ضوابط الأمن السيبراني الأساسية الصادرة عن الهيئة الوطنية للأمن السيبراني — المعروفة اختصاراً بـ NCA ECC — باتت إلزامية للمنظمات السعودية منذ عام 2020. غير أن كثيراً من الشركات الصغيرة والمتوسطة العاملة في المملكة إما لا تعلم بأنها مُلزَمة بتطبيقها، أو تفترض أن الامتثال مقتصر على المؤسسات الكبيرة، أو سمعت من شركة تقنية المعلومات التي تتعامل معها بأنها "في الغالب ممتثلة" دون أن يجري أي تقييم رسمي على الإطلاق.

تقدّم هذه المقالة شرحاً واضحاً ومبسطاً لماهية ضوابط NCA ECC، والجهات المُلزَمة بها، وما يبدو عليه الامتثال الفعلي لمنشأة يتراوح عدد مستخدميها بين 50 و500 موظف.

ما هي ضوابط NCA ECC فعلاً؟

ضوابط الأمن السيبراني الأساسية هي إطار أصدرته الهيئة الوطنية للأمن السيبراني — الجهة الحكومية المسؤولة عن تنظيم الأمن السيبراني في المملكة العربية السعودية. ويحدد هذا الإطار مجموعة من الضوابط الأمنية الأساسية التي يُتوقع من المنظمات العاملة في المملكة تطبيقها.

تُنظَّم هذه الضوابط ضمن خمسة محاور رئيسية:

بالنسبة لمعظم الشركات الصغيرة والمتوسطة، تستحق المحاور الثلاثة الأولى أكبر قدر من الاهتمام.

هل تنطبق عليك؟

هنا يكمن مصدر الارتباك لدى كثير من أصحاب الشركات الصغيرة والمتوسطة. من الناحية التقنية، تنطبق ضوابط NCA ECC على جميع الجهات الحكومية والمنظمات الوطنية ذات البنية التحتية المعلوماتية الحيوية. وتشمل القطاعات المحددة صراحةً: الرعاية الصحية، والخدمات المالية، والاتصالات، والطاقة، والنقل.

غير أن أي منشأة تعمل في المملكة وتتعامل مع بيانات حساسة، أو تخدم عملاء حكوميين، أو تعمل في قطاع خاضع للتنظيم، ينبغي لها أن تعتبر التوافق مع NCA ECC ممارسةً متوقعة — لا مجرد خيار. فكثير من الشركات السعودية الكبرى باتت تشترط على مورديها وشركائها إثبات توافقهم مع ضوابط NCA ECC شرطاً للتعاون التجاري.

إذا كنت تعمل في قطاع التقنية المالية، أو تدير عيادة طبية، أو شركة لوجستية، أو مكتب خدمات مهنية في المملكة، فإن التوافق مع NCA ECC ليس اختيارياً من الناحية التجارية الفعلية — حتى وإن لم تكن منشأتك مُدرجة صراحةً ضمن النطاق الإلزامي.

ما الذي تتطلبه هذه الضوابط عملياً؟

دعنا نترجم المحاور الخمسة إلى ما تعنيه تشغيلياً لشركة صغيرة أو متوسطة نموذجية:

الحوكمة

تحتاج إلى سياسة أمن سيبراني مكتوبة، وشخص محدد مسؤول عن الأمن السيبراني، وآلية لمراجعة كليهما وتحديثهما. لا يستلزم ذلك وجود وظيفة CISO معقدة في الشركة الصغيرة — بل يجب أن يكون موثقاً، ومملوكاً، ومُطبَّقاً.

الدفاع

يُعد هذا المحور الأوسع نطاقاً، ويشمل ضوابط تقنية من بينها: جرد الأصول، وإدارة الوصول والمصادقة متعددة العوامل، وتجزئة الشبكة، وحماية نقاط النهاية، وأمن البريد الإلكتروني، وإدارة الثغرات الأمنية، والتسجيل والمراقبة. معظم الشركات الصغيرة والمتوسطة تمتلك بعض هذه العناصر بالفعل. الثغرة عادةً تكمن في التوثيق الذي يُثبت وجودها، والاتساق في تطبيقها.

الصمود

تحتاج إلى نسخ احتياطية مُختبَرة، وإجراء استرداد موثق، ودليل على قدرتك على استعادة العمليات خلال إطار زمني محدد. امتلاك نسخ احتياطية ليس مرادفاً لامتلاك نسخ احتياطية مُختبَرة. تشترط ضوابط NCA ECC كليهما.

أكثر ما نصادفه من ثغرات في تقييمات الشركات السعودية الصغيرة والمتوسطة هو القصور في محور الصمود — منظمات لديها أنظمة نسخ احتياطي مُفعَّلة، لكنها لم تختبر فعلياً ما إذا كان الاسترداد الكامل يعمل. اكتشاف ذلك أثناء حادثة أمنية أكثر تكلفةً بكثير من اكتشافه خلال تقييم استباقي.

كيف تتعامل مع الامتثال بصورة عملية؟

أكثر الأخطاء شيوعاً هو التعامل مع الامتثال لـ NCA ECC باعتباره مشروعاً يُنجز مرة واحدة، لا وضعاً أمنياً مستداماً. التسلسل الصحيح للشركة الصغيرة والمتوسطة هو:

  1. تقييم الفجوات — تحديد وضعك الراهن قياساً بضوابط NCA ECC، وتوثيق ذلك رسمياً
  2. المعالجة بحسب الأولوية — معالجة الثغرات عالية الخطورة أولاً، وفق خارطة طريق مرحلية تتناسب مع ميزانيتك وفريقك
  3. التوثيق — التأكد من أن جميع الضوابط مصحوبة بسياسات مكتوبة وأدلة تطبيق
  4. المراجعة الدورية — مراجعة وضعك الأمني سنوياً، أو عقب أي تغيير جوهري في الأنظمة
ملاحظة بشأن نظام حماية البيانات الشخصية (PDPL): إضافةً إلى NCA ECC، ينبغي للمنشآت السعودية التي تتعامل مع البيانات الشخصية الانتباه إلى نظام حماية البيانات الشخصية (PDPL) الذي تُطبقه هيئة البيانات والذكاء الاصطناعي (SDAIA). يوفر الامتثال لـ NCA ECC أساساً متيناً للامتثال لـ PDPL، غير أن الاثنين ليسا متطابقَين. إذا كنت تتعامل مع بيانات شخصية — وهو ما ينطبق على معظم الشركات — فإن متطلبات PDPL تستوجب النظر فيها بصورة مستقلة.

الامتثال لـ NCA ECC لا يعني تحقيق درجة مثالية من اليوم الأول. يعني القدرة على إثبات — أمام عميل أو جهة رقابية أو شركة تأمين — أنك تفهم وضعك الأمني ولديك خطة موثوقة لإدارته. وذلك يبدأ بمعرفة أين تقف — وهو بالضبط ما يوفره تقييم الفجوات الرسمي.