درس 11: نظرة عامة على المشهد التنظيمي السيبراني السعودي — SAMA و NCA و SDAIA

ماذا ستتعلم في هذا الدرس

• التعرف على الجهات التنظيمية الثلاث الرئيسية للأمن السيبراني في السعودية ودور كل منها
• فهم الأطر والضوابط الصادرة عن SAMA وNCA وSDAIA وكيف تتداخل
• تحديد أي الأطر التنظيمية تنطبق على مؤسستك المالية
• بناء خريطة أولية للامتثال تجمع المتطلبات المشتركة بين الجهات الثلاث

ثلاث جهات، ثلاثة أطر، هدف واحد

إذا كنت تعمل في قسم الأمن السيبراني أو الامتثال في مؤسسة مالية سعودية، فأنت تتعامل يومياً مع متطلبات من ثلاث جهات مختلفة: البنك المركزي السعودي (SAMA)، والهيئة الوطنية للأمن السيبراني (NCA)، والهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA). كل جهة أصدرت إطاراً أو نظاماً خاصاً بها، وكل إطار يحمل متطلبات محددة تتقاطع أحياناً وتتفرد أحياناً أخرى. فهم هذا المشهد ليس ترفاً أكاديمياً — بل هو الخطوة الأولى لبناء برنامج امتثال فعّال لا يُثقل كاهل فريقك بالتكرار.

لنبدأ بتفكيك دور كل جهة على حدة، ثم نربط الصورة معاً.

البنك المركزي السعودي — SAMA

SAMA هو المنظم المباشر لكل مؤسسة مالية مرخصة في المملكة: البنوك، شركات التأمين، شركات التمويل، شركات المدفوعات، ومقدمو الخدمات المالية التقنية (Fintech). الإطار الرئيسي هو SAMA Cybersecurity Framework (CSCC) الذي صدر عام 2017 وخضع لتحديثات متعددة. يتكون من 4 مجالات رئيسية: حوكمة الأمن السيبراني، وإدارة المخاطر، والامتثال، والعمليات التشغيلية، ويندرج تحتها أكثر من 100 ضابط تفصيلي.

ما يميز SAMA عن غيرها هو أنها لا تكتفي بنشر الإطار — بل تجري مراجعات دورية (Cyber Maturity Assessments) وتطلب من المؤسسات تقديم تقارير ذاتية التقييم سنوياً. النتيجة تُصنَّف على مقياس من 1 إلى 5، وأي مؤسسة تحصل على أقل من 3 تواجه ملاحظات تصحيحية قد تتصاعد إلى عقوبات. إضافة لذلك، تُصدر SAMA تعاميم خاصة بمواضيع محددة مثل أمن الحوسبة السحابية، وأمن واجهات البرمجة المفتوحة (Open Banking)، والاستعانة بمصادر خارجية.

مثال عملي: شركة تمويل حصلت على ترخيص جديد من SAMA تلقّت طلباً بتقديم أول تقييم نضج سيبراني خلال 6 أشهر من بدء العمليات. الفريق الذي لم يفهم بنية CSCC أمضى 3 أشهر في محاولة مطابقة ضوابط ISO 27001 الخاصة بهم مع متطلبات SAMA يدوياً — وهو عمل كان يمكن اختصاره إلى أسابيع بوجود خريطة امتثال مُعدّة مسبقاً (Compliance Mapping Matrix).

الهيئة الوطنية للأمن السيبراني — NCA

NCA هي الجهة السيادية للأمن السيبراني في المملكة، أُسست بأمر ملكي عام 2017 وتتبع مباشرة لرئيس مجلس الوزراء. نطاق عملها يشمل جميع الجهات الحكومية والخاصة ذات البنية التحتية الحيوية — وهذا يعني أن المؤسسة المالية تخضع لـ NCA بالإضافة إلى SAMA وليس بدلاً منها.

الإطار الرئيسي هو الضوابط الأساسية للأمن السيبراني (ECC) بنسختها المحدّثة 2-2024، ويحتوي على 5 مكونات رئيسية و29 مكوناً فرعياً وأكثر من 114 ضابطاً. تشمل المجالات: حوكمة الأمن السيبراني، تعزيز الأمن السيبراني، صمود الأمن السيبراني، الأمن السيبراني المتعلق بالحوسبة السحابية والأطراف الخارجية، وأمن أنظمة التقنيات التشغيلية (OT). كما أصدرت NCA أطراً متخصصة أخرى مثل ضوابط الأمن السيبراني للحوسبة السحابية (CCC)، وضوابط الأمن السيبراني للعمل عن بُعد، وضوابط أنظمة التقنيات التشغيلية (OTCC).

NCA تُجري أيضاً تقييمات دورية عبر أداتها الإلكترونية، وتُلزم الجهات بتقديم بيانات الالتزام عبر بوابتها. عدم الامتثال لا يقتصر على غرامات مالية — بل قد يشمل إخطار الجهات العليا وتعليق بعض الخدمات الإلكترونية.

الهيئة السعودية للبيانات والذكاء الاصطناعي — SDAIA

SDAIA تُعنى أساساً بحوكمة البيانات والذكاء الاصطناعي، لكن تأثيرها المباشر على فرق الأمن السيبراني جاء من خلال نظام حماية البيانات الشخصية (PDPL) الذي دخل حيز التنفيذ في سبتمبر 2023 مع فترة انتقالية انتهت في سبتمبر 2024. هذا النظام يفرض على كل جهة تعالج بيانات شخصية — وكل مؤسسة مالية تفعل ذلك — متطلبات محددة تشمل: الحصول على موافقة صاحب البيانات، وتعيين مسؤول حماية بيانات (DPO)، وإخطار الجهة المختصة عند وقوع تسريب، وإجراء تقييمات أثر حماية البيانات (DPIA).

