الدخول من خلال النفاذ الوطني الموحد
تُعد الهيئة الوطنية للأمن السيبراني؛ بموجب تنظيمها الصادر بالأمر الملكي الكريم رقم (6801) في 11/2/1439هـ، الجهة المختصّة في المملكة بالأمن السيبراني، والمرجع الوطني في شؤونه. وتهدف إلى تعزيزه؛ حمايةً للمصالح الحيوية للدولة، وأمنها الوطني، والبنى التحتية الحساسة، والقطاعات ذات الأولوية، والخدمات والأنشطة الحكومية. وتشمل اختصاصات الهيئة ومهماتها وضع السياسات وآليات الحوكمة، والأطر، والمعايير، والضوابط، والإرشادات المتعلقة بالأمن السيبراني، وتعميمها على الجهات ذات العلاقة، ومتابعة الالتزام بها، وتحديثها، والترخيص بمزاولة الأفراد والجهات غير الحكومية، للأنشطة، والعمليات المتعلقة بالأمن السيبراني، التي تحددها الهيئة، وتحفيز نمو قطاع الأمن السيبراني في المملكة، وتشجيع الابتكار والاستثمار فيه.
وسعيًا من الهيئة الوطنية للأمن السيبراني لضمان تقديم خدمات ومنتجات وحلول الأمن السيبراني بأكبر قدر من الكفاءة والفاعلية والموثوقية في المملكة؛ للإسهام في تعزيز الأمن السيبراني على المستوى الوطني، والارتقاء بالخدمات المقدمة للجهات الوطنية، ونظرًا لأهمية تنظيم عمل سوق الأمن السيبراني في المملكة في سبيل إيجاد بيئة محفزة تعزز نمو قطاع الأمن السيبراني، فقد أصدرت الهيئة الوطنية للأمن السيبراني هذا الإطار؛ بهدف تنظيم عملية الترخيص لتقديم خدمات ومنتجات وحلول الأمن السيبراني في المملكة، والذي يبين المسؤوليات والالتزامات الواقعة على المرخص له، عند تقديم أي نوع من أنواع الخدمات؛ إضافة لتقديمها من جهات مؤهلة لذلك.
يكون للمصطلحات المستخدمة في هذا الإطار المعاني المبينة أمام كل منها؛ ما لم يقتض السياق خلاف ذلك:
يهدف الإطار التنظيمي لترخيص تقديم خدمات ومنتجات وحلول الأمن السيبراني؛ إلى تنظيم تقديم هذه الخدمات والمنتجات والحلول في المملكة العربية السعودية من خلال إطار تنظيمي يحدد المسؤوليات والالتزامات على المرخص له؛ بما يسهم في تعزيز كفاءة وجودة تلك الخدمات والمنتجات والحلول أثناء تقديمها إلى الجهات المختلفة. ويمكن إيجاز الأهداف التي يسعى هذا الإطار إلى تحقيقها في الآتي:
ينطبق هذا الإطار على أي كيان يقدم أو يعتزم تقديم خدمات أو منتجات أو حلول متعلقة بالأمن السيبراني لجميع الجهات في المملكة، سواء من خلال التعاقد المباشر مع تلك الجهات، أو بشكل غير مباشر، مثل العمل مع أحد الكيانات الحاصلة على الترخيص بشكل غير مباشر. ويستثنى من ذلك ترخيص تقديم خدمات مركز عمليات الأمن السيبراني المُدار، حيث أن تنظيم ترخيص هذه الخدمة يتم وفق الإطار التنظيمي لترخيص تقديم خدمات مركز عمليات الأمن السيبراني المُدار.
تم تحديد مجالات التراخيص بناءً على تصنيف خدمات ومنتجات الأمن السيبراني في المملكة، والذي يتضمن (5) مجالات رئيسية، ينبثق منها (25) مجال فرعي، وتتضمن تلك المجالات الفرعية عدة خدمات ومنتجات وحلول. ويوضح الشكل رقم (1) المجالات الرئيسة والفرعية لتصنيف خدمات ومنتجات وحلول الأمن السيبراني في المملكة، كما يتضمن الملحق (1) قائمة شاملة بكافة خدمات ومنتجات وحلول الأمن السيبراني حسب التصنيف الصادر عن الهيئة.
