Home Knowledge base NCA Frameworks الضوابط الأساسية للأمن السيبراني ECC-2:2024 — الدليل الشامل من المصدر KNOWLEDGE BASE
الضوابط الأساسية للأمن السيبراني ECC-2:2024 — الدليل الشامل من المصدر
NCA FRAMEWORKS

الضوابط الأساسية للأمن السيبراني ECC-2:2024 — الدليل الشامل من المصدر

SKYLINE Knowledge Base

معظم الأدلة العربية عن ضوابط ECC ما زالت تقتبس ECC-1:2018 (5 مكونات / 29 فرعياً / 114 ضابطاً). لكن ECC-2:2024 حذفت مكوناً أساسياً كاملاً، وأزالت ضابط توطين البيانات، وأعادت توزيع الأعداد. دليل من المصدر، وكل رقم ضابط مُتحقَّق منه من الوثيقة.

معظم ما يُكتب عن الضوابط الأساسية للأمن السيبراني في عام 2026 قديمٌ ومتجاوَز، والذين يكتبونه لا يدركون ذلك.

ابحث عن «ضوابط ECC» وسيُقال لك بثقة إنها تتكوّن من 5 مكونات أساسية و29 مكوناً فرعياً و114 ضابطاً. هذا كان صحيحاً بالفعل — لكنه كان صحيحاً بشأن ECC-1:2018. ولم يعد صحيحاً منذ أصدرت الهيئة الوطنية للأمن السيبراني نسختها الثانية ECC-2:2024، التي حذفت مكوّناً أساسياً كاملاً، ونقلت متطلب توطين البيانات خارج الوثيقة بالكامل، وأعادت توزيع أعداد الضوابط.

هذا الدليل مكتوب من الوثيقة نفسها: الضوابط الأساسية للأمن السيبراني ECC-2:2024 الصادرة عن الهيئة الوطنية للأمن السيبراني، وتصنيف الوثيقة: عام، مع فتح نسخة ECC-1:2018 بجانبها للمقارنة. كل رقم ضابط، وكل إحصائية، وكل متطلب مقتبس أدناه مأخوذ من تلك الوثيقة. وحين تسكت الضوابط عن أمر، نقول ذلك صراحةً — لأن أغلى خطأ في أعمال الامتثال السعودية هو أن تنسب إلى الهيئة متطلباً لم تكتبه الهيئة قط.

ملاحظة منهجية مهمة: النسخة الرسمية المتاحة لنا من ECC-2:2024 عند إعداد هذا الدليل هي النسخة الإنجليزية المنشورة على موقع الهيئة، والاقتباسات أدناه مُعرَّبة عنها بعناية. وتنصّ الوثيقة نفسها على أن النسخة العربية هي الملزِمة عند الاختلاف في التفسير. فإن كنت تبني عليها التزاماً تعاقدياً أو تنظيمياً، فارجع إلى النسخة العربية المنشورة على nca.gov.sa — هي المرجع، لا هذه الصفحة.

الخلاصة في ستين ثانية

  • النسخة السارية هي ECC-2:2024، وهي تحلّ محلّ ECC-1:2018.
  • تتكوّن ECC-2:2024 من 4 مكونات أساسية، و28 مكوناً فرعياً، و108 ضوابط أساسية، و92 ضابطاً فرعياً (المقدمة، صفحة 7).
  • كانت ECC-1:2018 تتكوّن من 5 مكونات أساسية، و29 مكوناً فرعياً، و114 ضابطاً. فإن اقتبس لك مورّدٌ رقم 114، فهو يقتبس من وثيقة مُتجاوَزة.
  • حُذف المكوّن الأساسي الخامس (الأمن السيبراني لأنظمة التحكم الصناعي)، ونُقلت ضوابطه إلى ضوابط الأمن السيبراني للأنظمة التشغيلية OTCC (الملحق ج).
  • تنطبق الضوابط على الجهات الحكومية، وعلى جهات القطاع الخاص التي تملك أو تُشغّل أو تستضيف البنى التحتية الوطنية الحساسة (CNI). أما البقية فـ«تشجّعهم الهيئة بشدّة» على تبنّيها (صفحة 9).
  • لا توجد شهادة ECC، ولا نظام مدققين معتمدين، والأهم: لا يوجد في الوثيقة أي موعد نهائي للامتثال.

