دليل الامتثال لمعايير الهيئة الوطنية للأمن السيبراني

ما هي الهيئة الوطنية للأمن السيبراني؟

الهيئة الوطنية للأمن السيبراني (NCA) هي الجهة المختصة في المملكة العربية السعودية بتنظيم الأمن السيبراني وحماية البنية التحتية الرقمية الحيوية. تأسست بموجب أمر ملكي في عام 2017، وتهدف إلى تعزيز حماية الفضاء السيبراني للمملكة وبناء القدرات الوطنية في هذا المجال.

حققت المملكة العربية السعودية المرتبة الثانية عالمياً في مؤشر الأمن السيبراني العالمي (GCI) الصادر عن الاتحاد الدولي للاتصالات (ITU) لعام 2024، مما يعكس الجهود الكبيرة التي بذلتها الهيئة في رفع مستوى النضج السيبراني على المستوى الوطني. وتعمل الهيئة على عدة محاور تشمل: وضع السياسات والأطر التنظيمية، بناء القدرات البشرية، تطوير الصناعة المحلية، وتعزيز التعاون الدولي.

تُشرف الهيئة على تطبيق مجموعة من الأطر التنظيمية التي يجب على المؤسسات الامتثال لها، أبرزها الضوابط الأساسية للأمن السيبراني (ECC)، وضوابط الأمن السيبراني للحوسبة السحابية (CCC)، وضوابط الأمن السيبراني للعمل عن بُعد، وضوابط الأمن السيبراني للأنظمة الحساسة (CSCC).

الضوابط الأساسية للأمن السيبراني (ECC) — الإطار التفصيلي

تُعد الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الإطار التنظيمي الرئيسي الذي يجب على جميع الجهات الحكومية والخاصة الحيوية الالتزام به. يتضمن هذا الإطار 114 ضابطاً موزعة على 5 محاور رئيسية:

المحور الأول: حوكمة الأمن السيبراني (Cybersecurity Governance)

يُركّز هذا المحور على وضع الأساس التنظيمي والإداري لإدارة الأمن السيبراني في المؤسسة. يشمل ذلك تعيين مسؤول أمن سيبراني على مستوى الإدارة العليا، ووضع استراتيجية وسياسات واضحة للأمن السيبراني، وإنشاء هيكل حوكمة يحدد الأدوار والمسؤوليات. كما يتطلب إجراء تقييم دوري للمخاطر السيبرانية وفقاً لمنهجية معتمدة، وتخصيص ميزانية كافية لتنفيذ الضوابط المطلوبة.

المحور الثاني: تعزيز الأمن السيبراني (Cybersecurity Defense)

يتناول هذا المحور الضوابط التقنية اللازمة لحماية الأصول المعلوماتية. يشمل إدارة الأصول المعلوماتية وتصنيفها، وإدارة الهويات والصلاحيات وفق مبدأ الحد الأدنى من الامتيازات (Least Privilege)، وحماية الشبكات من خلال تجزئة الشبكة (Network Segmentation) واستخدام جدران الحماية المتقدمة. كما يتضمن حماية التطبيقات عبر اختبارات الأمان المنتظمة، وتشفير البيانات أثناء النقل والتخزين، وإدارة التصحيحات الأمنية (Patch Management) بشكل منتظم.

المحور الثالث: صمود الأمن السيبراني (Cybersecurity Resilience)

يهدف هذا المحور إلى ضمان قدرة المؤسسة على مواصلة أعمالها والتعافي بسرعة في حال وقوع حادث سيبراني. يشمل وضع خطة استمرارية الأعمال (BCP)، وخطة التعافي من الكوارث (DRP)، وإجراء اختبارات دورية لهذه الخطط. كما يتطلب وجود فريق استجابة للحوادث السيبرانية (CSIRT) مع إجراءات واضحة للإبلاغ عن الحوادث للهيئة الوطنية خلال إطار زمني محدد.

المحور الرابع: الأمن السيبراني للأطراف الخارجية (Third-Party Cybersecurity)

يُعنى هذا المحور بإدارة المخاطر السيبرانية المرتبطة بالمورّدين ومقدّمي الخدمات والأطراف الخارجية. يتطلب إجراء تقييم أمني للأطراف الخارجية قبل التعاقد، وتضمين متطلبات الأمن السيبراني في العقود، ومراقبة مستوى الامتثال الأمني للمورّدين بشكل دوري. يُعد هذا المحور حيوياً في ظل تزايد هجمات سلسلة التوريد (Supply Chain Attacks) التي تستهدف المورّدين كنقطة دخول للوصول إلى المؤسسات المستهدفة.