**يمنكم الإطلاع على الرسم البياني في المرفق**
بناءً على مجالات التراخيص المشار لها في القسم رقم (5)، وتحديدًا المجالات الفرعية من التصنيف والمكونة من (25) مجالًا فرعيًا؛ سوف تصدر الهيئة (4) أنواع من التراخيص وفق فئتين ومستويين كالآتي:
- فئة الترخيص المتخصص: الترخيص الذي يتطلب حصول الكيان عليه قبل الشروع في تقديم عدد من الخدمات المتخصصة في الأمن السيبراني ذات الحساسية العالية، ويوضح الشكل رقم (2) أدناه المجالات الفرعية ضمن هذه الفئة. وسيتم إصدار مستويين ضمن هذه الفئة (متخصص-1 أو متخصص-2) ، حيث يمكن للمرخص في كل مستوى العمل مع شريحة محددة من الجهات.
- فئة الترخيص العام: الترخيص الذي يتطلب حصول الكيان عليه قبل الشروع في تقديم عدد من الخدمات أو المنتجات أو الحلول في الأمن السيبراني، ويوضح الشكل رقم (2) أدناه المجالات الفرعية ضمن هذه الفئة. وسيتم إصدار مستويين في هذه الفئة (عام-1 أو عام-2)، حيث يمكن للمرخص في كل مستوى العمل مع شريحة محددة من الجهات.
الاختصاصات والعمليات التي تقوم بها الهيئة باعتبارها الجهة المختصة بالأمن السيبراني في المملكة
لوفاء الهيئة الوطنية للأمن السيبراني بمهماتها واختصاصاتها وفقًا لتنظيمها الصادر بالأمر الملكي الكريم ذي الرقم (6801) في 11/2/1439هـ وذلك بهدف تعزيز الأمن السيبراني في المملكة حماية للمصالح الحيوية للدولة وأمنها الوطني؛ فإن الهيئة تقوم بتقديم عدد من خدمات الأمن السيبراني ذات الحساسية العالية بشكل مركزي ومباشر للجهات الوطنية (وبشكل خاص للجهات الحكومية، وجهات القطاع الخاص التي تمتلك بنى تحتية وطنية حساسة أو تقوم بتشغيلها أو استضافتها). وتشمل تلك الخدمات إجراء تقييمات الالتزام بالضوابط والمعايير والأطر وغيرها من المتطلبات التنظيمية التي تصدرها الهيئة، وإجراء تقييمات مخاطر الأمن السيبراني، وإجراء التقييمات الفنية في الأمن السيبراني، وكذلك الاستجابة للحوادث السيبرانية وغيرها. ويوضح الشكل (4) كيفية تقديم هذه الخدمات من خلال منظومة (حصين)، حيث تقوم الهيئة بتنفيذ اختصاصات ومهمات مناطة بها عن طريق طلب الخدمة وإسناد تقديمها إلى مشغل (حصين)، والذي يتولى بدوره تنفيذ تلك الاختصاصات والمهام بالتنسيق مع الجهات الوطنية (العامة والخاصة وغيرها).