الفارق الجوهري هنا أن PDPL لا يتحدث عن ضوابط تقنية بقدر ما يتحدث عن حقوق أصحاب البيانات والتزامات الجهات تجاههم. لكن تنفيذ هذه الالتزامات يتطلب حتماً ضوابط تقنية: تشفير البيانات الشخصية، وتصنيفها، وتتبع الوصول إليها، والقدرة على حذفها عند الطلب. هنا يتقاطع PDPL مباشرة مع متطلبات SAMA وNCA.

كيف تتداخل الأطر الثلاثة — ولماذا هذا مهم

التحدي الحقيقي ليس فهم كل إطار على حدة — بل فهم كيف تتقاطع وأين تتفرد. لنأخذ مثالاً عملياً:

مثال عملي: متطلب "إدارة الحوادث الأمنية" موجود في الأطر الثلاثة: SAMA CSCC يطلب خطة استجابة للحوادث مع إخطار البنك المركزي خلال ساعات محددة. NCA ECC يطلب خطة استجابة مع إخطار CERT السعودي (Saudi CERT). PDPL يطلب إخطار SDAIA وأصحاب البيانات المتأثرين عند تسريب بيانات شخصية. فريقك لا يحتاج ثلاث خطط منفصلة — يحتاج خطة واحدة متكاملة تُلبي المتطلبات الثلاثة مع إجراءات إخطار مختلفة حسب طبيعة الحادث.

هذا النهج يُسمى Unified Compliance Framework أو إطار الامتثال الموحد. الفكرة بسيطة: بدلاً من التعامل مع كل إطار كمشروع مستقل، تبني مصفوفة تربط كل ضابط من SAMA بنظيره في NCA وPDPL، وتُنفذ الضابط مرة واحدة بما يُرضي الجميع. في فنترالينك نسمي هذا "Compliance Mapping Matrix" وهو أول ما نبنيه مع أي عميل جديد.

خريطة سريعة: أي إطار ينطبق عليك؟

لتبسيط الصورة، إليك قاعدة عامة للمؤسسات المالية السعودية:

• كل مؤسسة مالية مرخصة من SAMA تخضع حتماً لـ SAMA CSCC — هذا غير قابل للنقاش.
• كل جهة تُصنَّف كبنية تحتية حيوية أو تقدم خدمات إلكترونية تخضع لضوابط NCA ECC — ومعظم البنوك وشركات المدفوعات تدخل هنا.
• كل جهة تعالج بيانات شخصية لأفراد في السعودية تخضع لـ PDPL — وهذا يشمل فعلياً كل مؤسسة مالية دون استثناء.
• إذا كنت تستخدم خدمات حوسبة سحابية فأضف ضوابط NCA CCC إلى قائمتك.
• إذا كنت تعالج بيانات بطاقات دفع فأضف PCI-DSS v4.0 كمتطلب تعاقدي من شبكات الدفع.

الربط بالواقع السعودي

السعودية اليوم لديها واحد من أكثر المشاهد التنظيمية السيبرانية نضجاً في المنطقة. رؤية 2030 وتوسع الخدمات المالية الرقمية — من Open Banking إلى المدفوعات الفورية عبر منظومة سريع — تعني أن الرقابة ستزداد لا تقل. الجهات التنظيمية أصبحت أكثر تنسيقاً فيما بينها، لكنها لم تصل بعد لإطار موحد بالكامل. هذا يعني أن المسؤولية تقع على المؤسسة نفسها لبناء نهج امتثال ذكي يتجنب التكرار ويغطي جميع المتطلبات بأقل جهد ممكن.

أخطاء شائعة يجب تجنبها

• التعامل مع كل إطار كمشروع منفصل: هذا يؤدي إلى تكرار الجهد 3 مرات. ابنِ مصفوفة امتثال موحدة من البداية وربط الضوابط المتشابهة معاً.
• تجاهل PDPL لأنه "ليس تقنياً": العقوبات تصل إلى 5 ملايين ريال، وتنفيذ متطلباته يحتاج تغييرات تقنية حقيقية في أنظمة تصنيف البيانات والتشفير والحذف.
• الاعتماد على التقييم الذاتي فقط: كثير من المؤسسات تمنح نفسها درجات مرتفعة في التقييم الذاتي ثم تتفاجأ عند مراجعة SAMA الفعلية. استعن بطرف ثالث مستقل للتقييم قبل تقديم نتائجك.

ملخص الدرس

• المؤسسات المالية السعودية تخضع لثلاث جهات تنظيمية رئيسية: SAMA (القطاع المالي)، NCA (الأمن السيبراني الوطني)، وSDAIA (حماية البيانات الشخصية).
• الأطر تتقاطع في كثير من المتطلبات — خاصة في حوكمة الأمن السيبراني وإدارة الحوادث وإدارة المخاطر — مما يُتيح بناء إطار امتثال موحد يوفر الجهد.
• النهج الصحيح هو بناء Compliance Mapping Matrix يربط ضوابط الأطر الثلاثة ببعضها، ثم تنفيذ كل ضابط مرة واحدة بما يُلبي جميع المتطلبات.

الدرس القادم

في الدرس التالي سنتناول: SAMA Cybersecurity Framework (CSCC) — Structure, Domains, and Requirements — سنفكّك إطار SAMA بالتفصيل: المجالات الأربعة، والمكونات الفرعية، ومقياس النضج، وكيف تستعد لأول تقييم.

هل تريد تطبيق ما تعلمته على مؤسستك؟ تواصل مع فريق فنترالينك للحصول على تقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.