ما الذي تحتويه ECC-2:2024 فعلياً

المكونات الأساسية الأربعة، وعدد المكونات الفرعية تحت كلٍّ منها، كما وردت في الشكل رقم 2 من الوثيقة (صفحة 11):

# المكوّن الأساسي المكونات الفرعية
1 حوكمة الأمن السيبراني 10 (من 1-1 إلى 1-10)
2 تعزيز الأمن السيبراني 15 (من 2-1 إلى 2-15)
3 صمود الأمن السيبراني 1 (3-1)
4 الأمن السيبراني المتعلق بالأطراف الخارجية والحوسبة السحابية 2 (4-1 و4-2)
الإجمالي 28

عشرة زائد خمسة عشر زائد واحد زائد اثنين يساوي ثمانية وعشرين. هذه هي الحسبة التي تقف خلف رقم الهيئة نفسه، ويمكنك التحقق منها بالطريقة ذاتها التي تحققنا بها.

ويُقرأ رمز الضابط من اليسار إلى اليمين (الشكلان 3 و4، صفحة 12). ففي الرمز 2-3-2-6: الرقم 2 هو المكوّن الأساسي، و3 المكوّن الفرعي، و2 الضابط الأساسي، و6 الضابط الفرعي. لا يوجد حرف، ولا بادئة، ولا سنة داخل رقم الضابط. وهذه نقطة أهم مما تبدو — كما سيتضح في «فخّ إعادة الترقيم» أدناه.

المكونات الفرعية لـ«تعزيز الأمن السيبراني» بترتيبها الصحيح

هذا هو القسم الأكثر تعرّضاً للاقتباس الخاطئ، وهو في الوقت نفسه القسم الذي يبني عليه المهندسون فعلياً. وهذا نصّه من الشكل 2 (صفحة 11):

الرمز المكوّن الفرعي
2-1 إدارة الأصول
2-2 إدارة هويات الدخول والصلاحيات
2-3 حماية الأنظمة وأجهزة معالجة المعلومات
2-4 حماية البريد الإلكتروني
2-5 إدارة أمن الشبكات
2-6 أمن الأجهزة المحمولة
2-7 حماية البيانات والمعلومات
2-8 التشفير
2-9 إدارة النسخ الاحتياطية
2-10 إدارة الثغرات
2-11 اختبار الاختراق
2-12 إدارة سجلات الأحداث ومراقبة الأمن السيبراني
2-13 إدارة حوادث وتهديدات الأمن السيبراني
2-14 الأمن المادي
2-15 حماية تطبيقات الويب

احفظ الصفوف الأربعة المظللة. فكمٌّ كبير جداً من «محتوى الامتثال» المنشور بالعربية — ومنه، حتى وقت قريب، بعض ما نشرناه نحن، ولهذا أُعيدت كتابة هذا الدليل من المصدر — ينسب 2-10 إلى إدارة السجلات و2-11 إلى الاستجابة للحوادث. وكلاهما خطأ، في كلتا النسختين ECC-1:2018 وECC-2:2024. ففي النسختين معاً: 2-10 هي إدارة الثغرات، و2-11 هي اختبار الاختراق. أما السجلات فهي 2-12، وإدارة الحوادث فهي 2-13.

فإن كانت وثيقة تصميم نظام SIEM لديك، أو عرض مجلس الإدارة، أو تقرير الفجوات الذي أعدّه استشاريّك، تستشهد بـ«الضابط 2-10» لحفظ السجلات — فهي لم تُكتب من المعيار.

فخّ إعادة الترقيم: ECC ≠ CSCC ≠ CCC

ضوابط الهيئة الأخرى هي امتدادات للضوابط الأساسية — بل إن الالتزام بـ ECC شرطٌ مسبق لها — لكنها لا ترث أرقام المكونات الفرعية من ECC. فكل وثيقة تُعيد الترقيم من الصفر. وهذه الحقيقة وحدها سببٌ في اقتباسات خاطئة أكثر من أي شيء آخر في مجال الامتثال السعودي.