آلية تقديم الخدمات والمنتجات والحلول الموضحة في فئة الترخيص المتخصص باستثناء خدمات الاستجابة والتحقيق في الحوادث السيبرانية
لوفاء الجهات الوطنية بمسؤولياتهم تجاه أمنهم السيبراني، فإن ذلك قد يتطلب قيام الجهات الوطنية باتخاذ تدابير من شأنها رفع الجاهزية السيبرانية على مستوى الجهة والعمليات التشغيلية الداخلية، والتأكد من الالتزام الكامل والمستمر للسياسات وآليات الحوكمة والأطر والمعايير والضوابط والإرشادات وغيرها المتعلقة بالأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني، ومن ذلك على سبيل المثال إجراء تقييمات تحضيرية واسترشادية قبل التقييم الرسمي الذي تجريه الهيئة من خلال منظومة (حصين)، أو التقييمات التي يتم إجراؤها قبل إطلاق الخدمات الإلكترونية، ويشمل ذلك إجراء تقييمات الالتزام، أو التقييمات الفنية، أو تقييمات مخاطر الأمن السيبراني، وغيرها. وفي حال الحاجة لذلك، فيمكن للجهات الوطنية (العامة والخاصة وغيرها) التعاقد مع أحد المرخّصين في فئة الترخيص المتخصص حسب المستوى الحاصل عليه المرخص؛ لتنفيذ تلك الخدمات. ويلتزم المرخّص بتزويد الهيئة بجميع الوثائق والمعلومات والبيانات ذات الصلة بما يتم تقديمه من خدمات، وكذلك مخرجات ونتائج تنفيذ الخدمات من خلال منظومة (حصين) وفقًا للنماذج المعتمدة في هذا الشأن. ويجب على جميع المرخّصين إطلاع منظومة (حصين) بجميع النشاطات التي تتم قبل تقديم الخدمة، وأثنائها، وبعدها. ويوضح الشكل (5) كيفية تقديم هذه الخدمات.
آلية تقديم خدمات الاستجابة والتحقيق في الحوادث السيبرانيةفي حال اشتباه أي جهة وطنية (عامة أو خاصة أو غيرها) بوقوع حادثة سيبرانية أو رصدها لحادثة سيبرانية؛ فيجب أن تقوم بالإبلاغ فورًا عنها عبر منصة (حصين) أو من خلال القنوات المعتمدة من الهيئة في هذا الشأن بما في ذلك من خلال الرقم (936). حيث سيتم تصنيف الحادثة السيبرانية وتحديد أولوية التعامل معها (Triage Process) من خلال منظومة (حصين)، ومن ثم التوجيه بإكمال الإجراءات اللازمة حسب الآتي:أ. في حال تم تصنيف الحادثة السيبرانية على أنها من المستوى الأول أو الثاني أو الثالث، سيتم من خلال منظومة (حصين) الاستجابة للحادثة السيبرانية بشكل مباشر مع الجهة الوطنية (العامة أو الخاصة أو غيرها).ب. في حال تم تصنيف الحادثة السيبرانية على أنها من المستوى الرابع أوالخامس، فسيقوم المرخّص لتقديم خدمات مركز عمليات الأمن السيبراني المدار بتقديم الدعم اللازم للتعامل مع الحادثة وفقًا لالتزامات الترخيص الحاصل عليه، ويمكن للجهة الوطنية (العامة أو الخاصة أو غيرها) الاستعانة بأحد المرخّصين لتقديم خدمات الاستجابة للحوادث عند الحاجة، والذي بدوره سيقوم بتقديم الخدمات. ويلتزم المرخّص بإبرام اتفاقية مع مشغل (حصين) بهذا الشأن، والعمل وفق المنهجية التي تضعها منظومة (حصين) كما يعد المرخّص ملزم بتزويد الهيئة بجميع الوثائق والمعلومات والبيانات ذات الصلة، وكذلك مخرجات الخدمات من خلال منظومة (حصين) وفقًا للنماذج المعتمدة في هذا الشأن. ويجب على جميع المرخّصين إطلاع منظومة (حصين) بجميع النشاطات التي تتم قبل تقديم الخدمة، وأثناءها، وبعدها. وتحتفظ الهيئة وفق تقديرها بالحق بالإستجابة للحادثة بنفسها من المستوى الرابع أو الخامس حسب الاقتضاء.
