إطار NCA لترخيص خدمات الأمن السيبراني: ما يجب على كل مزود ومؤسسة مالية معرفته في 2026

أطلقت الهيئة الوطنية للأمن السيبراني (NCA) إطاراً تنظيمياً جديداً لترخيص خدمات ومنتجات وحلول الأمن السيبراني العاملة في المملكة العربية السعودية، وفتحت باب الاستشارة العامة لمدة محدودة. هذه الخطوة تمثل تحولاً جوهرياً في مشهد حوكمة الأمن السيبراني بالمملكة، وتضع المؤسسات المالية المرخصة لدى SAMA أمام متطلبات امتثال إضافية لا يمكن تجاهلها.

ما الذي أطلقته هيئة الأمن السيبراني؟

أعلنت NCA عن إطار تنظيمي شامل يُلزم جميع الجهات المقدِّمة لخدمات أو منتجات أو حلول الأمن السيبراني في المملكة بالتسجيل والترخيص الرسمي. الهدف المُعلن هو تنظيم القطاع وحماية المصالح الحيوية والبنية التحتية الحرجة، والارتقاء بجودة الخدمات المقدَّمة للجهات الوطنية. يأتي هذا الإطار امتداداً للضوابط الأساسية للأمن السيبراني (ECC) الصادرة سابقاً، والتي تشمل خمسة محاور رئيسية و29 نطاقاً فرعياً و114 ضابطاً تغطي الحوكمة والدفاع والمرونة وأمن الطرف الثالث والأنظمة الصناعية. فتح باب التشاور العام حتى نهاية مارس 2026 كان رسالةً واضحة: المرحلة التنفيذية قادمة، وعلى الجميع الاستعداد.

لماذا يُعدّ هذا الإطار نقطة تحول للقطاع المالي؟

المؤسسات المالية في المملكة تعتمد على منظومة واسعة من مزودي خدمات الأمن السيبراني الخارجيين — من شركات اختبار الاختراق وموردي أنظمة SIEM وSOC، إلى موفري خدمات الاستجابة للحوادث والاستشارات. بموجب الإطار الجديد، لن يكون كافياً أن يملك هؤلاء المزودون كفاءات تقنية؛ بل يجب أن يكونوا مرخَّصين رسمياً من NCA. هذا يعني أن إدارة مخاطر الطرف الثالث — وهي متطلب صريح في إطار SAMA للأمن السيبراني (CSCC) — ستمتد لتشمل التحقق من ترخيص NCA كشرط أساسي للتعاقد مع أي مزود. مدير أمن المعلومات الذي يتعاقد مع مزود غير مرخَّص قد يتعرض لمساءلة تنظيمية مزدوجة: من NCA ومن SAMA في آن واحد.

الفجوة بين ECC وCSCC: تعقيد إضافي للمؤسسات المالية

المؤسسات الخاضعة لإشراف SAMA تواجه تحدياً مزمناً يتمثل في الفجوة بين متطلبات ECC التابعة لـ NCA ومتطلبات CSCC التابعة لـ SAMA. وفي ظل الإطار الجديد للترخيص، قد تتسع هذه الفجوة. على سبيل المثال، قد تشترط SAMA معايير معينة في مزود SOC بينما تشترط NCA معايير مختلفة للترخيص الرسمي لنفس المزود. التعامل مع هذا التداخل يتطلب خبيراً يفهم كلا الإطارين بعمق، وقادراً على بناء برنامج امتثال موحّد يُرضي الجهتين.

التأثير العملي على فِرق الامتثال والحوكمة

الجهات المالية التي تبدأ الآن في مراجعة قوائم مزوديها ستكون في وضع أفضل بمراحل. إليك الإجراءات الأكثر إلحاحاً:

1. مراجعة قائمة مزودي الأمن السيبراني الحاليين: حدّد كل طرف ثالث يقدم خدمات أمن سيبراني لمؤسستك — سواء كان مزود SOC أو شركة اختبار اختراق أو مورد أدوات حماية — وتحقق من وضعه التنظيمي مع NCA.
2. تحديث عقود الخدمة: أضف بنوداً صريحة تلزم المزودين بالحصول على ترخيص NCA الساري والإفصاح الفوري عن أي تغيير في وضعهم التنظيمي.
3. تعديل استبيانات تقييم الطرف الثالث: أضف حقلاً مخصصاً للتحقق من ترخيص NCA ضمن عملية Due Diligence المعتادة لمزودي الخدمات.
4. التواصل مع NCA لفهم الجداول الزمنية: الإطار لا يزال في مرحلة التطوير؛ تابع الموقع الرسمي وتواصل مع المستشارين المعتمدين لمعرفة متى تبدأ التزامات الترخيص الإلزامية.
5. تحديث سياسة إدارة مخاطر الطرف الثالث: وثّق المتطلبات الجديدة رسمياً ضمن سياسة TPRM المعتمدة لديك وفق متطلبات SAMA CSCC.
6. التخطيط لعمليات التدقيق الداخلي: ابدأ بتخطيط دورة تدقيق داخلي خاصة بامتثال مزودي الأمن السيبراني قبل أن تبادر NCA بعمليات التفتيش.

الخلاصة

إطار ترخيص NCA ليس مجرد متطلب بيروقراطي جديد — إنه إعادة هيكلة للعلاقة بين المؤسسات السعودية ومزودي خدمات الأمن السيبراني. بالنسبة للمؤسسات المالية الخاضعة لرقابة SAMA، هذا يعني طبقة امتثال إضافية تتقاطع مع متطلبات CSCC وECC وPDPL في آن واحد. الجهات التي تبدأ الاستعداد الآن — بمراجعة مزوديها وتحديث عقودها وسياساتها — ستتجنب المخاطر التنظيمية والتشغيلية في المراحل القادمة.

هل مؤسستك مستعدة لمتطلبات ترخيص NCA الجديدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وإطار NCA الموحّد.