المحور الخامس: الأمن السيبراني للحوسبة السحابية والاستضافة (Cloud & Hosting Cybersecurity)

مع تزايد اعتماد المؤسسات على الخدمات السحابية، يُركّز هذا المحور على حماية البيانات والأنظمة في البيئات السحابية. يشمل ضوابط لتصنيف البيانات وتحديد ما يمكن استضافته سحابياً، واختيار مزودي خدمات سحابية معتمدين، وتطبيق ضوابط الوصول والتشفير المناسبة. وتجدر الإشارة إلى أن الهيئة أصدرت إطاراً منفصلاً خاصاً بالحوسبة السحابية (CCC) يحتوي على ضوابط إضافية أكثر تفصيلاً.

مقارنة أطر الأمن السيبراني في المملكة

الإطار التنظيمي	الجهة المصدرة	النطاق	عدد الضوابط	الجهات الملزمة
ECC-1:2018	NCA	الأمن السيبراني الأساسي	114 ضابطاً	جميع الجهات الحكومية والبنية الحيوية
CCC-1:2020	NCA	الحوسبة السحابية	73 ضابطاً	مزودو ومستخدمو الخدمات السحابية
CSCC-1:2019	NCA	الأنظمة الحساسة	105 ضوابط	مشغلو الأنظمة الحرجة
PDPL	SDAIA	حماية البيانات الشخصية	43 مادة	جميع الجهات التي تعالج بيانات شخصية

خطوات تحقيق الامتثال — خارطة طريق عملية

الخطوة الأولى: تقييم الفجوات (Gap Assessment)

ابدأ بإجراء تقييم شامل للوضع الأمني الحالي لمؤسستك مقارنة بمتطلبات ECC. يتضمن هذا التقييم مراجعة السياسات والإجراءات الحالية، وفحص البنية التحتية التقنية، وتقييم مستوى الوعي الأمني لدى الموظفين، وتحديد نقاط الضعف والفجوات. يُنتج هذا التقييم تقريراً تفصيلياً يُصنّف الفجوات حسب الخطورة والأولوية. وفقاً لتجربتنا في نايت شيلد، تُظهر معظم المؤسسات فجوات رئيسية في محوري الحوكمة والصمود السيبراني.

الخطوة الثانية: وضع خارطة الطريق (Remediation Roadmap)

بناءً على نتائج تقييم الفجوات، قم بوضع خطة معالجة مفصّلة تتضمن الأولويات والجداول الزمنية والموارد المطلوبة (بشرية ومالية وتقنية). ركّز أولاً على الضوابط ذات الأولوية العالية التي تمثل أكبر المخاطر، ثم انتقل تدريجياً إلى الضوابط الأقل خطورة. من المهم أن تحصل الخطة على دعم الإدارة العليا وتخصيص الميزانية اللازمة لتنفيذها.

الخطوة الثالثة: تنفيذ الضوابط (Implementation)

نفّذ الضوابط المطلوبة وفقاً للخطة المعتمدة. يشمل ذلك تطوير وتحديث السياسات والإجراءات، ونشر الحلول التقنية (أنظمة SIEM، حلول إدارة الهويات، أدوات فحص الثغرات)، وتدريب الموظفين على الوعي الأمني وأدوارهم في حماية المعلومات. تأكد من توثيق كل خطوة لأغراض التدقيق والمراجعة اللاحقة.

الخطوة الرابعة: التدقيق والمراجعة (Audit & Review)

بعد تنفيذ الضوابط، أجرِ تدقيقاً داخلياً للتحقق من فعاليتها ومطابقتها للمتطلبات. يُفضّل الاستعانة بجهة تدقيق خارجية مستقلة لإجراء تقييم موضوعي. قم بمعالجة أي ملاحظات أو نقاط ضعف يكشفها التدقيق قبل تقديم تقرير الامتثال للهيئة.