متطلبات الحصول على الترخيص ضمن فئة الترخيص المتخصص
يجب على الكيان الذي يرغب بالحصول على ترخيص من المستوى الأول، أو المستوى الثاني لتقديم أي من خدمات الأمن السيبراني المحددة في فئة الترخيص المتخصص الموضحة في القسم رقم (6) من هذه الوثيقة، استيفاء متطلبات الحصول على الترخيص وتجديده، والمحافظة عليه، وفق الجدول الآتي:
**يمنكم الإطلاع على الجدول في المرفق**
التزامات المرخّص في فئة الترخيص المتخصص
الالتزامات العامة
يجب على المرخّص في كل الأحوال الالتزام بأحكام هذا الإطار، والقرارات، والتنظيميات، والأطر والضوابط والمعايير، والتعليمات، والتوجيهات، والتعاميم، وما في حكمها؛ الصادرة عن الهيئة. كما يجب عليه الالتزام بما يلي:
8.2.1.1 الأنظمة واللوائح، والتنظيمات، والتعليمات، المعمول بها في المملكة العربية السعودية.
8.2.1.2 البدء بتقديم الخدمات المرخص بها خلال (3) أشهر من تاريخ إصدار الترخيص في الحد الأقصى؛ ما لم تقرر الهيئة خلاف ذلك.
8.2.1.3 التقيّد بمتطلبات التوطين، وإبقاء جميع المعلومات والبيانات المرتبطة بهذه الخدمات قبل أو أثناء أو بعد تقديمها لديه داخل المملكة العربية السعودية، وعدم تخزينها أو وضع نسخها منها خارج المملكة.
8.2.1.4 تنفيذ الخدمات التي يتم الترخيص لها، وتقديمها للجهات الوطنية (العامة أو الخاصة أو غيرها) من داخل المملكة.
8.2.1.5 أن تكون معالجة البيانات المتعلقة بالخدمات وتخزينها، داخل المملكة، وعدم السماح بالدخول عليها من خارج المملكة.
8.2.1.6 التقيّد بالمنهجيات التي تضعها منظومة (حصين) لتقديم الخدمات، والالتزام بتزويد الهيئة بجميع الوثائق والمعلومات والبيانات ذات الصلة، وكذلك مخرجات الخدمات من خلال منصة (حصين) وخلال المدة المقررة لذلك.
8.2.1.7 الالتزام بالمسؤوليات والواجبات عند تقديم الخدمات للجهات الوطنية، وفق ما يصدر من الهيئة.
8.2.1.8 تنفيذ ما تجري مشاركته من الهيئة من توصيات أو متطلبات سيبرانية وأمنية؛ بما في ذلك التنبيهات السيبرانية، وقواعد رصد التهديدات، ومؤشرات الاختراق. وتزويد الهيئة بالنتائج، وفق المتطلبات، والمدة المقررة منها.
8.2.1.9 تزويد الهيئة بالتقارير الدورية -وفق ما تقرره- وأي معلومات أخرى تطلبها، والتقيّد بالمدد الزمنية ذات الصلة، والكيفية والنماذج المقررة لذلك، وتشمل التقارير -على سبيل المثال لا الحصر - التقييمات السيبرانية التي تم إجراؤها، وكذلك الحوادث السيبرانية التي جرى احتواؤها؛ والجهات الوطنية المستفيدة، وغيرها.
8.2.1.10 عدم نشر أي بيانات متعلقة بالأمن السيبراني، والمعلومات ذات الصلة التي حصل عليها المرخص نظير تقديم خدماته للجهات الوطنية (العامة أو الخاصة أو غيرها) في المملكة، قبل الحصول على موافقة خطية من الهيئة.
8.2.1.11 عدم نشر و/ أو مشاركة أي بيانات للجهات الوطنية (العامة أو الخاصة أو غيرها) التي يعمل معها المرخص سواء بشكل منفرد أو بعد تجميع تلك البيانات أو المعلومات، مع أي جهة؛ بأي مسوغ، ولأي مسوّغ بما فيها الجهات الحكومية أو الخاصة، داخل المملكة وخارجها؛ ويكون نشرها مشروطاً بموافقة خطية من الهيئة.
8.2.1.12 النص في تعاقداته، ذات الصلة بهذا الإطار على الأحكام التي تعالج حالات انتهاء الترخيص، أو عدم تجديده، أو إلغائه.