تم التحقق مما يلي من متن الضوابط في كل وثيقة على حدة:

الموضوع ECC-2:2024 CSCC-1:2019 CCC-2:2024
إدارة الثغرات 2-10 2-9 2-9
اختبار الاختراق 2-11 2-10 2-10
سجلات الأحداث والمراقبة 2-12 2-11 2-11
إدارة الحوادث والتهديدات 2-13 لا يوجد مكوّن فرعي في CSCC 2-12
الأمن المادي 2-14 لا يوجد 2-13
حماية تطبيقات الويب 2-15 2-12 2-14

اقرأ هذا الجدول مرتين. «2-12» تعني إدارة السجلات في ECC، وحماية تطبيقات الويب في CSCC، وإدارة الحوادث في CCC. ثلاثة معايير، ورقمُ ضابطٍ واحد، وثلاثة معانٍ مختلفة تماماً. واستشهادك بالرقم الخطأ في ردٍّ على تدقيق يعني أنك أبلغت المدقق، كتابةً، بأنك لم تقرأ المعيار.

وملاحظتان إضافيتان، كلتاهما قابلة للتحقق:

  • لا يوجد في CSCC-1:2019 مكوّن فرعي خاص بإدارة الحوادث. فمكوّن «تعزيز الأمن السيبراني» فيها يمتد من 2-1 إلى 2-13 وينتهي عند «أمن التطبيقات». وهذا ليس إغفالاً: فالمتطلب يظلّ ملزماً لك عبر ECC 2-13، لأن الالتزام بـ ECC شرطٌ مسبق للالتزام بـ CSCC (صفحة 12 من CSCC).
  • تستخدم CCC شكلاً مختلفاً تماماً للرموز. إذ تحمل ضوابطها حرف P (مقدّم الخدمة السحابية) أو T (المشترك في الخدمة السحابية) داخل الرمز — مثل 1-4-P-1-1 و1-1-T-1. فإذا رأيت حرفاً داخل رقم الضابط، فاعلم أنه ليس ضابطاً من ECC.

الرقم الوحيد في الوثيقة كلها

إليك نتيجةً تساوي وحدها ثمن هذا الدليل، وهي عكس ما توحي به معظم دعايات الامتثال.

في متن ضوابط ECC-2:2024 بالكامل، يوجد مطلبٌ زمنيٌّ رقميٌّ صريحٌ واحد فقط:

2-12-3-5 — «مدة الاحتفاظ بسجلات أحداث الأمن السيبراني (يجب أن تكون 12 شهراً على الأقل)».

هذا كل شيء. رقم واحد. أما كل تكرار زمني آخر في الضوابط الأساسية الـ108 فيُعبَّر عنه بكلمة «بشكل دوري» — مراجعة دورية، تدقيق دوري، اختبار اختراق دوري. الهيئة لا تحدّد كم مرة يجب أن تُجري اختبار اختراق. ولا تحدّد كم مرة يجب أن تُدقّق. ولا تحدّد حداً أقصى لزمن الاكتشاف، ولا لزمن الاستجابة، ولا موعداً نهائياً لإبلاغ الهيئة بالحادثة.

فالضابط 2-13-3-3 يوجب «إبلاغ الهيئة الوطنية للأمن السيبراني بحوادث الأمن السيبراني»، ولا يُرفق بذلك أي إطار زمني. لا أربع ساعات، ولا 24، ولا 72. الوثيقة ببساطة لا تقول ذلك.

وهذه ليست ثغرة، وليست عذراً للتقاعس. إنها خيار تصميمي: الهيئة تضع متطلبات، لا مستويات خدمة. والوتيرة التي تختارها أنت يجب أن تكون قابلة للدفاع عنها أمام تقييم المخاطر الخاص بك — وهذا تحديداً ما يفحصه المدقق. لكن ينبغي أن تعرف، حين يقول لك مورّد إن «الهيئة تشترط زمن اكتشاف أقل من 15 دقيقة»، أنه اخترع ذلك. فهو ليس في المعيار. اطلب منه رقم الضابط، وراقب ما سيحدث.

والموضع الوحيد الذي يظهر فيه رقمٌ حقيقيٌّ أكثر صرامة هو CSCC، وللأنظمة الحساسة تحديداً:

CSCC 2-11-2 — «بالإشارة إلى الضابط الفرعي 2-12-3-5 من ECC، يجب أن تكون مدة الاحتفاظ بسجلات أحداث الأنظمة الحساسة 18 شهراً كحدٍّ أدنى».

إذن: 12 شهراً بموجب ECC، و18 شهراً إذا كان النظام نظاماً حساساً بموجب CSCC. كلا الرقمين قابل للاقتباس، وكلاهما حقيقي.

