إذا كنت تدير منشأة في المملكة العربية السعودية في قطاع الخدمات المالية أو التقنية المالية أو ما يتصل بهما، فلا بد أنك صادفت اختصارَين يُثيران من الارتباك أكثر من أي شيء آخر في مجال امتثال الأمن السيبراني السعودي: إطار الأمن السيبراني لـ SAMA وضوابط NCA ECC.

كلاهما إطار أمن سيبراني إلزامي. كلاهما يُطبَّق في المملكة العربية السعودية. متطلباتهما تتداخل بشكل كبير. لكنهما ليسا الشيء ذاته، ولا ينطبقان على المنظمات بالطريقة نفسها، والتعامل مع أحدهما دون فهم الآخر خطأ شائع ومُكلف.

هذا هو الشرح الواضح الذي تحتاجه معظم الشركات ونادراً ما تحصل عليه.

ما هو إطار SAMA للأمن السيبراني؟

صدر إطار الأمن السيبراني للبنك المركزي السعودي (SAMA CSF) عن البنك المركزي السعودي (المعروف سابقاً بـ SAMA)، وينطبق تحديداً على المنظمات الخاضعة لرقابة SAMA. وتشمل هذه المنظمات:

يُعد SAMA CSF إطاراً تفصيلياً قائماً على المخاطر، ويتمحور حول أربعة محاور: القيادة والحوكمة في الأمن السيبراني، وإدارة مخاطر الأمن السيبراني والامتثال، وعمليات الأمن السيبراني والتقنية، والأمن السيبراني للأطراف الثالثة. وهو شامل — يتضمن أكثر من 100 ضابط تفصيلي — والمنشآت الخاضعة لـ SAMA تخضع للفحص والتدقيق وفقاً له.

الامتثال لـ SAMA CSF ليس تطلعاً مستقبلياً للمنشآت المالية الخاضعة للتنظيم — بل هو متوقع وقابل للفحص، وعدم الامتثال يترتب عليه عواقب تنظيمية.

ما هي ضوابط NCA ECC؟

تنطبق ضوابط الأمن السيبراني الأساسية الصادرة عن الهيئة الوطنية للأمن السيبراني بصورة أشمل على الجهات الحكومية السعودية والمنظمات التي تُشكّل بنية المعلومات الوطنية الحيوية — وتضم قطاعات الرعاية الصحية والطاقة والمياه والاتصالات والخدمات المالية والنقل.

في حين يتسم SAMA CSF بالعمق والتخصص القطاعي، صُمِّم NCA ECC ليكون خطاً أساسياً — الحد الأدنى من الضوابط التي ينبغي لجميع المنظمات المشمولة تطبيقها. يتضمن الإصدار الحالي نحو 29 ضابطاً رئيسياً و114 ضابطاً فرعياً.

أوجه التداخل والاختلاف

بالنسبة للمنشأة المالية الخاضعة لـ SAMA، ينطبق الإطاران في آنٍ واحد. والخبر الجيد أن ثمة تداخلاً كبيراً بينهما — المنظمة التي تمتثل فعلياً لـ SAMA CSF ستكون قد استوفت بالفعل نسبة كبيرة من متطلبات NCA ECC في سياق ذلك.

غير أن التداخل ليس تاماً. ثمة مجالات يختلف فيها الإطاران:

أكثر الأخطاء شيوعاً هو معاملة أحد الإطارين كبديل للآخر. شركة التقنية المالية الخاضعة لـ SAMA التي تفترض أن الامتثال لـ SAMA CSF يعني تلقائياً الامتثال لـ NCA ECC — أو العكس — على الأرجح تحمل ثغرات امتثال لا تعلم بها.

أيهما ينطبق عليك؟

إذا كنت خاضعاً لرقابة SAMA:

ينطبق عليك الإطاران معاً. SAMA CSF هو التزامك الأساسي والإطار الذي ستخضع للفحص وفقه من قِبل SAMA. NCA ECC طبقة إضافية تكميلية. النهج الصحيح هو إجراء تقييم SAMA CSF أولاً، ثم استخدام تحليل الفجوات لتحديد الوضع تجاه NCA ECC أيضاً.

إذا كنت في قطاع الخدمات المالية دون أن تخضع مباشرةً لـ SAMA:

على سبيل المثال، مزوّد تقنية يخدم مؤسسات مالية، أو شركة خدمات مهنية ذات قاعدة عملاء واسعة في القطاع المالي. NCA ECC ينطبق عليك. SAMA CSF قد يكون مطلوباً تعاقدياً من قِبل عملائك أيضاً. هذا أصبح أكثر شيوعاً — كثير من البنوك السعودية الكبرى باتت تشترط على موردي الأطراف الثالثة إثبات توافقهم مع SAMA CSF شرطاً للتأهل كموردين.

إذا كنت في قطاع الرعاية الصحية أو اللوجستيات أو الخدمات المهنية:

NCA ECC ينطبق عليك. SAMA CSF لا ينطبق مباشرةً، وإن كنت تعالج بيانات دفع فعليك الانتباه كذلك لمتطلبات PCI DSS. وإذا كنت تتعامل مع بيانات شخصية — وهذا ينطبق على كل شركة تقريباً — فإن نظام PDPL السعودي ينطبق بصورة مستقلة.

نقطة انطلاق عملية

بدلاً من معاملة الامتثال كمشروعَين منفصلَين، أكثر المناهج كفاءةً هو إجراء تقييم شامل للفجوات يرسم في آنٍ واحد وضعك الراهن قياساً بالإطارَين معاً — محدداً أين تستوفي كليهما، وأين تستوفي أحدهما دون الآخر، وأين تتمركز الفجوات في كليهما.

يمنحك هذا خارطة طريق علاجية واحدة ذات أولويات، بدلاً من مسارَين متوازيَين منفصلَين، كما يُنتج توثيقاً يُرضي عمليتَي الفحص لدى كلٍّ من الهيئة الوطنية للأمن السيبراني و SAMA.

إطار إضافي ينبغي معرفته: نظام حماية البيانات الشخصية السعودي (PDPL) الذي تُطبقه هيئة البيانات والذكاء الاصطناعي (SDAIA) يُضيف التزامات حماية بيانات لا يُغطيها SAMA CSF أو NCA ECC بصورة كاملة. إذا كنت تتعامل مع بيانات شخصية — وهذا ينطبق على معظم الشركات — فينبغي تقييم متطلبات PDPL جنباً إلى جنب مع امتثال إطار الأمن السيبراني. يستطيع مستشار مستقل رسم خارطة المتطلبات الثلاثة في تعاقد واحد.

الامتثال في القطاعات السعودية المنظَّمة معقد فعلاً. الأطر مُصمَّمة بعناية والغاية منها سليمة — لكن التفاعل فيما بينها نادراً ما يُشرح بوضوح كافٍ. المنشآت التي تتعامل معه بنجاح هي تلك التي تفهم الصورة الكاملة قبل البدء، لا تلك التي تكتشف الثغرات خلال فحص رقابي، أو ما هو أسوأ، خلال حادثة أمنية.