الإطار التنظيمي الجديد لترخيص خدمات الأمن السيبراني: ما يجب أن تعرفه كل مؤسسة مالية

أطلقت الهيئة الوطنية للأمن السيبراني (NCA) مشروع "الإطار التنظيمي لترخيص تقديم خدمات ومنتجات وحلول الأمن السيبراني"، في خطوة تمثّل نقلة نوعية في تنظيم سوق الأمن السيبراني بالمملكة العربية السعودية. هذا الإطار يضع لأول مرة تصنيفاً شاملاً لجميع فئات خدمات ومنتجات الأمن السيبراني، ويحدد الحد الأدنى من المتطلبات للحصول على التراخيص اللازمة لمزاولة النشاط.

ما هو الإطار التنظيمي الجديد وما أهدافه؟

يأتي الإطار التنظيمي ضمن اختصاصات الهيئة الوطنية للأمن السيبراني في وضع السياسات وآليات الحوكمة والمعايير المتعلقة بالأمن السيبراني. الهدف الرئيسي هو تنظيم مزاولة الأفراد والجهات غير الحكومية للأنشطة المتعلقة بالأمن السيبراني، مع تحفيز نمو القطاع وضمان جودة الخدمات المقدمة للجهات الوطنية. تم تطوير الإطار وفقاً لأفضل المنهجيات والمعايير الدولية، ويقدم تصنيفاً قطاعياً شاملاً يغطي كافة خدمات ومنتجات وحلول الأمن السيبراني في المملكة.

يبني هذا الإطار على إنجازات تنظيمية سابقة للهيئة، أبرزها نشر قائمة مقدمي خدمات وحلول ومنتجات الأمن السيبراني المسجلين، وترخيص الشركات المخوّلة بتقديم خدمات مراكز عمليات الأمن السيبراني المُدارة (MSOC) من المستويين الأول والثاني.

تفاصيل متطلبات الترخيص

يُحدد الإطار فئتين رئيسيتين للتراخيص: تراخيص المستوى الأول (Tier I) وتراخيص المستوى الثاني (Tier II)، وكل منهما يتطلب استيفاء شروط محددة للحصول على الترخيص وتجديده والمحافظة عليه. يتعين على الجهة المتقدمة تقديم بيانات شاملة للهيئة تشمل وثائق العنوان الوطني، ونماذج تعيين الممثل المفوّض، وشهادة تسجيل الاستثمار الأجنبي من وزارة الاستثمار في حال كانت الجهة أجنبية.

يشمل الإطار كذلك أحكاماً تفصيلية لمختلف فئات التراخيص ومتطلبات الحوكمة للجهات المرخّصة. هذا يعني أن أي جهة تقدم خدمات أمن سيبراني في المملكة — سواء كانت اختبار اختراق، أو تقييم ثغرات، أو خدمات SOC مُدارة، أو حلول حماية — ستحتاج إلى الامتثال لهذا الإطار والحصول على الترخيص المناسب.

كيف يؤثر هذا على المؤسسات المالية الخاضعة لرقابة SAMA؟

بالنسبة للمؤسسات المالية السعودية، يحمل هذا الإطار أبعاداً مزدوجة بالغة الأهمية. أولاً، المؤسسات الملزمة أصلاً بالامتثال لضوابط SAMA CSCC وإطار NCA ECC ستحتاج إلى التأكد من أن مقدمي خدمات الأمن السيبراني الذين تتعاقد معهم حاصلون على التراخيص اللازمة وفق الإطار الجديد. التعاقد مع جهات غير مرخّصة قد يُعرّض المؤسسة المالية لمخالفات تنظيمية من الهيئة ومن SAMA على حد سواء.

ثانياً، الإطار يعزز جودة الخدمات السيبرانية المتاحة في السوق، مما يرفع مستوى الحماية الفعلية. عندما يلتزم مقدمو الخدمات بمعايير موحّدة للترخيص، تستفيد المؤسسات المالية من خدمات أكثر نضجاً وموثوقية — وهو أمر حاسم في ظل تصاعد الهجمات السيبرانية على القطاع المالي الإقليمي.

الربط مع منظومة الامتثال: SAMA CSCC وNCA ECC وPDPL

لا يمكن فهم هذا الإطار بمعزل عن المنظومة التنظيمية الأوسع. ضوابط الأمن السيبراني الصادرة عن SAMA (CSCC) تُلزم المؤسسات المالية بإجراء تقييمات دورية واختبارات اختراق من جهات مؤهلة. الإطار الجديد يُحدد رسمياً من هي الجهات "المؤهلة" عبر نظام الترخيص. بالمثل، إطار NCA ECC يشترط ضوابط حوكمة سيبرانية تتطلب الاستعانة بخبرات خارجية مرخّصة. وفيما يخص نظام حماية البيانات الشخصية (PDPL)، فإن أي جهة تعالج بيانات شخصية وتستعين بمقدم خدمات أمن سيبراني غير مرخّص تُعرّض نفسها لمخاطر قانونية مضاعفة.

الرسالة واضحة: الامتثال لم يعد مقتصراً على ما تفعله مؤسستك داخلياً، بل يمتد ليشمل من تتعاقد معهم لحمايتها.

التوصيات والخطوات العملية

1. راجع عقود مقدمي الخدمات الحاليين: تحقق فوراً من أن جميع مقدمي خدمات الأمن السيبراني الذين تتعامل معهم مسجلون لدى الهيئة الوطنية للأمن السيبراني، وابدأ بالتخطيط لضمان حصولهم على التراخيص المطلوبة وفق الإطار الجديد.
2. حدّث سياسات إدارة مخاطر الطرف الثالث: أضف متطلبات الترخيص من NCA إلى معايير تقييم واختيار مقدمي الخدمات في سياسات Third-Party Risk Management (TPRM).
3. أجرِ تقييماً للفجوات: قارن وضعك الحالي مع متطلبات الإطار الجديد، خاصة إذا كانت مؤسستك تقدم خدمات أمن سيبراني لجهات أخرى.
4. تابع المستجدات التنظيمية: رغم أن فترة استطلاع الآراء انتهت في 26 مارس 2026، إلا أن النسخة النهائية قد تتضمن تعديلات. تابع الموقع الرسمي للهيئة للاطلاع على الإصدار المعتمد.
5. درّب فريق الامتثال والمشتريات: تأكد من أن فريقي الامتثال (GRC) والمشتريات يفهمان متطلبات الترخيص الجديدة وتأثيرها على عمليات التعاقد.

الخلاصة

الإطار التنظيمي الجديد لترخيص خدمات الأمن السيبراني يمثّل خطوة استراتيجية نحو سوق سيبراني أكثر نضجاً وموثوقية في المملكة. بالنسبة للمؤسسات المالية، هذا ليس مجرد تحديث تنظيمي يُضاف للقائمة — إنه تغيير جوهري في كيفية اختيار وتقييم شركاء الحماية السيبرانية. المؤسسات التي تتحرك الآن لمراجعة عقودها وتحديث سياساتها ستكون في وضع أفضل عند دخول الإطار حيز التنفيذ الكامل.

هل مؤسستك مستعدة للتعامل مع متطلبات الترخيص الجديدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومتطلبات NCA، بما في ذلك مراجعة جاهزية مقدمي خدماتك للامتثال للإطار التنظيمي الجديد.