8.2.1.13 تطبيق الإجراءات اللازمة، في حال انتهاء العلاقة التعاقدية أو إنهائها، مع الجهات الوطنية (العامة أو الخاصة أو غيرها)، وفق ما تقرره الهيئة.
8.2.1.14 عندما تجري الاستعانة بخدمات أحد مقدمي خدمات الحوسبة السحابية (CSSP) فإنه يجب أن يجري التعاقد مع مقدم خدمات حوسبة سحابية مرخص من قبل الجهة المختصة في المملكة.
8.2.1.15 إبلاغ الهيئة فورًا بأي تغيير في المعلومات، أو البيانات ذات الصلة بطلب الترخيص و/ أو عند اكتشاف أي معلومات غير دقيقة أو مخالفة للواقع، لما جرى إبلاغ الهيئة بها، مع بيان الأسباب التي دعت لتقديمها بشكل غير دقيق، أو غير صحيح، وسبب التغيّر فيها.
8.2.1.16 إبلاغ الهيئة - بشكل فوري - بأي خطر أو تهديد أو اختراق يرصده المرخص لدى الجهة الوطنية (العامة أو الخاصة أو غيرها)، سواء أكان ذلك واقع أو محتمل.
8.2.1.17 إبلاغ الهيئة فورًا بأي إجراء قانوني أو تنظيمي ضده قد يؤثر على تقديم الخدمات؛ بغض النظر عن الجهة التنظيمية أو الاختصاص، وسواء أكان من داخل المملكة أم كان خارجها.
8.2.1.18 تقديم قوائم مالية مدققة من مراجع حسابات مستقل -مرخص بشكل نظامي، وفقاً لأنظمة المملكة- تظهر الإيرادات من تقديم خدمات أو منتجات أو حلول الأمن السيبراني لكل سنة مالية طوال فترة الترخيص.
8.2.1.19 التعاون التام مع الهيئة عند مباشرة اختصاصاتها التنظيمية والرقابية عليه بوصفه مرخّص له، وإتاحة جميع الموارد الممكنة الخاصة به، لتنفيذ أي متطلبات للرقابة، والتفتيش من الهيئة، بما يشمل المراجعة والتحقق، وإجراء التقييمات السيبرانية، وأي متطلّب آخر على أعماله وأنظمته أي كانت.
8.2.1.20 تزويد الهيئة بجميع الوثائق، والبيانات، والمعلومات، والتقارير، التي تثبت التزامه بتنظيمات الهيئة ومتطلباتها، وتشمل -دون حصر- ما يلي:
8.2.1.20.1 معلومات الأداء المالي لأنشطة الأمن السيبراني، بما في ذلك الإيرادات ومصادرها، ورأس المال، والاستثمارات التقنية، واستثمارات البنية التحتية، ونفقات التدريب والتطوير.
8.2.1.20.2 معلومات خدمات الأمن السيبراني المقدمة، والجهات المتعاقد معها، وأسماء تلك الجهات وعددها، ونوع الخدمات المقدمة لها، والاجتماعات والتعاملات معها، وغير ذلك.
8.2.1.20.3 معلومات العاملين لديه المعنيين بتقديم الخدمات ضمن فئة الترخيص المتخصص، وغيرها من الخدمات حسب ما تراه الهيئة، على أن تشمل المعلومات عدد الموظفين، وبيانات السير الذاتية، والمؤهلات الخاصة بهم، وغير ذلك مما له علاقة بطبيعة العمل.
8.2.1.20.4 معلومات المتطلبات الفنية المفروضة على المرخص، والأدوات والاشتراكات التقنية، وأي بنية تحتية لتقنية المعلومات؛ لها صلة بتنفيذ خدمات الأمن السيبراني التي يتم تقديمها من قبل الكيان المرخص، وغير ذلك.
