أصدرت الهيئة الوطنية للأمن السيبراني في 28 ديسمبر 2025، وثيقة “ضوابط الأمن السيبراني لجهات القطاع الخاص من غير ذوات البنى التحتية الحساسة”، في خطوة تهدف إلى رفع جاهزية هذه الجهات في مواجهة التهديدات الرقمية، وتقليل المخاطر على أصولها المعلوماتية والتقنية. وتضع الوثيقة حداً أدنى من متطلبات الأمن السيبراني يتوجب على الجهات المستهدفة الالتزام به، بما يعزز من حماية البيانات، ويقلل فرص الاختراق أو الاستغلال غير المشروع للأنظمة.
وبحسب الهيئة، فإن الضوابط الجديدة تستند إلى 3 ركائز رئيسية، هي: حوكمة الأمن السيبراني، وتعزيز الأمن السيبراني، والأمن السيبراني المتعلق بالأطراف الخارجية. وقد جرى تطوير هذه الوثيقة بعد دراسة مقارنة لمجموعة من أفضل الممارسات والإرشادات الوطنية والدولية ذات الصلة.
تصنيف المنشآت ونطاق الإلزام
اعتمدت الوثيقة تصنيف الهيئة العامة للمنشآت الصغيرة والمتوسطة “منشآت” لتحديد الفئات المستهدفة، حيث قسمت إلى فئتين:
- الفئة (أ): تشمل المنشآت الكبيرة التي يتجاوز عدد موظفيها 250 موظفاً أو تحقق إيرادات سنوية تفوق 200 مليون ريال. وتلزم هذه المنشآت بـ 65 ضابطاً أساسياً موزعة على 3 مكونات رئيسية و22 مكوناً فرعياً.
- الفئة (ب): تشمل المنشآت المتوسطة والصغيرة التي يتراوح عدد موظفيها بين 6 و249 موظفاً، أو تقع إيراداتها السنوية بين 3 و200 مليون ريال. وتلزم هذه الجهات بـ 26 ضابطاً أساسياً ضمن مكون رئيسي واحد و13 مكوناً فرعياً.
ونصت الوثيقة على تصميم هذه الضوابط على جميع الجهات التي تقع ضمن نطاقها، فيما تحتفظ الهيئة بحق إلزام أي منشأة بضوابط إضافية عند الحاجة، بما يتوافق مع حالة الجهة أو مستوى تعرضها للمخاطر.
أبرز محاور الضوابط الفنية والتنظيمية
تتضمن الضوابط عدداً من المتطلبات الفنية والتنظيمية التي ترتبط بشكل مباشر بأنشطة الجهات المستهدفة. ومن أبرز المحاور التي تناولتها الوثيقة ضمن مكون “تعزيز الأمن السيبراني”:
- إدارة الأصول
- إدارة هويات الدخول والصلاحيات
- حماية الأنظمة وأجهزة معالجة المعلومات
- أمن البريد الإلكتروني
- أمن الشبكات
- أمن الأجهزة المحمولة
- حماية البيانات وعمليات التشفير والنسخ الاحتياطي
- إدارة الثغرات الأمنية واختبارات الاختراق
- مراقبة السجلات وإدارة الحوادث السيبرانية
- حماية تطبيقات الويب
- الأمن المادي
كما أفردت الوثيقة مكوناً خاصاً بالتعامل مع الأطراف الخارجية والحوسبة السحابية وخدمات الاستضافة.
الالتزام والتقييم
شددت الوثيقة على أن الالتزام بالضوابط يجب أن يكون دائماً ومستداماً، وأكدت أن الهيئة ستتابع وتقيم مدى التزام الجهات المعنية وفق الآلية التي تراها مناسبة. ويشمل ذلك زيارات ميدانية، أو طلبات تقييم ذاتي، أو أي أدوات أخرى تراها الهيئة فعالة في ضمان التحقق من الالتزام.
وفي حين لم تحدد الوثيقة عقوبات مباشرة على الجهات غير الملتزمة، فإنها تفتح المجال لإجراءات إضافية أو إلزامية وفق ما تراه الهيئة ضرورياً لحماية البيئة السيبرانية الوطنية.
نص الوثيقة الكامل متوفر عبر الموقع الرسمي للهيئة الوطنية للأمن السيبراني.