ما الذي تغيّر من ECC-1:2018 إلى ECC-2:2024

الملحق (ج) في ECC-2 هو سجلّ تغييرات رسمي، وهو أنفع ثلاث صفحات نشرتها الهيئة. وأهم ما يغيّر قرارات الهندسة والتوظيف فعلياً:

حُذف المكوّن الأساسي الخامس. لم يعد أمن أنظمة التحكم الصناعي/التقنيات التشغيلية جزءاً من ECC. ويذكر الملحق (ج) أن ضوابطه «نُقلت إلى OTCC (ضوابط الأمن السيبراني للأنظمة التشغيلية)». فإن كنت تُدير مصانع أو مصافي أو مرافق أو خطوط إنتاج، فالتزاماتك التشغيلية لم تختفِ — بل انتقلت إلى وثيقة أخرى، وصار عليك الآن الالتزام بوثيقتين.

حُذف الضابط الفرعي 4-2-3-3 — وهو ضابط توطين البيانات. كان نصّه في ECC-1:2018: «يجب أن تكون استضافة وتخزين معلومات الجهة داخل المملكة العربية السعودية». وفي ECC-2:2024 لم يعد هذا الضابط الفرعي موجوداً. ويوضّح الملحق (ج) السبب: «نُقلت الضوابط المتعلقة بتوطين البيانات من الوثيقة إلى مكتب إدارة البيانات الوطنية (NDMO) في الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)».

وانتبه جيداً لكيفية قراءة ذلك، فمن السهل أن تُفهم بالمقلوب. هذا لا يعني أن توطين البيانات لم يعد مهماً في السعودية. بل يعني أن الاختصاص انتقل إلى NDMO/سدايا بدل أن يكون داخل ECC — وهو يظلّ ملزماً لك عبر نظام حماية البيانات الشخصية (PDPL)، وعبر قواعد NDMO، وعبر منظّمي القطاعات. لكن ما يعنيه فعلاً هو التالي: من يقول لك إن «الضابط 4-2-3-3 من ECC يُلزمك بالاستضافة داخل المملكة» يستشهد بضابطٍ مسحوب. الالتزام حقيقي. أما ذلك الاستشهاد فلا.

كذلك حُذف الضابط 2-7-3 (خصوصية البيانات) وأُحيل إلى NDMO.

ووُسِّع الضابط 1-2-2 — وهذا له أثرٌ مباشر على كشوف الرواتب. كانت ECC-1 توجب أن يُشغل منصب رئيس وظيفة الأمن السيبراني (مثل CISO) و«المناصب الإشرافية والحساسة المرتبطة بها» بمختصين سعوديين متفرغين وذوي خبرة. أما ECC-2:2024 فنصّها الآن:

1-2-2 — «يجب إشغال جميع وظائف الأمن السيبراني بمختصين سعوديين متفرغين ومؤهلين في الأمن السيبراني».

ليس الرئيس. ولا المشرفين. بل جميع وظائف الأمن السيبراني. فإن كنت تخطط لمركز عمليات أمنية داخلي، فهذا هو الضابط الذي يرسم خطة توظيفك قبل أن تشتري رخصةً واحدة.

وشُدِّد الضابط الفرعي 2-4-3-5. كانت ECC-1 تطلب التحقق من نطاقات البريد الإلكتروني للجهة «(مثل استخدام SPF)». أما ECC-2 فتوجب التحقق «باستخدام SPF وDKIM وDMARC». لم تعد SPF وحدها كافية. فإن لم تنشر سجلّ DMARC قط، فهذه فجوة صريحة الآن — وشرحنا التفصيلي في SPF وDKIM وDMARC يغطي الجانب التقني.

وأُضيف الضابط الفرعي 2-5-3-9: «الحماية من هجمات حجب الخدمة الموزّعة (DDoS) للحدّ من المخاطر الناشئة عنها». وهو جديد في ECC-2.

وأُعيدت صياغة الضابط 2-8-3 ليوجب، كحدٍّ أدنى، تطبيق «المتطلبات الواردة في المعايير الوطنية للتشفير الصادرة عن الهيئة»، مع اختيار مستوى المعيار المناسب بحسب حساسية البيانات وتقييم المخاطر. لقد اختفت صياغة ECC-1 العامة، وصار هناك الآن مستندٌ مُسمّى صادر عن الهيئة يُتوقّع منك التطبيق وفقه.

وحُذف الضابط 1-7-1، وأُعيدت صياغة 1-7-2 ليقتصر أثره على الحالات التي تفرض فيها اتفاقيات دولية معتمدة وطنياً متطلباتِ أمنٍ سيبراني.

