لائحة NCNICC-1:2025: توسعة NCA إلى القطاع الخاص وأثرها على بنوك SAMA

في يناير 2026 أصدرت الهيئة الوطنية للأمن السيبراني (NCA) لائحة NCNICC-1:2025 التي وسّعت تفويضها التنظيمي ليشمل القطاع الخاص بأكمله، بصرف النظر عن تصنيفه ضمن البنية التحتية الوطنية الحرجة (CNI) أو خارجها. هذا التحوّل يعيد رسم خريطة الامتثال السيبراني في المملكة، ويضع المؤسسات المالية الخاضعة لإشراف SAMA أمام طبقة تنظيمية إضافية يجب التعامل معها بدقّة.

ما الذي تغيّر فعلياً في لائحة NCNICC-1:2025؟

قبل صدور NCNICC-1:2025، كان نطاق NCA الإلزامي محصوراً في الجهات الحكومية ومشغّلي البنية التحتية الوطنية الحرجة. أما اللائحة الجديدة فتمدّ هذا النطاق إلى أيّ منشأة خاصة تعمل داخل المملكة، بما في ذلك الشركات الناشئة، ومزوّدي الخدمات السحابية المحليين، ومكاتب الخدمات المالية المساندة، ومزوّدي تكنولوجيا المالية (FinTech). وتمنح NCA صلاحيات تدقيقية مباشرة، إضافة إلى متطلبات الإبلاغ عن الحوادث خلال نوافذ زمنية محدّدة لا تتجاوز 72 ساعة لبعض فئات الحوادث الحرجة.

إطار ECC 2:2024 ومتطلباته الجديدة

تأتي NCNICC-1:2025 مدعومة بإطار الضوابط الأساسية المحدّث ECC 2:2024، الذي حلّ محلّ نسخة 2018. تم إعادة هيكلة الإطار إلى 4 نطاقات و28 مكوّناً فرعياً وحوالي 110 ضوابط، مع تركيز أعمق على أمن سلسلة الإمداد، وحوكمة الذكاء الاصطناعي، وأمن البيانات وفق نظام حماية البيانات الشخصية PDPL. كما يتضمّن الإطار متطلباً صريحاً بـ«التوطين السيبراني» يلزم بشغل وظائف الأمن السيبراني داخل المنشأة بمواطنين سعوديين مؤهلين، بعد أن كان هذا المتطلب مقتصراً على الوظائف القيادية فقط.

التأثير المباشر على بنوك ومؤسسات SAMA

المؤسسات المالية الخاضعة لـ SAMA تخضع أصلاً لإطار SAMA Cyber Security Framework وضوابط SAMA CSCC الصادرة عام 2022، إضافة إلى متطلبات PCI-DSS لبيئات معالجة البطاقات. مع NCNICC-1:2025، تصبح هذه المؤسسات أمام مشهد متعدد الطبقات يستلزم مواءمة الضوابط بدلاً من تكرارها. الأهم أن مزوّدي الخدمات (Third-Party Vendors) للقطاع المالي، والذين كانوا يعملون خارج تفويض NCA المباشر، أصبحوا الآن خاضعين للإطار، ما يفرض على البنوك مراجعة عقود الاستعانة بالمصادر الخارجية وإعادة تقييم مخاطر سلسلة الإمداد. أيضاً تتقاطع متطلبات الإبلاغ عن الحوادث بين NCA و SAMA، ويجب على فريق الاستجابة (CSIRT) أن يتمكّن من إصدار تقارير متوازية تستوفي صياغة كل جهة على حدة.

الفجوات الشائعة التي ترصدها فنترالينك

من خلال تقييمات النضج التي أجريناها لمؤسسات مالية خلال الربع الأول من 2026، رصدنا أربع فجوات متكرّرة: غياب سجل أصول موحّد يربط الأصول المالية بضوابط ECC و SAMA CSCC في آنٍ معاً؛ ضعف في توثيق سلسلة الإمداد التقنية بحيث لا يستطيع البنك الإجابة بدقّة على سؤال «من يستضيف بياناتنا ومن يتصل بشبكتنا الداخلية»؛ نقص في إجراءات الاستجابة للحوادث المتوافقة مع نوافذ NCA الجديدة؛ وأخيراً قصور في خطّة التوطين السيبراني، إذ تعتمد بعض المنشآت على شركاء أجانب لإدارة مراكز العمليات الأمنية (SOC) دون مسار واضح لنقل المعرفة لكوادر سعودية.

التوصيات والخطوات العملية

1. أجرِ تحليل فجوات (Gap Analysis) مزدوجاً يطابق ضوابطك الحالية مع كل من ECC 2:2024 و SAMA CSCC و PDPL في مصفوفة واحدة، لتجنّب ازدواج الجهد.
2. راجع عقود الموردين الحرجين وأضف بنود امتثال صريحة لـ NCNICC-1:2025، مع حقّ التدقيق ومتطلبات الإبلاغ خلال 72 ساعة.
3. حدّث دليل الاستجابة للحوادث (IR Playbook) ليتضمّن مسارات إبلاغ متوازية لكلٍّ من NCA Hassan وقناة SAMA الإلزامية، مع قوالب تقارير جاهزة.
4. ابنِ خطة توطين سيبراني واقعية: حدّد الوظائف الفنية الحرجة (محلل SOC، مهندس CTI، مدقّق GRC)، وضع مسار تأهيل بشهادات معترف بها مثل GCIH وOSCP وCISA، مع جدول زمني لنقل المعرفة من الموردين الأجانب.
5. فعّل مراقبة مستمرّة لمؤشرات الامتثال (Continuous Compliance Monitoring) عبر منصّة GRC تربط الأدلة بالضوابط تلقائياً، بدلاً من الاعتماد على المراجعات اليدوية الدورية.
6. أدمج اعتبارات الذكاء الاصطناعي في إطار الحوكمة، خصوصاً نماذج الكشف عن الاحتيال وروبوتات الدردشة المصرفية، لأن ECC 2:2024 يطلب ضوابط مخصّصة لها.

الخلاصة

توسعة NCA عبر NCNICC-1:2025 لم تعد تخصّ شريحة محدودة من المنشآت، بل أصبحت واقعاً على كلّ مؤسسة مالية تعمل في المملكة وعلى مورّديها. المؤسسات التي تستثمر مبكّراً في مواءمة ECC 2:2024 مع SAMA CSCC ستحصل على ميزتين: تجنّب الغرامات والملاحظات التدقيقية، وتسريع صفقاتها التجارية مع شركاء يطلبون شهادات الامتثال شرطاً مسبقاً.

هل مؤسستك مستعدّة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC و NCA ECC 2:2024 ومخطّط طريق امتثال عملي خلال 90 يوماً.