إطار NCA الجديد لترخيص خدمات الأمن السيبراني RFCS-2026: ما يجب أن تعرفه كل مؤسسة سعودية

أطلقت الهيئة الوطنية للأمن السيبراني (NCA) إطارها التنظيمي المحدّث لترخيص خدمات ومنتجات وحلول الأمن السيبراني RFCS-2026، مُعيداً رسم خارطة المتطلبات لكل مقدّم خدمة يعمل داخل المملكة العربية السعودية. هذا الإطار لا يؤثر فقط على شركات الأمن السيبراني، بل يُلزم كل مؤسسة تتعامل مع مقدّمي خدمات خارجيين بالتحقق من امتثالهم للمعايير الجديدة.

ما هو إطار RFCS-2026 ولماذا صدر الآن؟

إطار RFCS-2026 هو الإصدار الأحدث من المنظومة التنظيمية التي تحكم ترخيص أنشطة الأمن السيبراني في المملكة. صدر كاستشارة عامة دعت فيها الهيئة جميع الجهات المعنية لتقديم ملاحظاتهم قبل اعتماده النهائي. يأتي هذا الإطار في سياق توسّع ملحوظ لنطاق الهيئة التنظيمي، خاصة بعد إصدار NCNICC-1:2025 الذي مدّد التزامات الأمن السيبراني لتشمل كل شركة خاصة تعمل في المملكة بصرف النظر عن تصنيفها كبنية تحتية حرجة.

الإطار الجديد يُصنّف أنشطة القطاع إلى خمسة مجالات رئيسية: منتجات وحلول الأمن السيبراني، الخدمات المهنية الاستشارية، خدمات التنفيذ التقني، الخدمات المُدارة (مثل MSOC)، وخدمات الاستجابة للحوادث. كل نشاط يندرج تحت فئة ترخيص محددة بمتطلبات واضحة.

نظام المستويات: الفرق بين Tier 1 وTier 2

يعتمد الإطار نظام مستويات ثنائي يُحدد نطاق الخدمات المسموح بها لكل مرخّص. رخصة المستوى الأول (Tier 1) تُخوّل حاملها تقديم خدماته لجميع الجهات بما فيها الجهات الحكومية والمؤسسات المالكة أو المشغّلة للبنى التحتية الحرجة (CNI). أما رخصة المستوى الثاني (Tier 2) فتسمح بخدمة جميع المؤسسات باستثناء الجهات الحكومية ومشغّلي البنى التحتية الحرجة.

هذا التمييز له أثر مباشر على المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي (SAMA). فالبنوك وشركات التأمين وشركات التقنية المالية التي تُصنَّف كبنية تحتية حرجة يجب أن تتعامل حصراً مع مقدّمي خدمات حاصلين على رخصة Tier 1. وقد منحت الهيئة بالفعل أول ست رخص من المستوى الأول لخدمات مراكز العمليات الأمنية المُدارة (MSOC) لشركات SITE وسرار (STC) وحبوب وسايبراني (أرامكو الرقمية) وTCC وSAMI-AEC.

متطلبات الترخيص: ما الذي يجب على مقدّمي الخدمات تجهيزه؟

يفرض الإطار الجديد متطلبات صارمة تشمل عدة محاور. على صعيد الكوادر البشرية، يجب أن تُشغل جميع المناصب السيبرانية الحساسة بكفاءات سعودية مؤهلة، وهو ما يتماشى مع تحديثات ECC 2:2024 التي حلّت محل النسخة الأصلية لعام 2018. كما يتطلب الإطار تقديم وثائق العنوان الوطني ونماذج تعيين الممثل المعتمد، وشهادة تسجيل الاستثمار الأجنبي من وزارة الاستثمار للشركات الأجنبية.

تضمّن الإطار أيضاً جدول رسوم مالية واضح لطلبات الترخيص والتجديد، مما يعني أن التكلفة التشغيلية لمقدّمي الخدمات ستتأثر. والأهم أن التسجيل على منصة الهيئة الرقمية (حصين) أصبح التزاماً تنظيمياً إلزامياً لكل جهة تقدّم أي خدمة أو منتج أو حل سيبراني داخل المملكة.

التأثير على المؤسسات المالية الخاضعة لرقابة SAMA

تتقاطع متطلبات RFCS-2026 بشكل مباشر مع إطار SAMA للأمن السيبراني (SAMA CSF) الذي يُلزم المؤسسات المالية بإدارة مخاطر الطرف الثالث وضمان امتثال مقدّمي خدماتهم. بموجب التحديثات الجديدة، يجب على كل بنك وشركة تأمين التحقق من أن مقدّمي خدمات الأمن السيبراني لديهم مسجّلون ومرخّصون من الهيئة بالمستوى المناسب.

كما أن ضوابط حماية البيانات الشخصية (PDPL) تتطلب من المؤسسات التحقق من أن معالجي البيانات الخارجيين يلتزمون بمعايير الأمن المطلوبة — وهو ما يُعزّزه الإطار الجديد بفرض حدود دنيا للكفاءة التقنية والتشغيلية. تخلّف أي مقدّم خدمة عن الترخيص لا يُعرّض المقدّم فقط للعقوبات، بل يُعرّض المؤسسة المتعاملة معه لمخاطر عدم الامتثال أمام SAMA وNCA معاً.

خطوات عملية يجب اتخاذها الآن

1. جرد مقدّمي الخدمات: أنشئ قائمة شاملة بجميع مقدّمي خدمات الأمن السيبراني الخارجيين وتحقق من تسجيلهم على منصة حصين وحصولهم على الترخيص المناسب (Tier 1 للبنى التحتية الحرجة، Tier 2 لبقية المؤسسات).
2. تحديث سياسات إدارة الطرف الثالث: أدرج شرط الترخيص من NCA كمتطلب إلزامي في عقود الشراء وتجديد العقود مع مقدّمي الخدمات السيبرانية.
3. مراجعة خطط التوطين: تأكد من أن مقدّمي خدماتك يلتزمون بمتطلبات السعودة في المناصب السيبرانية وفق ECC 2:2024 لتجنّب مخاطر فقدانهم لتراخيصهم.
4. تقييم فجوات MSOC: إذا كنت تعتمد على مركز عمليات أمنية مُدار خارجي، تحقق من أنه ضمن الشركات الست المرخّصة من المستوى الأول أو يحمل رخصة Tier 2 المناسبة لتصنيف مؤسستك.
5. المشاركة في الاستشارة العامة: إذا كنت مقدّم خدمات سيبرانية، راجع مسودة الإطار وقدّم ملاحظاتك للهيئة لضمان أن المتطلبات النهائية تعكس واقع السوق التشغيلي.

الخلاصة

إطار RFCS-2026 يُشكّل نقلة تنظيمية تُعيد هيكلة سوق خدمات الأمن السيبراني في المملكة. بالنسبة للمؤسسات المالية، لم يعد كافياً أن يكون مقدّم الخدمة كفؤاً تقنياً فحسب — بل يجب أن يكون مرخّصاً ومسجّلاً ومتوافقاً مع المعايير التنظيمية الجديدة. التحرك المبكر في مراجعة العقود وتقييم الامتثال يحمي المؤسسة من مخاطر تنظيمية مضاعفة أمام SAMA وNCA وPDPL.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى امتثال مقدّمي خدماتك السيبرانية لمتطلبات NCA الجديدة وإطار SAMA CSCC.