ووُسِّع النطاق. فـ ECC-2 تنطبق على الجهات الحكومية و«الشركات والجهات التابعة لها (داخل المملكة وخارجها)» — والعبارة بين القوسين جديدة.

كما أُعيدت صياغة عدة ضوابط فرعية للتحقق متعدد العناصر (2-2-3-2 و2-4-3-2 و2-15-3-5) بعيداً عن الصيغة المطلقة «استخدم MFA» نحو تحديد «عناصر التحقق المناسبة وعددها والتقنيات المناسبة بناءً على نتيجة تقييم أثر فشل التحقق أو تجاوزه». بعبارة أخرى: برِّر تصميم المصادقة لديك بتقييم أثر. لم يعد تفعيل MFA في كل مكان واعتبار الأمر منتهياً هو شكل الإجابة الصحيح.

«CCC» تعني شيئين مختلفين. لا تخلط بينهما.

هذا الالتباس يُوقع موردي المنطقة الشرقية باستمرار، والوثيقتان لا علاقة لإحداهما بالأخرى:

  • CCC لدى الهيئة = ضوابط الأمن السيبراني للحوسبة السحابية. وهو إطار ضوابط. والنسخة السارية هي CCC-2:2024 التي حلّت محل CCC-1:2020. يتكوّن من 4 مكونات أساسية و24 مكوناً فرعياً، مع مجموعتَي ضوابط منفصلتين: 37 ضابطاً أساسياً و94 ضابطاً فرعياً لمقدّمي الخدمة (CSPs)، و18 ضابطاً أساسياً و26 ضابطاً فرعياً للمشتركين (CSTs) (CCC-2:2024، الشكل 1). أنت تلتزم به. والتفصيل الكامل في دليل CCC — بما في ذلك ضابطا توطين البيانات اللذان حذفتهما CCC-2:2024.
  • CCC لدى أرامكو = شهادة الالتزام بالأمن السيبراني (Cybersecurity Compliance Certificate). وهي شهادة تصدر عن مكتب تدقيق معتمد من أرامكو، تُثبت استيفاءك لمعيار SACS-002. أنت تحصل عليها. وقد أفردنا لها دليل SACS-002.

الأولى إطارٌ من المنظّم الوطني. والثانية شهادةُ موردٍ من شركة نفط. فإذا طلب منك مسؤول المشتريات «الـ CCC»، فتأكّد أيّهما يقصد قبل أن تنفق ريالاً واحداً.

كيف تُقيِّمك الهيئة فعلياً

لا توجد شهادة ECC. ولا توجد قائمة مدققين معتمدين من الهيئة على غرار ما تحتفظ به أرامكو. ما تقوله الوثيقة (صفحة 9) هو أن الهيئة تُقيّم الالتزام «بعدة وسائل، مثل التقييم الذاتي من قبل الجهات، والتقارير الدورية لأداة الالتزام، و/أو زيارات التدقيق الميداني، وفق الآلية التي تراها الهيئة مناسبة». كما تذكر الهيئة أنها ستُصدر أداة تقييم والتزام خاصة بـ ECC-2:2024 لتنظيم عملية القياس.

ويستند الالتزام إلى المادة 10(3) من تنظيم الهيئة والأمر السامي رقم 57231 وتاريخ 10/11/1439هـ، حيث يجب على الجهات المشمولة «اتخاذ كل ما يلزم لضمان الالتزام المستمر والدائم».

لاحظ العبارة: مستمر ودائم. وليس «قبل نهاية العام». الوثيقة لا تحدد أي موعد نهائي، ولا فترة سماح، ولا مرحلة انتقالية — بحثنا، فلم نجد. الالتزام حالةٌ مستمرة، تُقيَّم متى قررت الهيئة تقييمها.

وهناك ضابطان هيكليان يجدر بك معرفتهما قبل أول تقييم، وكلاهما من المكوّن الأول:

  • 1-2-1 — يجب إنشاء إدارة للأمن السيبراني داخل الجهة، مستقلة عن إدارة تقنية المعلومات والاتصالات (عملاً بالأمر السامي رقم 37140 وتاريخ 14/08/1438هـ)، مع التوصية بأن ترفع تقاريرها مباشرةً إلى رئيس الجهة. وارتباط الأمن السيبراني بمدير تقنية المعلومات ملاحظةٌ هيكلية لا تقنية، ولا يمكنك معالجتها بترقيعٍ تقني.
  • 1-8-2 — يجب أن تُراجَع وتُدقَّق تطبيقات الضوابط من جهاتٍ غير إدارة الأمن السيبراني في الجهة، وباستقلالية. فالفريق الذي يبني الضوابط لا يمكن أن يكون هو الفريق الذي يعتمدها.

