نيويورك تقيد مشتريات الجهات الحكومية من تقنيات محظورة وتلزم بقائمة تقنيات مقيدة تحدث دورياً

أقرت ولاية نيويورك قانوناً جديداً يهدف إلى تقليص المخاطر السيبرانية في مشتريات الجهات الحكومية، ويلزم هذه الجهات، بما في ذلك البلديات، بالامتناع عن شراء أو تجديد عقود تقنيات اتصالات ومعلومات محظورة على المستوى الاتحادي أو تدرج في قائمة تقنيات مقيدة تحدّث بصفة دورية. وينتظر أن يدخل هذا القانون حيز التنفيذ في عام 2027، بعد عامين من تحوله إلى قانون نافذ بموجب التشريع المعروف بـ S3259/A2237.

يستهدف القانون الحد من تسرب البيانات الحساسة للجهات الحكومية إلى ما يسمى بالخصوم الأجانب، خصوصاً عند استخدام منتجات يخشى أن تتضمن برمجيات تجسس أو ثغرات أمنية أو أبواباً خلفية. وتشمل الفئات المشمولة بالحظر أجهزة الحاسب وكاميرات الويب والطائرات المسيرة وأشباه الموصلات ومكونات تقنية أخرى.

حظر التعاقد مع تقنيات محددة وتعريف دقيق للمنتجات المحظورة

ينص القانون على منع أي جهة تابعة للولاية أو بلدية من إبرام عقود شراء أو ترسية خدمات تتعلق بتقنيات المعلومات والاتصالات، سواء كانت أجهزة أو برمجيات أو نظم تحتوي على تقنيات معلومات مدمجة أو عرضية، إذا كانت مشمولة بالحظر الاتحادي بموجب المادة 889 من القانون العام الأميركي Public Law 115-232 الصادر عام 2018. ويستثني القانون أنظمة اتخاذ القرار المؤتمت (automated-decision making systems) من نطاق الحظر، رغم اعتماد باقي التعاريف التقنية على الوثائق الفيدرالية.

قائمة تقنية تحدّث دورياً بصلاحيات واسعة

يلزم القانون كبير مسؤولي المعلومات في ولاية نيويورك (CIO) بوضع قائمة بالتقنيات المقيدة وتحديثها دورياً بالتنسيق مع شعبة الأمن الداخلي وخدمات الطوارئ (DHSES) ومكتب الخدمات العامة (OGS). وتشترط الوثيقة أن تشمل القائمة تفاصيل دقيقة حول نطاق الحظر (كلي أو جزئي)، وأسباب إدراج كل تقنية، ونشرها إلكترونياً وتعميمها على مسؤولي المشتريات.

كما يجيز القانون منح إعفاءات مشروطة فقط في حال توافر معايير صارمة، مثل أن يكون الإعفاء في مصلحة الجهة العامة، أو عدم توفر بديل ضمن السعر الطبيعي في السوق الأميركي، أو ألا يهدد الإعفاء أمن وسلامة شبكة حكومية.

ويؤكد النص أن القانون لا يفرض إزالة أو استبدال التقنيات المستخدمة قبل سريانه، ولا يلزم المتعاقدين أو مستفيدي المنح الحكومية بذلك، لكنه يكلف مكتب الخدمات العامة (OGS) بإصدار لوائح تنظيمية وتوجيهات تنفيذية، مع إمكانية الشروع بها قبل موعد النفاذ، لتهيئة البنية الإدارية والتقنية للتطبيق الكامل.

امتداد مباشر لحظر اتحادي يشمل هواوي وZTE وداهوا

يرتبط هذا القانون مباشرة بالمادة 889 من القانون الفيدرالي التي تحظر معدات وخدمات الاتصالات والمراقبة بالفيديو، وتشمل منتجات شركات مثل Huawei وZTE وHytera وHikvision وDahua، بحسب الوثائق الفيدرالية.

كما يتكامل القانون مع إجراءات فيدرالية أوسع تتعلق بسلاسل التوريد لدى هيئة الاتصالات الفيدرالية (FCC) ضمن إطار قانون الشبكات الآمنة والموثوقة، والتي توسعت مؤخراً لتشمل الطائرات المسيرة ومكوناتها الحيوية، استناداً إلى تقييمات الأمن القومي، بينما كانت وكالة CISA قد دعت المؤسسات إلى إدماج هذه القائمة ضمن خطط إدارة المخاطر. 

لماذا يعد هذا التطور مهماً؟

تكمن الأهمية المهنية للقانون في كونه يرسخ إطاراً مرناً منظماً لإدارة المخاطر، من خلال قائمة محلية تبنى على معايير فنية واضحة، وآلية إعفاءات محددة المعايير، بدل ترك الأمر لاجتهادات غير منضبطة. ويتوقع أن يفرض هذا النموذج ضغطاً تنظيمياً على بقية الولايات لاعتماد سياسات مشابهة، ما يرفع سقف متطلبات الامتثال السيبراني للشركات التقنية الراغبة في التوسع داخل السوق الأميركي.