسات وإجراءات موثقة وواضحة تتوافق مع الأنظمة المحلية والممارسات العالمية، لضمان سير العمليات بأمان.
3. محور التقنية: يشمل استخدام الأدوات والحلول التقنية الحديثة لمراقبة الأنظمة وحمايتها من الاختراقات بشكل مستمر.

آلية الامتثال والحصول على شهادة الاعتماد

لضمان الالتزام، حددت الهيئة مساراً واضحاً للحصول على شهادة الاعتماد، يبدأ بتقديم طلب رسمي مرفقاً بالوثائق الداعمة، ليتم تقييمه خلال 90 يوم عمل. وتلزم الضوابط الجهات الحاصلة على الشهادة بالحفاظ على مستوى الامتثال طوال فترة سريانها، وإبلاغ الهيئة بأي تغييرات جوهرية أو حوادث تسرب للبيانات. كما منحت الهيئة لنفسها الحق في سحب الشهادة في حال ثبوت عدم الالتزام أو تقديم معلومات مضللة، مع كفالة حق الجهة في الاعتراض وتصحيح أوضاعها خلال مهلة محددة، مما يعكس نهجاً تنظيمياً يتسم بالشفافية والعدالة.