إبريل 01, 2026

درس 13: ضوابط NCA ECC 2-2024 — ما الجديد وكيف تمتثل

المسار 2: الامتثال التنظيمي السعودي — الدرس 3 من 10. تعرّف على تحديثات NCA ECC 2-2024 وخطوات الامتثال العملية للمؤسسات المالية.

FyntraLink Team

المسار 2: الامتثال التنظيمي السعودي الدرس 3 من 10 المستوى: متوسط مدة القراءة: 10 دقائق

ماذا ستتعلم في هذا الدرس

الفرق بين إصدار ECC-1:2018 وإصدار ECC 2-2024 وأبرز التحديثات الجوهرية
الهيكل الجديد للضوابط: المجالات الرئيسية والفرعية وآلية التصنيف
المتطلبات المضافة في مجالات الحوسبة السحابية والتقنيات التشغيلية OT وأمن سلسلة التوريد
خطة عملية من 5 مراحل لتحقيق الامتثال في مؤسسة مالية سعودية

لماذا صدر إصدار جديد من الضوابط؟

عندما أصدرت الهيئة الوطنية للأمن السيبراني NCA الإصدار الأول من ضوابط الأمن السيبراني الأساسية ECC-1:2018، كان المشهد السيبراني السعودي مختلفاً تماماً. لم تكن الحوسبة السحابية منتشرة بهذا الحجم، ولم تكن التقنيات التشغيلية OT متصلة بالإنترنت كما هي اليوم، ولم يكن نظام حماية البيانات الشخصية PDPL قد صدر بعد. الإصدار الجديد ECC 2-2024 جاء ليعالج هذه الفجوات ويواكب التهديدات المتطورة التي تواجه المؤسسات السعودية.

الهدف ليس مجرد تحديث أرقام — بل إعادة هيكلة شاملة تجعل الضوابط أكثر وضوحاً في التطبيق وأسهل في القياس. إذا كنت مسؤول امتثال في مؤسسة مالية، فأنت أمام نافذة زمنية محددة للانتقال من الإصدار القديم إلى الجديد، وفهم التغييرات هو الخطوة الأولى.

أبرز التغييرات في ECC 2-2024

الإصدار الجديد يحتفظ بالمجالات الخمسة الرئيسية (الحوكمة، التعزيز، الصمود، أمن الطرف الثالث، أمن الحوسبة السحابية والتقنيات التشغيلية) لكنه يعيد ترتيب الضوابط الفرعية ويضيف متطلبات جديدة جوهرية. أبرز ما تغيّر يمكن تلخيصه في ثلاثة محاور:

المحور الأول — أمن الحوسبة السحابية: لم يعد كافياً أن تذكر أنك تستخدم مزود خدمة سحابية معتمد. الضوابط الجديدة تطلب تصنيف البيانات قبل نقلها للسحابة، وتحديد مسؤوليات الأمن بوضوح بين المؤسسة والمزود عبر نموذج المسؤولية المشتركة (Shared Responsibility Model)، وتنفيذ مراقبة مستمرة لبيئة السحابة باستخدام أدوات CSPM مثل Prisma Cloud أو Microsoft Defender for Cloud.

المحور الثاني — أمن التقنيات التشغيلية OT: المؤسسات المالية التي تدير مراكز بيانات أو أنظمة تحكم بيئي أصبحت مطالبة بفصل شبكات OT عن شبكات IT، وتطبيق ضوابط مراقبة مخصصة لبروتوكولات OT، وإجراء تقييمات ثغرات دورية لأنظمة SCADA وBMS.

المحور الثالث — أمن سلسلة التوريد: ضوابط الطرف الثالث أصبحت أكثر صرامة. يُطلب الآن تقييم المخاطر السيبرانية للموردين قبل التعاقد، ومراجعة دورية لوضعهم الأمني، وتضمين بنود أمنية واضحة في العقود تشمل حق التدقيق والإبلاغ عن الحوادث.

مثال عملي: بنك سعودي متوسط الحجم كان يستخدم خدمات سحابية من AWS لتشغيل تطبيقات الخدمات المصرفية الرقمية. عند مراجعة متطلبات ECC 2-2024، اكتشف أن عقده مع AWS لا يتضمن بنداً واضحاً حول إبلاغه بالحوادث الأمنية خلال 24 ساعة. الامتثال تطلّب إعادة التفاوض على الملحق الأمني للعقد (Security Addendum) وتفعيل AWS Security Hub مع تكامل مباشر مع مركز العمليات الأمنية SOC الخاص بالبنك.

الهيكل الجديد: كيف تقرأ الضوابط

كل ضابط في ECC 2-2024 يتبع ترميزاً واضحاً يسهّل التتبع والقياس. الترميز يتكون من: رمز المجال الرئيسي (مثل GV للحوكمة)، ثم رقم المجال الفرعي، ثم رقم الضابط. مثلاً: GV-2-3 يعني المجال الرئيسي: الحوكمة، المجال الفرعي الثاني، الضابط الثالث.

هذا الترميز يساعدك في بناء مصفوفة امتثال (Compliance Matrix) تربط كل ضابط بالسياسات والإجراءات الداخلية والأدلة المطلوبة. الخطوة العملية هنا هي إنشاء جدول يحتوي أعمدة: رمز الضابط، وصف الضابط، حالة الامتثال الحالية، الفجوة، الإجراء المطلوب، المسؤول، والموعد النهائي.

