ضوابط NCNICC-1:2025 الجديدة: التوسع التنظيمي يطال كل القطاع الخاص السعودي

في يناير 2026 أصدرت الهيئة الوطنية للأمن السيبراني (NCA) ضوابط NCNICC-1:2025 الخاصة بمؤسسات القطاع الخاص غير المصنفة كبنية تحتية حيوية. للمرة الأولى تمتد المتطلبات الإلزامية لتشمل تقريباً كل شركة عاملة في المملكة، بما في ذلك مزودي الخدمات للبنوك الخاضعة لرقابة SAMA. التحول ليس شكلياً، بل يعيد رسم خريطة الالتزامات لكل CISO ومسؤول امتثال في المملكة.

ما الذي تغيّر فعلاً في NCNICC-1:2025؟

الإصدار السابق ECC-1:2018 كان يستهدف بشكل أساسي الجهات الحكومية والبنية التحتية الوطنية الحيوية (CNI). أما NCNICC-1:2025 فيغلق الفجوة التي ظلت مفتوحة لسنوات: مؤسسات القطاع الخاص التي ليست CNI لكنها تخدم اقتصاد المملكة وتعالج بيانات حساسة. هذا يشمل شركات التقنية الناشئة، ومزودي الخدمات السحابية المحليين، ومكاتب المحاماة، والمستشفيات الخاصة، وشركات التأمين، وعدداً كبيراً من موردي البنوك.

الجديد أيضاً أن الضوابط تُلزم بأن يكون شاغلو جميع الأدوار السيبرانية من المواطنين السعوديين المؤهلين، لا فقط المناصب القيادية كما في السابق. هذا التحول يخلق ضغطاً كبيراً على سوق المهارات المحلي ويتطلب تخطيطاً مسبقاً لاستقطاب الكفاءات وتأهيلها.

الفئتان A وB: كيف تعرف موقعك؟

قسمت NCA المؤسسات الخاضعة إلى فئتين بناءً على الحجم والإيرادات. الفئة A تضم المؤسسات الكبرى ذات الإيرادات والأثر المرتفعين، وتُلزم بتطبيق كامل الضوابط بصرامة مماثلة لمتطلبات CNI. الفئة B تشمل المؤسسات الأصغر لكنها تظل ملزمة بحد أدنى موسّع من الضوابط الأساسية.

الخطوة الأولى لأي مؤسسة هي إجراء تقييم تصنيف رسمي لتحديد فئتها، لأن متطلبات التطبيق وفترات السماح وأسلوب التدقيق تختلف بين الفئتين. التصنيف الخاطئ يعني إما إنفاقاً زائداً أو ثغرة امتثال خطيرة.

التأثير على البنوك السعودية ومنظومة مورديها

قد يبدو NCNICC-1:2025 موجهاً للقطاع الخاص غير المصرفي، لكن أثره المباشر على البنوك الخاضعة لـ SAMA كبير. إطار SAMA CSCC في الضابط 3.3 (Third Party Risk Management) يلزم البنوك بالتحقق من التزام مورديها بالأمن السيبراني، وضوابط NCA أصبحت الآن المرجع الإلزامي لمعظم هؤلاء الموردين.

عملياً، يتعيّن على البنوك تحديث استبيانات تقييم الموردين، ومتطلبات العقود، وآليات المراقبة المستمرة لتعكس NCNICC-1:2025. مزود خدمة سحابية محلي، أو شركة تطوير برمجيات، أو مكتب استشاري قانوني يخدم البنك، يجب أن يثبت توافقه قبل تجديد العقد. بنود تدقيق الطرف الثالث، حق التفتيش (Right to Audit)، ومتطلبات الإبلاغ عن الحوادث ضمن 72 ساعة من PDPL، كلها تتقاطع مباشرة مع هذا الإصدار.

التوصيات والخطوات العملية للمؤسسات

الفترة الانتقالية محدودة، والتدقيق الحقوقي قد يبدأ في نهاية 2026. من واقع تعاملنا مع المؤسسات السعودية، ننصح بـ:

1. إجراء تقييم فجوة (Gap Assessment) رسمي بين الوضع الحالي وضوابط NCNICC-1:2025، مع توثيق التصنيف ضمن الفئة A أو B.
2. بناء سجل شامل للموردين وتقييم درجة التزام كل منهم، مع تحديث صيغ العقود لتتضمن متطلبات NCNICC والإبلاغ عن الحوادث وفق PDPL.
3. وضع خطة توطين منهجية لجميع الأدوار السيبرانية، مع برامج تأهيل وشهادات معترفة محلياً مثل CCISO وSAMA Cyber Specialist.
4. دمج متطلبات NCNICC مع SAMA CSCC وISO 27001 وPCI-DSS في مصفوفة ضوابط موحدة لتجنّب الازدواجية وتقليل عبء التدقيق.
5. اختبار الجاهزية الفعلية عبر تقييم اختراق محاكٍ لسيناريوهات الموردين (Supply Chain Attack Simulation) قبل أول جولة تدقيق رسمية.

الخلاصة

NCNICC-1:2025 ليس مجرد توسعة تنظيمية، بل إعادة تعريف لنطاق المسؤولية السيبرانية في المملكة. المؤسسات التي ستتعامل معه بوصفه مشروع امتثال آخر سترتطم بفجوات تشغيلية حقيقية، أما التي ستتبنى رؤية متكاملة تربط NCA وSAMA وPDPL في نموذج حوكمة موحد فستحوّل الضغط التنظيمي إلى ميزة تنافسية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وNCNICC-1:2025.