هل تنطبق عليك ضوابط الأمن السيبراني NCNICC؟ اعرف فئتك والمطلوب منك

ما هي ضوابط NCNICC-1:2025؟

هي ضوابط الأمن السيبراني لجهات القطاع الخاص من غير ذات البنى التحتية الحساسة، أصدرتها الهيئة الوطنية للأمن السيبراني لتضع الحدّ الأدنى من متطلبات الأمن السيبراني للمنشآت — صغيرها ومتوسطها وكبيرها. وتنتظم الضوابط في ثلاثة مكوّنات أساسية:

• حوكمة الأمن السيبراني — التنظيم والسياسات وإدارة المخاطر والتوعية.
• تعزيز الأمن السيبراني — الحماية العملية للأنظمة والبيانات والأجهزة والشبكات.
• الأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية — حماية ما تتشاركه مع مزوّدي الخدمات والاستضافة السحابية.

لماذا أصدرت الهيئة هذه الضوابط؟

ربطت رؤية المملكة 2030 ازدهار الاقتصاد بقطاع خاص قويّ وآمن، مع رفع إسهام المنشآت الصغيرة والمتوسطة في الناتج المحلي الإجمالي. ولأن هذا النمو يحتاج إلى فضاء سيبراني موثوق، جاءت ضوابط NCNICC لرفع الحدّ الأدنى من الحماية لدى المنشآت. الامتثال هنا ليس عبئاً تنظيمياً، بل مساهمة من كلٍّ منّا، من موقعه، في حماية منشأته ووطنه.

كيف تعرف فئتك: (أ) أم (ب)؟

تُقسّم الهيئة الجهات إلى فئتين بحسب حجم المنشأة، وفق تعريف الهيئة العامة للمنشآت الصغيرة والمتوسطة (منشآت):

الفئة	تعريف المنشأة	عدد الضوابط الملزمة
الفئة (أ) — الجهات الكبيرة	أكثر من 250 موظفاً بدوام كامل، أو إيرادات سنوية تتجاوز 200 مليون ريال	3 مكوّنات أساسية · 22 مكوّناً فرعياً · 65 ضابطاً
الفئة (ب) — الصغيرة والمتوسطة	من 6 إلى 249 موظفاً بدوام كامل، أو إيرادات سنوية بين 3 و200 مليون ريال	مكوّن أساسي واحد · 13 مكوّناً فرعياً · 26 ضابطاً

ببساطة: عُدّ موظفيك بدوام كامل. إن كان العدد بين 6 و249، فأنت من الفئة (ب) — وهي الفئة التي صُمّم لها SecurityRelief خصيصاً.

ماذا تشمل ضوابط الفئة (ب) عملياً؟

ضوابط الفئة (ب) ليست متطلبات معقّدة، بل تركّز على الأساسيات التي تحمي منشأتك فعلاً. ومن أبرز ما تُلزمك به الهيئة:

• إدارة الأصول — جرد دقيق ومحدّث لأجهزتك وأنظمتك ومعلوماتك.
• إدارة هويات الدخول والصلاحيات — بما في ذلك التحقق متعدد العناصر (MFA) للدخول عن بُعد (البريد والتطبيقات الخارجية)، ومبدأ الحد الأدنى من الصلاحيات.
• حماية الأنظمة والأجهزة والبريد الإلكتروني من البرمجيات الخبيثة والاختراق.
• إدارة أمن الشبكات وحماية البيانات والتشفير.
• النسخ الاحتياطية المنتظمة، وإدارة الثغرات والتحديثات.
• برنامج التوعية والتدريب للموظفين على التهديدات مثل التصيّد الإلكتروني وبرامج الفدية وكلمات المرور القوية.
• الأمن المتعلق بالأطراف الخارجية والحوسبة السحابية لما تستضيفه أو تتشاركه خارج المنشأة.

ما الفرق بين "ملزم" و"موصى به" بالنسبة لك؟

تميّز الهيئة بين ضابط ملزم (يجب تطبيقه على فئتك) وآخر موصى به (يُشجَّع تطبيقه). بالنسبة للفئة (ب)، يتركّز الإلزام على الحماية العملية والتوعية — مثل إدارة الهويات والأصول وحماية الأجهزة والبريد والتوعية — بينما تكون بعض بنود الحوكمة الثقيلة (كإنشاء وحدة أمن سيبراني مستقلة) موصى بها لا ملزمة. هذا يعني أن نقطة البداية لمنشأتك أبسط مما قد تتصوّر.

ماذا عليك أن تفعل الآن؟

1. اعرف فئتك — عُدّ موظفيك ودخلك السنوي، وحدّد إن كنت (أ) أم (ب).
2. قيّم وضعك الحالي مقابل ضوابط فئتك، لتعرف أين تقف وأين الفجوات.
3. أغلق الفجوات بالأولوية، بدءاً بالضوابط الملزمة.

كيف تعرف أين تقف اليوم؟

الخطوة الأكثر عملية هي قياس وضعك الحالي. صمّمنا لذلك تقييماً مجانياً يستغرق 8 دقائق، يقيس جاهزية منشأتك مقابل ضوابط الفئة (ب) ويصدر لك تقريراً فورياً يوضّح أين أنت وأين الفجوات — بلا حاجة لخبرة تقنية، ودون أن تُشارَك بياناتك.