8.2.1.20.5 أي دليل أو وثيقة، أو مستند، أو إثبات تطلبه الهيئة، للتحقق من التزام المرخص بالأحكام الواردة في هذا الإطار، والوثائق الأخرى الصادرة عن الهيئة، وغيرها من الجهات المعنية.
8.2.1.21 الالتزام بنسب المحتوى المحلي على مستوى الكيان، والتوطين للوظائف من الكفاءات الوطنية؛ وفق ما تقرّه الهيئة، والجهات المختصة.
8.2.1.2 الالتزام بالقرارات والتعليمات الصادرة عن الهيئة، بما في ذلك تلك المتعلقة بأي خلافات قد تنشأ مع الجهة المتعاقد معها، تجاه الخدمات المقدمة بموجب الترخيص.
8.2.1.3 التطبيق الكامل والمستمر لجميع ضوابط الأمن السيبراني الصادرة عن الهيئة، التي تنطبق على المرخص؛ وتشمل -دون حصر- الضوابط الأساسية للأمن السيبراني، وضوابط الأمن السيبراني للأنظمة الحساسة، وضوابط الأمن السيبراني للبيانات، وتقديم وثائق سنوية تثبت الالتزام بالضوابط الصادرة من قبل الهيئة.
8.2.1.24 الالتزام بإشعار الهيئة فوراً عندما يطرأ أي تغيّر في ملكية الكيان المرخص، بأي شكل كان.
8.2.1.25 الالتزام بالحصول على موافقة الهيئة، الخطية المسبقة؛ قبل ترتيب أي إجراء من شأنه تحقيق تغيّر في ملكية الكيان المرخص، بأي شكل كان.
الالتزامات الخاصة
8.2.2.1 الالتزامات الخاصة بتقديم خدمات تقييم الالتزام بالضوابط السيبرانية، وتقييم المخاطر السيبرانية، والتقييمات الفنية في الأمن السيبراني
8.2.2.1.1 على المرخص إجراء التقييمات وفق آلية محددة وممنهجة على أن تتضمن الآلية صياغة تقرير نهائي شامل للتقييمات بأنواعها وفق منهجيات ونماذج منظومة (حصين)، وإرساله من خلال منصة (حصين) بالصيغة التي تحددها الهيئة وخلال المدة المقررة لذلك.
8.2.2.1.2 على المرخص اتباع منهجيات واضحة لإجراء تقييمات الالتزام على أن تتضمن المعايير الخاصة بالأدلة المسموح بها، والمعايير التي تحدد أداء الجهة الخاضعة للتقييم في مجال التقييم؛ وتحتفظ الهيئة بحقها في تحديد آلية التقييم، ومنهجيتها ومحتوياتها بالكامل، وكذلك بحقها في إدخال أي تعديلات أو حذف أي من عناصرها.
8.2.2.1.3 على المرخص إجراء التقييمات من خلال كوادر سعودية مؤهلة وذوي خبرة من الحاصلين على شهادة تأهيل، حيث يجب أن تكون هذه الكوادر حاصلة على مؤهلات علمية وشهادات في مجال الأمن السيبراني أو المجالات ذات العلاقة، وأن تكون كوادر ذات خبرة في مجال التقييمات، وذلك حسب ما يتم تحديده من قبل الهيئة.
8.2.2.1.4 على المرخص الاحتفاظ بسجلات دقيقة وكاملة عن التقييمات التي تم تقديمها للجهات الوطنية المستفيدة، لمدة (5) سنوات من تاريخ تقديم تلك الخدمات؛ على أن تشمل – على سبيل المثال لا الحصر – تاريخ تقديم الخدمة، واسم الجهة المستفيدة من الخدمة، وبيانات العاملين الذين شاركوا في تقديم الخدمة، ونتائج التقييم بشكل مفصل، وأي طرف ثالث له علاقة في تقديم أي جزء من خدمات التقييمات.
8.2.2.2 الالتزامات الخاصة بتقديم خدمات برامج مكافأة اكتشاف الثغرات (Bug Bounty)
8.2.2.2.1 اقتصار المشاركين في برامج مكافأة اكتشاف الثغرات على مواطنين ومقيمين في المملكة مستوفين الاشتراطات اللازمة.