# مثال على بناء مصفوفة امتثال باستخدام Python
import pandas as pd

controls = [
    {"code": "GV-1-1", "domain": "الحوكمة", "description": "اعتماد سياسة أمن سيبراني", "status": "ممتثل", "gap": "لا يوجد", "action": "مراجعة سنوية", "owner": "CISO", "deadline": "2024-Q4"},
    {"code": "GV-2-3", "domain": "الحوكمة", "description": "تحديد الأدوار والمسؤوليات", "status": "جزئي", "gap": "لا يوجد RACI محدث", "action": "تحديث مصفوفة RACI", "owner": "GRC Manager", "deadline": "2024-Q3"},
    {"code": "DF-3-1", "domain": "التعزيز", "description": "إدارة الثغرات", "status": "غير ممتثل", "gap": "لا يوجد برنامج VM", "action": "تطبيق Tenable.io", "owner": "Security Ops", "deadline": "2024-Q2"},
]

df = pd.DataFrame(controls)
df.to_excel("ecc_compliance_matrix.xlsx", index=False)
print(f"تم إنشاء مصفوفة تحتوي {len(df)} ضابط")

خطة الامتثال من 5 مراحل

المرحلة 1 — تحليل الفجوات (Gap Analysis): قارن وضعك الحالي مع كل ضابط في ECC 2-2024. استخدم مصفوفة الامتثال لتوثيق الفجوات. هذه المرحلة تستغرق عادة 4-6 أسابيع لمؤسسة مالية متوسطة الحجم. ركّز على المجالات الجديدة أولاً: السحابة، OT، وسلسلة التوريد، لأن هذه غالباً حيث تكون الفجوات الأكبر.

المرحلة 2 — تحديد الأولويات: لن تستطيع معالجة كل الفجوات دفعة واحدة. صنّف الفجوات حسب: مستوى الخطورة (عالي، متوسط، منخفض)، وتأثيرها على العمليات، وتكلفة المعالجة. ابدأ بالضوابط ذات الخطورة العالية والتكلفة المنخفضة — هذه هي المكاسب السريعة (Quick Wins) التي تُظهر تقدماً سريعاً للإدارة العليا.

المرحلة 3 — التطبيق: نفّذ الإجراءات التصحيحية حسب الأولوية. يشمل ذلك تحديث السياسات والإجراءات، ونشر أدوات تقنية جديدة، وتدريب الموظفين. لكل ضابط، وثّق الدليل (Evidence) الذي يثبت الامتثال: لقطات شاشة، تقارير أدوات، محاضر اجتماعات، سجلات تدريب.

المرحلة 4 — المراجعة الداخلية: قبل أن تأتي NCA أو المدقق الخارجي، أجرِ مراجعة داخلية شاملة. اطلب من فريق لم يشارك في التطبيق أن يراجع الأدلة ويتحقق من فعالية الضوابط. هذه الخطوة تكشف الثغرات قبل أن يكتشفها المدقق.

المرحلة 5 — التحسين المستمر: الامتثال ليس حدثاً لمرة واحدة. ضع جدولاً لمراجعة دورية كل ربع سنة، وتابع تحديثات NCA، وأدمج نتائج تقييمات المخاطر في تحسين الضوابط. استخدم أداة GRC مثل Archer أو ServiceNow GRC لأتمتة التتبع والتقارير.

الربط بالواقع السعودي

ضوابط ECC ليست معزولة عن باقي المنظومة التنظيمية. المؤسسات المالية المرخصة من SAMA مطالبة بالامتثال لكل من ECC و SAMA CSCC معاً، وهناك تداخل كبير بين الإطارين. الخبر الجيد أن كثيراً من الضوابط متقاطعة — فتطبيق ضابط واحد قد يغطي متطلبات في كلا الإطارين. بناء مصفوفة تقاطع (Cross-Mapping Matrix) بين ECC و SAMA CSCC يوفر عليك جهداً مزدوجاً. كذلك، نظام PDPL يضيف طبقة إضافية فيما يخص حماية البيانات الشخصية، وضوابط ECC الجديدة تتضمن متطلبات تصنيف البيانات التي تتوافق مباشرة مع التزامات PDPL.

أخطاء شائعة يجب تجنبها

الاعتماد على الإصدار القديم: بعض المؤسسات لا تزال تعمل بمصفوفة ECC-1:2018 دون التحقق من التحديثات. راجع موقع NCA الرسمي بشكل دوري وتأكد أن مرجعك هو الإصدار الأحدث.
التعامل مع الامتثال كمشروع تقني فقط: كثير من الفجوات تتعلق بالحوكمة والسياسات والإجراءات، وليس بالأدوات التقنية. لا تشترِ أداة قبل أن تكتب السياسة التي تحكم استخدامها.
إهمال أدلة الامتثال: تطبيق الضابط دون توثيقه يساوي عدم الامتثال في عين المدقق. لكل ضابط، حافظ على ملف أدلة محدّث يتضمن لقطات شاشة مؤرخة وتقارير دورية وسجلات معتمدة.

ملخص الدرس

ECC 2-2024 يمثل تحديثاً جوهرياً يضيف متطلبات جديدة للحوسبة السحابية وأمن OT وسلسلة التوريد
بناء مصفوفة امتثال مرمّزة وربطها بخطة عمل محددة المواعيد والمسؤوليات هو أساس الامتثال الفعّال
الامتثال عملية مستمرة وليست مشروعاً لمرة واحدة — التحسين المستمر والمراجعة الدورية هما مفتاح النجاح

الدرس القادم

في الدرس التالي سنتناول: نظام حماية البيانات الشخصية PDPL — دليل عملي — ستتعلم متطلبات النظام الأساسية، وكيف تبني برنامج حماية بيانات متوافق مع PDPL داخل مؤسستك المالية، مع قوالب عملية جاهزة للتطبيق.

هل تريد تطبيق ما تعلمته على مؤسستك؟ تواصل مع فريق فنترالينك للحصول على تقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.