أين يقع مزوّد الاستضافة — وأين لا يقع

المكوّن الفرعي 4-2 (الأمن السيبراني المتعلق بالحوسبة السحابية والاستضافة) هو المكان الذي تلتقي فيه معظم جهات القطاع الخاص بـ ECC لأول مرة. وهو قصير. ففي ECC-2:2024، يوجب الضابط 4-2-3 أن تتضمن متطلبات الأمن السيبراني للحوسبة السحابية والاستضافة، كحدٍّ أدنى، أمرين اثنين فقط:

4-2-3-1 — «حماية بيانات الجهة من قِبل مقدّمي خدمات الحوسبة السحابية والاستضافة وفقاً لمستوى تصنيفها، وإعادة البيانات (بصيغة قابلة للاستخدام) عند انتهاء الخدمة».

4-2-3-2 — «فصل بيئة الجهة (وخصوصاً الخوادم الافتراضية) عن بيئات الجهات الأخرى لدى مقدّم خدمة الحوسبة السحابية».

هذه هي قائمة الحد الأدنى كاملة. ضابطان فرعيان: احمِ بياناتي وفق تصنيفها وأعِدها لي بصيغة قابلة للاستخدام، وافصل بيئتي عن بيئات المشتركين الآخرين.

ولاحظ ما يقوله 4-2-3 أيضاً: إن هذه المتطلبات تنطبق «بالإضافة إلى ما يمكن تطبيقه من الضوابط ضمن المكونات الأساسية (1) و(2) و(3) والمكوّن الفرعي (4-1)». فالانتقال إلى مزوّد استضافة لا يُسقط عنك التزامات الحوكمة والتعزيز والصمود؛ بل يُضيف إليها مورّداً.

وهنا الصياغة الصادقة، وهي التي كنّا سنرغب في سماعها لو كنّا نحن المشترين:

لا يستطيع أي مزوّد استضافة أن يجعلك ممتثلاً لـ ECC. فـ ECC تُلزم الجهة. وهي لا تعتمد المورّدين، ولا وجود لشيء اسمه «مستضيف معتمد من ECC». وأي مزوّد — بمن فينا نحن — يقول لك إن شراء باقته يجعلك ممتثلاً، فهو يقول شيئاً لا يسنده المعيار. ما يستطيع المزوّد فعله هو أن يجعل ضوابط بعينها سهلة الإثبات بدل أن تكون مكلفة الجدال.

وعملياً، حين تُقيّم أي مزوّد استضافة سعودي أمام 4-2-3، اسأله عن هذا تحديداً:

  1. أين توجد البيانات فيزيائياً؟ (لم يعد ضابطاً في ECC — لكنه يظل التزامك عبر NDMO/سدايا ونظام حماية البيانات الشخصية.)
  2. فصل البيئات — كيف تُعزل بيئتي عن بقية العملاء؟ (4-2-3-2)
  3. إعادة البيانات — عند الخروج، هل أستعيد بياناتي بصيغة قابلة للاستخدام، وكيف؟ (4-2-3-1)
  4. النسخ الاحتياطية — ماذا يُؤخذ، وبأي وتيرة، وهل أستطيع الاستعادة دون تذكرة دعم؟ (يغذّي المكوّن الفرعي 2-9.)
  5. توثيق البريد — هل أستطيع نشر SPF وDKIM وDMARC على نطاقي؟ (2-4-3-5)
  6. التشفير أثناء النقل — هل TLS مفعّل افتراضياً، وهل يتجدّد دون أن أتذكّره؟ (2-8-3)