8.2.2.2.2 اقتصار نطاق البرامج على الأصول التي لا يُحتمل أن تؤثر على الأمن الوطني، والأصول ذات الواجهات العامة، وأن يستثني البرنامج الأنظمة التشغيلية والهندسة الاجتماعية.
8.2.2.2.3 احتواء منصات برامج مكافأة اكتشاف الثغرات على المميزات الآتية: (1) إحصاءات وتتبع مباشر للنشاطات التي تتم ضمن المنصة، مثل متوسط وقت الحل، وعدد المكافآت المدفوعة، والثغرات المكتشفة وعددها. (2) تحكم الجهات المشاركة في اختيار الباحثين المشاركين. (3) إمكانية إصدار التقارير والبيانات للجهات.
8.2.2.2.4 التحقق من هويات المستخدمين للمنصة، والاحتفاظ بسجلات المنصة لمدة (5) سنوات على الأقل.
8.2.2.2.5 إعطاء الهيئة الوطنية للأمن السيبراني صلاحية الاطلاع على معلومات وبيانات منصات برامج مكافأة اكتشاف الثغرات بشكل مباشر.
8.2.2.2.6 أخذ الموافقة وتوقيع اتفاقية عدم الإفصاح بين الباحثين والمشتركين في المنصة من الجهات قبل تقديم الخدمة.
8.2.1.2.7 أن تخضع سياسة الخصوصية على منصة برامج مكافأة اكتشاف الثغرات (Bug Bounty) لسياسات حوكمة البيانات الوطنية الصادرة من الجهة المختصة في المملكة ونظام حماية البيانات الشخصية والتشريعات ذات الصلة في المملكة.
8.2.2.3 الالتزامات الخاصة بتقديم خدمات الاستجابة والتحقيق في الحوادث السيبرانية (يتم ترخيص هذه الخدمة لمستوى واحد فقط، المستوى الأول من فئة الترخيص المتخصص (متخصص-1))
8.2.2.3.1 على المرخص تحديد اتفاقية مستوى تقديم خدمة (SLA) واضحة مع الجهات الوطنية (العامة أو الخاصة أو غيرها).
8.2.2.3.2 على المرخص توظيف وبدوام كامل مختصي استجابة للحوادث السيبرانية من المواطنين السعوديين وذلك حسب ما يتم تحديده من قبل الهيئة.
8.2.2.3.3 على المرخص تقديم الاستجابة والتحقيق في الحوادث السيبرانية من خلال كوادر سعودية مؤهلة وذوي خبرة من الحاصلين على شهادة تأهيل، حيث يجب أن تكون هذه الكوادر حاصلة على مؤهلات علمية وشهادات في مجال الأمن السيبراني أو المجالات ذات العلاقة، وأن تكون كوادر ذات خبرة في مجال الاستجابة والتحقيق في الحوادث السيبرانية، وذلك حسب ما يتم تحديده من قبل الهيئة.
8.2.2.3.4 يجب على مقدمي خدمات الاستجابة لحوادث الأمن السيبراني الاحتفاظ بسجلات دقيقة وكاملة عن تفاصيل الحوادث السيبرانية التي يتم الاستجابة لها والتحقيق فيها لمدة (25) سنة من تاريخ تقديم تلك الخدمات، وتشمل تلك التفاصيل تاريخ تقديم الخدمة، واسم الجهة المستفيدة من الخدمة، وبيانات المستجيبين للحوادث الذين شاركوا في تقديم الخدمة، وأي طرف ثالث له علاقة في تقديم أي جزء من خدمات الاستجابة للحوادث السيبرانية. ويجب عدم إتلاف تلك المعلومات قبل تسليمها إلى الهيئة الوطنية للأمن السيبراني.
