ECC-2:2024 من NCA: السعودة الكاملة تُعيد تشكيل امتثال بنوك SAMA

أصدرت الهيئة الوطنية للأمن السيبراني (NCA) الإصدار الثاني من الضوابط الأساسية للأمن السيبراني ECC-2:2024، ليحلّ محل إصدار 2018 ويُعيد رسم خريطة الامتثال السيبراني في المملكة. التحديث ليس تجميلياً: 108 ضوابط بدلاً من 114، ومتطلبات سعودة شاملة لكل وظائف الأمن السيبراني، وتداخل أعمق مع إطار SAMA CSCC. على CISOs البنوك السعودية الاستيقاظ على واقع تنظيمي جديد.

ما الجديد فعلياً في ECC-2:2024

الإصدار الجديد لم يُضِف ضوابط فحسب؛ بل أعاد هيكلة المنظومة بالكامل. تم تبسيط الضوابط من 114 إلى 108 عبر دمج المتطلبات المتداخلة، وتم توضيح نطاق التطبيق ليشمل بشكل أوسع المؤسسات الخاصة العاملة في المملكة لا الجهات الحيوية فقط. كذلك تم نقل صلاحيات معينة تتعلق بتوطين البيانات وإعادة توزيعها بين NCA والجهات القطاعية المنظِّمة. وبالنسبة لبنوك SAMA، فإن هذا التحديث يعني أن الامتثال لـ CSCC وحده لم يعد كافياً — بل يجب التأكد من التوافق المتزامن مع ECC-2.

السعودة الكاملة لوظائف الأمن السيبراني

كان الإصدار الأول يشترط فقط سعودة المناصب القيادية مثل CISO. أما ECC-2:2024 فيُلزم بسعودة كامل وظائف الأمن السيبراني داخل المؤسسة، من محللي SOC من المستوى الأول وصولاً إلى مهندسي اختبار الاختراق ومدراء GRC. ويجب أن يكون شاغلو هذه الوظائف سعوديين بدوام كامل ومؤهلين فنياً. عملياً، هذا يفرض على البنوك السعودية مراجعة عقود التوريد المُدارة (Managed Services) من مزودين أجانب، وإعادة هيكلة فرق SOC الخارجية، والاستثمار العاجل في برامج تأهيل الكوادر الوطنية. الفجوة في سوق الكفاءات السيبرانية السعودية ستضغط على ميزانيات التوظيف بشكل ملحوظ خلال 2026.

التأثير على المؤسسات المالية الخاضعة لرقابة SAMA

تنسّق NCA مع SAMA في إصدار التوجيهات الموحدة، لكن لكل جهة آلياتها التدقيقية المنفصلة. بنوك SAMA الخاضعة لـ CSCC ستجد نفسها أمام عمليتي تدقيق متوازيتين: تدقيق SAMA السنوي على الإطار المالي السيبراني، وتدقيق NCA على ECC-2. تطابق الضوابط بين الإطارين يصل إلى نحو 70%، لكن المتبقي — وخاصة متطلبات السعودة وإدارة سلسلة التوريد المحلية وتوطين البيانات — يحتاج إلى ضوابط إضافية صريحة. كذلك، الجزاءات في حال عدم الامتثال أصبحت أوضح وأكثر قابلية للتنفيذ، مع ربط مباشر بين عدم الامتثال وقدرة المؤسسة على الاستمرار في تقديم خدمات الدفع والإقراض.

التوصيات والخطوات العملية

1. إجراء تحليل فجوة (Gap Assessment) متزامن بين CSCC وECC-2:2024 لتحديد الضوابط المتقاطعة والضوابط الفريدة في كل إطار.
2. مراجعة عقود مزودي الخدمات السيبرانية (MSSP) والتحقق من قدرتهم على توفير كوادر سعودية بدوام كامل وفق الجدول الزمني المطلوب.
3. بناء خارطة طريق سعودة لمدة 12-18 شهراً تشمل التوظيف المباشر، والتدريب التحويلي للموظفين الحاليين، والاستفادة من برامج "تطوير" التابعة للهيئة الوطنية للأمن السيبراني.
4. تحديث وثائق السياسات السيبرانية لتعكس الترقيمات والصياغات الجديدة في 108 ضوابط، مع التأكيد على ربط كل سياسة بضابط محدد في ECC-2.
5. إعداد ملف الأدلة (Evidence Package) الموحد الذي يخدم تدقيق SAMA وتدقيق NCA معاً لتقليل الإرهاق التشغيلي على فرق GRC.
6. تفعيل لجنة حوكمة سيبرانية على مستوى مجلس الإدارة لمراجعة التقدم في مؤشرات الامتثال ربع السنوية، تمهيداً لمراجعة 2027.

الخلاصة

تحديث ECC-2:2024 يضع البنوك السعودية أمام تحدٍّ مزدوج: ضبط فني تشغيلي عبر إعادة هيكلة 108 ضوابط، وتحدٍّ بشري عبر سعودة كامل الوظائف السيبرانية. المؤسسات التي ستبدأ المعالجة الآن ستكون في موقع تنافسي قوي بحلول نهاية 2026، أما المتأخرون فسيواجهون ضغوطاً تدقيقية وعقوبات تنظيمية قد تؤثر على الترخيص التشغيلي.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وECC-2:2024.