وسكاي لاين كلاود منصة استضافة سعودية مُدارة، وسنصفها بهذه الحدود ولا نتجاوزها: بنية تحتية داخل المملكة، وفوترة بالريال السعودي، وواجهة ودعم بالعربية؛ وفصل بيئة لكل حساب؛ ونسخ احتياطي يومي؛ وشهادة SSL مجانية ذاتية التجديد (شهادات 90 يوماً تتجدّد تلقائياً من لوحة S Panel، فلا يحتاج أحد إلى تدوين موعد انتهائها)؛ ونظام DNS تتحكم به، فيصبح نشر سجلات SPF وDKIM وDMARC مهمة خمس دقائق لا تذكرة دعم؛ واتفاقية مستوى خدمة بجاهزية 99.9%. وتبدأ الباقات من 49 ريالاً/شهرياً (المشتركة)، ثم 119 ريالاً/شهرياً (المخصصة)، وصولاً إلى 199 ريالاً/شهرياً (السحابية — 4 جيجابايت ذاكرة، و100 جيجابايت NVMe، وتوسّع تلقائي للموارد، وتوافرية عالية، وشبكة توصيل محتوى عالمية).

ما تشتريه بذلك ليس شهادة. بل نقاشٌ أقصر وأرخص حول 4-2-3، وعبءٌ أقل في الأجزاء من المكوّن الثاني التي تمسّ استضافتك. أما الحوكمة، وسجل المخاطر، والتوظيف السعودي بموجب 1-2-2، والتدقيق المستقل بموجب 1-8-2 — فتظلّ كلها مسؤوليتك أنت.

ويمكنك بدء تجربة مجانية لمدة 14 يوماً — دون بطاقة ائتمانية وتفحّص لوحة التحكم وجدول النسخ الاحتياطي وسجلات DNS بنفسك، قبل أن تأخذ بكلام أحد في أي من ذلك.

خطة واقعية لأول 90 يوماً

إن كنت تبدأ من الصفر، فهذا هو الترتيب الذي كنا سنعمل به — الحوكمة أولاً، لأن ملاحظات الحوكمة هي التي لا يمكن إصلاحها في دورة تطوير واحدة:

  1. اقرأ الوثيقة نفسها. إنها عامة، وتقع في 56 صفحة. ستُنهيها في أمسية واحدة، وستُحاجج بعدها معظم الاستشاريين وتغلبهم.
  2. صحّح هيكلك التنظيمي (1-2-1). إدارة أمن سيبراني مستقلة. هذا قرار، لا مشروع، وكل ما بعده يعتمد عليه.
  3. وظِّف بموجب 1-2-2. جميع وظائف الأمن السيبراني، بمختصين سعوديين متفرغين ومؤهلين. ابدأ التوظيف قبل أن تبدأ الشراء.
  4. ابنِ سجل الأصول (2-1). لا يمكنك تسجيل ما لم تُحصِه، ولا ترقيعه، ولا نسخه، ولا تصنيفه.
  5. صنِّف البيانات (2-7). فالضابط 4-2-3-1 مصوغٌ بدلالة مستوى التصنيف — وبدون تصنيف يصبح الضابط السحابي بلا إجابة.
  6. فعِّل تسجيل الأحداث واضبط مدة الاحتفاظ على 12 شهراً على الأقل (2-12-3-5) — و18 شهراً إن كان أي نظام نظاماً حساساً بموجب CSCC.
  7. اكتب خطة الاستجابة للحوادث وإجراءات التصعيد، بما فيها الإبلاغ للهيئة (2-13-3-1 و2-13-3-3). المعيار لا يمنحك موعداً نهائياً، فحدِّد موعدك أنت ودافع عنه.
  8. رتّب المراجعة المستقلة (1-8-2) قبل أن ترتّبها الهيئة نيابةً عنك.

وما بعد ذلك هندسة. ودليلنا المرافق، بناء مركز عمليات أمنية للامتثال للهيئة، ينزل بالخطوتين 6 و7 إلى مستوى مصادر السجلات والمنظومة التقنية وأدلة التشغيل — وهو حذرٌ بالقدر نفسه في التمييز بين ما تشترطه الهيئة فعلاً وما هو مجرد ممارسة سائدة في القطاع.

الأسئلة الشائعة

هل ما زالت ECC-1:2018 سارية؟ ECC-2:2024 هي النسخة الحالية وتحلّ محلّها. وجدول «التحديث والمراجعة» لدى الهيئة يُدرج ECC-1 (2018) وECC-2 (2024)، مع الملحق (ج) الذي يوثّق التغييرات. نزِّل دائماً أحدث نسخة من nca.gov.sa ولا تثق بنسخة محفوظة — فالوثيقة نفسها تقول ذلك في إخلاء المسؤولية على غلافها.

