أطلقت الهيئة الوطنية للأمن السيبراني «الإطار الوطني لإدارة مخاطر الأمن السيبراني» (NFCRM–1:2025) كمبادرة استراتيجية تهدف إلى بناء منظومة وطنية موحدة لإدارة مخاطر الأمن السيبراني، وترسيخ ثقافة الحوكمة وتعزيز صمود القطاعات الحيوية أمام التهديدات السيبرانية.
يرتكز الإطار على منهجية شاملة لتحديد وتقييم والتعامل مع سيناريوهات المخاطر المحتملة، ويتضمن مصفوفة دقيقة لقياس مستويات الأثر والاحتمالية، مما يساعد الجهات على تصنيف المخاطر وتحديد خطط الاستجابة المناسبة بناءً على معايير كمية ونوعية.
يشمل نطاق تطبيق الإطار:
- جميع الجهات الحكومية داخل المملكة
- الشركات والجهات التابعة لها داخل وخارج المملكة
- القطاع الخاص المشغّل أو المستضيف للبنية التحتية الوطنية الحساسة
كما يشجّع الإطار الجهات غير المشمولة بشكل مباشر، بما في ذلك الجهات غير الربحية والقطاع الخاص العام، على تبنّيه لتعزيز الحماية الذاتية ورفع مستوى الجاهزية السيبرانية.
ويوضّح الإطار الأدوار والمسؤوليات على مستويين:
- المستوى الوطني: من خلال تحديد جهات الاتصال، وحصر الأصول الحساسة، والتبليغ عن الثغرات والمخاطر، والرفع الدوري بخطط المعالجة.
- مستوى الجهة: بتفعيل دورة إدارة المخاطر التي تشمل أربع مراحل أساسية (التحديد، التقييم، التعامل، المتابعة) وتوثيقها بشكل مستمر.
ويعتمد الإطار على خمسة مستويات لتقييم الأثر والاحتمالية، تبدأ من “منخفض جداً” وتنتهي بـ”كارثي”، وتغطي عناصر السرية وسلامة البيانات وتوافر الأنظمة. كما يتضمن وصفاً لمستويات الاستغلال المحتملة بناءً على نوع المهاجم وقدرته وأفق الاستغلال الزمني.
يُعد هذا الإطار أداة تنفيذية للممارسين وصنّاع القرار في الجهات السيبرانية الوطنية، لتمكينهم من تحويل التحديات السيبرانية إلى نقاط تفوّق مؤسسي واستثماري.
