NCNICC-1:2025: هيئة الأمن السيبراني تُلزم القطاع الخاص السعودي بـ65 ضابطاً إلزامياً — لم يعد الامتثال اختيارياً

لم تعد ضوابط الأمن السيبراني في المملكة العربية السعودية حِكراً على البنوك والبنية التحتية الحيوية. بإصدار هيئة الأمن السيبراني الوطنية (NCA) لإطار NCNICC-1:2025، باتت كل شركة خاصة تعمل في المملكة — صغيرةً كانت أم كبيرة — أمام التزام قانوني واضح: نفّذ الضوابط أو تحمّل التبعات.

ما هو NCNICC-1:2025 ومن يشمله؟

NCNICC اختصار لـ Non-Critical National Infrastructure Private Sector Entities Cybersecurity Controls، وهو إطار ضوابط الأمن السيبراني الصادر عن هيئة الأمن السيبراني الوطنية (NCA) ويستهدف جميع منظمات القطاع الخاص التي لا تُصنَّف ضمن البنية التحتية الحيوية للدولة. بمعنى آخر: إن كانت شركتك لا تخضع بالفعل لإطار ECC أو SAMA CSF، فإن NCNICC-1:2025 يخاطبك مباشرةً.

يعتمد الإطار نهجاً تدرجياً يقسّم المنظمات إلى فئتين: الفئة A وتشمل المنظمات الكبيرة وتلزمها بتطبيق كامل الضوابط الـ65، والفئة B وتشمل المنشآت الصغيرة والمتوسطة (SMEs) حيث تُصنَّف بعض الضوابط كـ"موصى بها" بدلاً من إلزامية — غير أن القاسم المشترك واضح: الحوكمة والدفاع والمرونة ليست خيارات.

بنية الإطار: ثلاثة محاور و65 ضابطاً

يُرتّب NCNICC-1:2025 متطلباته حول ثلاثة محاور جوهرية: الحوكمة، والدفاع، والمرونة. تحت كل محور 22 مكوّناً فرعياً تمتد لتشمل إدارة الهويات والصلاحيات، وتقييم المخاطر الدوري، ومراقبة الأحداث الأمنية، والاستجابة للحوادث، وأمن الطرف الثالث.

من أبرز الضوابط العملية التي تُلزم بها الفئة A: إجراء تقييمات مخاطر دورية موثقة، وتطبيق إعدادات الأمان التقني على جميع الأصول الرقمية، وبناء خطة مُعتمدة للاستجابة للحوادث، وتدريب الموظفين على الوعي السيبراني بشكل منتظم. هذه ليست توصيات من كتيّب — هي اشتراطات قابلة للتدقيق والتحقق.

التأثير على المؤسسات المالية السعودية

قد يتساءل بعض مسؤولي الامتثال في البنوك وشركات التأمين: "نحن نخضع لـSAMA CSF، فهل يعنينا NCNICC-1:2025؟" الإجابة المختصرة: نعم — بشكل غير مباشر ولكن محوري. أولاً، أي جهة في سلسلة التوريد الخاصة بمؤسستك — من موردين لتقنية المعلومات إلى مزودي خدمات سحابية — ستخضع لـNCNICC-1:2025، مما يُغيّر معادلة تقييم أمن الطرف الثالث بالكامل. ثانياً، المتطلبات المتداخلة بين NCNICC-1:2025 وإطارَي SAMA CSCC وNCA ECC تعني أن فجوات الامتثال في أي منها ستنعكس على التقييم الكلي لنضج الأمن السيبراني المؤسسي.

إضافةً إلى ذلك، جاء NCNICC-1:2025 في سياق تشديد تنظيمي أوسع: تطبيق نظام حماية البيانات الشخصية (PDPL) بدأ يُفرز قرارات جزائية فعلية من SDAIA، وأي اختراق بيانات ناجم عن إخفاق في ضوابط NCNICC سيُضاعف المسؤولية القانونية على المؤسسة.

التوصيات والخطوات العملية

1. حدّد فئتك التنظيمية فوراً: راجع معايير التصنيف في الإطار لمعرفة هل أنت في الفئة A أم B، وحدّد الضوابط الإلزامية مقابل الموصى بها.
2. ابدأ بتحليل فجوات (Gap Analysis) شامل: قارن وضعك الحالي بالضوابط الـ65 موزعةً على المحاور الثلاثة — الحوكمة والدفاع والمرونة.
3. أعطِ الأولوية لضوابط إدارة الهوية والمخاطر: التقييم الدوري للمخاطر وإدارة الصلاحيات هي أكثر الضوابط ظهوراً في تقارير التدقيق وأسرعها في الكشف عن نقاط الضعف.
4. وسّع نطاق تقييم الطرف الثالث: تحقق من أن مورديك ومزودي خدماتك يستوفون متطلبات NCNICC-1:2025، خاصةً فيما يتعلق بضوابط أمن سلسلة التوريد.
5. وثّق كل شيء بما يتجاوز الورق: المتطلبات الجديدة تتحول من التوثيق إلى الإثبات التشغيلي الفعلي — سجلات الأحداث والتقارير الدورية ونتائج الاختبارات أصبحت أدلة إلزامية لا تقارير داخلية.
6. ادمج المتطلبات مع SAMA وNCA ECC وPDPL: بدلاً من برامج امتثال منفصلة، بنِ إطاراً موحداً يُغطي جميع الأنظمة المرجعية دفعةً واحدة.

الخلاصة

NCNICC-1:2025 ليس تحديثاً روتينياً لوثيقة تنظيمية — إنه إعلان رسمي بأن هيئة الأمن السيبراني الوطنية تمدّ مظلة الامتثال الإلزامي لتشمل كل قطاعات الاقتصاد السعودي. المؤسسات التي لا تزال تنتظر "الوقت المناسب" للامتثال تراكم مخاطر تنظيمية وتشغيلية حقيقية في وقت لا تنتظر فيه هيئة الأمن السيبراني — ولا المهاجمون.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وNCA ECC وNCNICC-1:2025 في جلسة واحدة.