كم عدد ضوابط ECC؟ ECC-2:2024: 108 ضوابط أساسية و92 ضابطاً فرعياً، ضمن 4 مكونات أساسية و28 مكوناً فرعياً. أما ECC-1:2018 فذكرت 114 ضابطاً ضمن 5 مكونات و29 مكوناً فرعياً. والرقمان غير قابلين للمقارنة المباشرة، واقتباس 114 في 2026 يكشف قِدَم وثيقتك فوراً.

هل تُلزمني ECC باستضافة بياناتي داخل السعودية؟ ECC-2:2024 لا تتضمن ضابط توطين بيانات. فالضابط 4-2-3-3 في ECC-1 كان يوجب الاستضافة والتخزين داخل المملكة، وقد حذفته ECC-2 ونقلت توطين البيانات إلى NDMO في سدايا (الملحق ج). ولا تزال التزامات التوطين قائمة على معظم الجهات — عبر PDPL وقواعد NDMO ومنظّمي القطاعات — لكنها لم تعد تأتي من ECC، والاستشهاد بـ4-2-3-3 اليوم استشهادٌ بضابطٍ مسحوب.

ما هو الموعد النهائي للامتثال لـ ECC؟ الوثيقة لا تذكر موعداً. بل توجب «الالتزام المستمر والدائم» بموجب المادة 10(3) من تنظيم الهيئة والأمر السامي رقم 57231. ولا توجد فترة سماح منشورة في الوثيقة.

هل تشترط الهيئة مراقبة أمنية على مدار الساعة؟ لا ترد عبارة «على مدار الساعة» في ECC إطلاقاً. لكنها ترد في CSCC — الضابط 2-11-1-4: «مراقبة الأحداث الأمنية للأنظمة الحساسة على مدار الساعة» — وهي تنطبق على الأنظمة الحساسة. أما إن كنت خاضعاً لـ ECC فقط، فالمطلوب هو «المراقبة المستمرة لسجلات أحداث الأمن السيبراني» (2-12-3-4) دون تحديد ساعات تشغيل أو مناوبات.

هل تنشر الهيئة أهدافاً لزمن الاكتشاف أو الاستجابة (MTTD/MTTR)؟ لا. لا توجد أي أرقام لمتوسط زمن الاكتشاف أو الاستجابة في ECC، ولا موعد نهائي للإبلاغ عن الحوادث. وأي رقم من هذا النوع يُعرض عليك هو رأي مورّد، لا متطلب تنظيمي. اطلب منه رقم الضابط.

هل أنا مشمول إن كنت شركة خاصة؟ فقط إن كنت تملك أو تُشغّل أو تستضيف بنية تحتية وطنية حساسة — أو كنت شركة تابعة لجهة حكومية. وفيما عدا ذلك «تشجّعك الهيئة بشدة» على تبنّي الضوابط كممارسة فضلى. وعملياً، تُسحَب جهاتٌ كثيرة إلى النطاق تعاقدياً عبر عملاء هم أنفسهم مشمولون.

أين ذهبت ضوابط أنظمة التحكم الصناعي؟ حُذف المكوّن الأساسي الخامس من ECC، ونُقلت ضوابطه إلى OTCC (ضوابط الأمن السيبراني للأنظمة التشغيلية)، بحسب الملحق (ج).


المصادر

جميع أرقام الضوابط والإحصاءات والاقتباسات في هذا المقال مأخوذة من هذه الوثائق مباشرةً. وهي منشورة من الهيئة بتصنيف «عام»، وهي — لا هذه الصفحة — المرجع.

جرى التحقق آخر مرة من وثائق الهيئة المنشورة في يوليو 2026. المعايير تتغيّر، والنسخة المنشورة على nca.gov.sa هي المرجع دائماً — وإذا اختلفت هذه الصفحة مع الوثيقة، فالوثيقة هي الصحيحة، ونودّ أن نعلم بذلك.

SKYLINE Engineering

@skyline

The engineering team at SKYLINE Industrial Solutions. We publish field-tested guides drawn from real KSA and GCC deployments.

See author profile
SKYLINE engineering services

Need this implemented for you?

Reading is free — building it right takes a team. SKYLINE engineers ship NCA Frameworks for Aramco vendors, banks, hospitals and government agencies across Saudi Arabia. Talk to us before you start.

Aramco Approved Contractor ISO 9001 · ISO 27001 SAMA CSF aligned NCA ECC ready 247+ KSA clients

Comments

0 total · 0 threads
Be the first to leave a comment.