الأمن السيبراني: ضوابط إلزامية لسرية وحماية وتوافر معلومات الشركات
اعتمدت الهيئة الوطنية للأمن السيبراني ضوابط جديدة تُلزم منشآت القطاع الخاص غير الحساسة بتطبيق الحد الأدنى للحماية التقنية، بهدف تحصين الأصول الرقمية ضد التهديدات عبر معايير مؤسسية صارمة ومدروسة.
وتنطبق هذه المعايير الشاملة على كافة جهات القطاع الخاص التي لا تمتلك بنى تحتية حساسة، استناداً إلى التصنيفات الرسمية المعتمدة من الهيئة العامة للمنشآت الصغيرة والمتوسطة.
وتستهدف الضوابط فئتين رئيسيتين، تتربع على قمتها الكيانات الكبرى التي تتجاوز إيراداتها 200 مليون ريال أو تضم أكثر من 250 موظفاً، حيث تخضع لاشتراطات دقيقة تلائم تعقيداتها التشغيلية.
وتلتزم هذه المنشآت الكبرى بتطبيق منظومة حماية مكثفة تتألف من ثلاثة مكونات أساسية، وتتفرع إلى 22 مكوناً فرعياً، لتشمل في مجملها 65 ضابطاً إلزامياً لا تهاون في تطبيقها.
وفي المقابل، تشمل الفئة الثانية المنشآت الصغيرة والمتوسطة التي يتراوح كادرها بين 3 إلى 249 موظفاً، أو تحقق إيرادات سنوية تتراوح بين 3 و 200 مليون ريال سعودي.
وجرى تصميم ضوابط مرنة لهذه الشريحة الواسعة لتمكينها من حماية بياناتها، عبر إلزامها بمكون أساسي واحد، و 13 مكوناً فرعياً، وصولاً إلى 26 ضابطاً إلزامياً يتوافق مع قدراتها وإمكاناتها.
وتهدف هذه الخطوة غير المسبوقة لترسيخ إطار حماية متين يرتكز على ثلاثة محاور جوهرية، تتمثل في سرية المعلومات، وضمان سلامتها من التلاعب، وتوافرها المستمر للمستفيدين دون انقطاع.
وتستند الهيئة في استراتيجيتها الميدانية على تأهيل ”الأشخاص“ للتعامل مع المخاطر، وتوثيق ”الإجراءات“ وفق الممارسات الدولية، وتسخير ”التقنية“ الحديثة لمراقبة وحماية الأنظمة بكفاءة عالية.
وتفرض التعليمات الصادرة التزاماً صارماً بتعيين مسؤول متخصص في حماية البيانات، واشتراط امتلاك الكوادر لخبرة تقنية ونظامية لا تقل عن ثلاث سنوات لضمان احترافية التعامل مع الحوادث السيبرانية.
كما أوجبت الضوابط على الشركات صياغة خطط سنوية لتدريب الموظفين، وتوثيق التدابير التقنية لمواجهة تسرب البيانات، مع مراجعتها دورياً للتحقق من فاعليتها واستمرار التزامها بالمعايير.
ولتتويج هذا الالتزام، أتاحت الهيئة للجهات فرصة الحصول على ”شهادة اعتماد“ عبر تقديم طلب رسمي مدعوم بالوثائق، حيث تخضع لمراجعة تقييمية دقيقة تستغرق 90 يوم عمل كحد أقصى.
وتتضمن هذه الشهادة الرسمية عناصر فنية دقيقة تشمل رقم الاعتماد، وبيانات الجهة المرخصة، ومدة السريان، مع منح الهيئة صلاحية إضافة أي بنود تعزز مبدأ الشفافية والرقابة.
وفي حزم رقابي، حذرت الهيئة من إمكانية سحب أو إلغاء شهادة الاعتماد حال تقديم معلومات مضللة أو التراخي في تطبيق الاشتراطات، مع إلزام الجهات بالإبلاغ الفوري عن أي تعارض نظامي.
وحرصاً على العدالة المؤسسية، كفلت اللوائح حق المنشآت التجارية في الاعتراض على قرارات سحب الشهادة خلال 30 يوم عمل، مما يتيح لها تصحيح أوضاعها واستعادة موثوقيتها السيبرانية.