الخطوة الخامسة: المراقبة المستمرة (Continuous Monitoring)

الامتثال ليس حدثاً لمرة واحدة، بل عملية مستمرة. أنشئ آليات مراقبة مستمرة تشمل: مراقبة الأحداث الأمنية على مدار الساعة، ومراجعة دورية للسياسات (كل 6-12 شهراً)، واختبارات اختراق منتظمة (مرة سنوياً على الأقل)، وتقييم دوري للمخاطر. استخدم أدوات المراقبة الأمنية المتقدمة لتتبع الأحداث والتنبيهات في الوقت الفعلي.

العقوبات والتبعات القانونية لعدم الامتثال

وفقاً لنظام مكافحة الجرائم المعلوماتية ولوائح الهيئة الوطنية للأمن السيبراني، تواجه المؤسسات غير الممتثلة عقوبات صارمة تشمل:

• غرامات مالية: قد تصل إلى 5 ملايين ريال سعودي حسب حجم المخالفة وتكرارها
• إيقاف الخدمات: إيقاف جزئي أو كلي لأنشطة المؤسسة حتى تحقيق الامتثال
• سحب التراخيص: في الحالات المتكررة أو الخطيرة، قد يُسحب ترخيص المؤسسة
• المسؤولية القانونية: تحمّل المسؤولين التنفيذيين للمسؤولية الشخصية في حالات الإهمال الجسيم

بالإضافة إلى العقوبات الرسمية، تتعرض المؤسسات غير الممتثلة لمخاطر أعمال كبيرة: فقدان ثقة العملاء والشركاء، وتكاليف الاختراقات الأمنية التي تبلغ وسطياً 4.88 مليون دولار عالمياً وفقاً لتقرير IBM لتكلفة اختراق البيانات لعام 2024، وخسارة الفرص التجارية مع الجهات الحكومية التي تشترط الامتثال كمتطلب للتعاقد.

الامتثال لمعايير الهيئة الوطنية للأمن السيبراني ليس مجرد متطلب تنظيمي، بل هو استثمار في حماية أصول مؤسستك الرقمية ومستقبلها. المؤسسات الممتثلة تتمتع بميزة تنافسية واضحة في السوق السعودي.

أبرز التحديات التي تواجه المؤسسات في رحلة الامتثال

من واقع عملنا مع عشرات المؤسسات السعودية، نرصد التحديات التالية بشكل متكرر:

• نقص الكوادر المتخصصة: صعوبة استقطاب والاحتفاظ بخبراء الأمن السيبراني المؤهلين، خاصة مع ارتفاع الطلب عالمياً. يُقدّر النقص العالمي في كوادر الأمن السيبراني بنحو 3.5 مليون وظيفة شاغرة وفقاً لتقرير (ISC)² لعام 2024
• تعقيد البنية التحتية: صعوبة تطبيق الضوابط على بيئات تقنية متنوعة تشمل أنظمة قديمة وحديثة وسحابية
• محدودية الميزانيات: خاصة في المؤسسات الصغيرة والمتوسطة التي تحتاج لتحقيق الامتثال بموارد محدودة
• مقاومة التغيير: صعوبة تغيير ثقافة المؤسسة وعادات الموظفين فيما يتعلق بالممارسات الأمنية
• التحديث المستمر: مواكبة التحديثات التي تصدرها الهيئة على الأطر التنظيمية والضوابط

كيف يساعدك نايت شيلد في تحقيق الامتثال؟

يقدم فريق نايت شيلد خدمات استشارية متكاملة لمساعدة المؤسسات في رحلة الامتثال، تشمل:

• تقييم شامل للفجوات: باستخدام منهجية معتمدة تُغطي جميع ضوابط ECC الـ 114، مع تقرير تفصيلي وتوصيات مُرتبة حسب الأولوية
• خارطة طريق مخصصة: خطة تنفيذ واقعية تراعي حجم مؤسستك وميزانيتها وبنيتها التحتية الحالية
• تنفيذ الحلول التقنية: نشر وتكوين أنظمة SIEM، وحلول إدارة الهويات، وأدوات فحص الثغرات الأمنية، وأنظمة المراقبة
• تدريب الكوادر: برامج تدريبية مخصصة لرفع مستوى الوعي الأمني وبناء القدرات الداخلية
• مراقبة مستمرة: خدمة مراقبة أمنية على مدار الساعة مع فريق SOC محلي متخصص

تواصل معنا للحصول على تقييم مجاني لمستوى امتثال مؤسستك لمعايير الهيئة الوطنية للأمن السيبراني.