8.2.2.3.5 يجب على مقدمي خدمات الاستجابة لحوادث الأمن السيبراني الاحتفاظ بنسخ دقيقة وكاملة للأدلة الرقمية المتعلقة بالحوادث السيبرانية التي يتم الاستجابة لها والتحقيق فيها لمدة لا تقل عن (10) سنوات من تاريخ تقديم تلك الخدمات؛ على أن تشمل – على سبيل المثال لا الحصر – سجلات الأنظمة والنسخ الرقمية للأقراص الصلبة والذاكرة العشوائية وغيرها. والتأكد من بقاء هذه النسخ دون تلف أو تغيير أو عبث أثناء جمعها وحفظها. ويجب عدم إتلاف تلك المعلومات قبل تسليمها إلى الهيئة الوطنية للأمن السيبراني.
8.2.2.3.6 يجب على مقدمي خدمات الاستجابة لحوادث الأمن السيبراني القيام بالتحليل، وتقديم الإجراءات والتدابير، فيما يتعلق بعمليات الاستجابة للجهة المتأثرة من حادثة الأمن السيبراني. كما يتولى مقدمو خدمات الاستجابة لحوادث الأمن السيبراني مسؤولية المراجعة، وتقديم الدروس المستفادة للجهة المتأثرة من حادثة الأمن السيبراني بعد انتهاء الأعمال.
8.2.2.3.7 يجب على مقدمي خدمات الاستجابة لحوادث الأمن السيبراني اتباع آلية ممنهجة لتقديم خدمات الاستجابة للحوادث على أن تتضمن الآلية صياغة تقرير نهائي شامل لتفاصيل الحادثة، وفق منهجية ونماذج تحددها الهيئة، وإرساله بالصيغة المطلوبة، وتحتفظ الهيئة بحقها في تحديد آلية الاستجابة للحوادث السيبرانية، ومنهجيتها ومحتوياتها بالكامل، وكذلك بحقها في إدخال أي تعديلات أو حذف أي من عناصرها.
8.2.2.3.8 على المرخص العمل وفق آلية تقديم خدمة الاستجابة والتحقيق في الحوادث السيبرانية في البند رقم 7.3.
متطلبات الحصول على الترخيص في فئة الترخيص العام
يجب على الكيان الذي يرغب في الحصول على ترخيص من المستوى الأول أو الثاني لتقديم خدمات أو منتجات أو حلول الأمن السيبراني من فئة الترخيص العام الموضحة في القسم رقم (6) من هذه الوثيقة، استيفاء متطلبات الحصول على الترخيص وتجديده، والمحافظة عليه، وفق الجدول الآتي:
**يمكنكم الإطلاع على الجدول في المرفق**
التزامات المرخص في فئة الترخيص العام
يجب على المرخص في كل الأحوال الالتزام بأحكام هذا الإطار، والقرارات، والتنظيميات، والأطر والضوابط، والتعليمات، والتوجيهات، والتعاميم، وما في حكمها؛ الصادرة عن الهيئة. كما يجب عليه الالتزام بما يلي:
9.2.1 الأنظمة واللوائح، والتنظيمات، والتعليمات، المعمول بها في المملكة العربية السعودية.
9.2.2 البدء بتقديم الخدمات المرخص بها خلال (3) أشهر من تاريخ إصدار الترخيص في الحد الأقصى؛ ما لم تقرر الهيئة خلاف ذلك.
9.2.3 التقيّد بمتطلبات التوطين، وإبقاء جميع المعلومات والبيانات المرتبطة بتقديم الخدمات والمنتجات قبل أو أثناء أو بعد تقديمها لديه داخل المملكة العربية السعودية، وعدم تخزينها أو وضع نسخها منها خارج المملكة.
9.2.4تنفيذ ما تجري مشاركته من الهيئة من توصيات أو متطلبات سيبرانية وأمنية؛ بما في ذلك التنبيهات السيبرانية، وقواعد رصد التهديدات، ومؤشرات الاختراق. وتزويد الهيئة بالنتائج، وفق المتطلبات، والمدة المقررة منها.
9.2.5 عدم نشر أي بيانات متعلقة بالأمن السيبراني، والمعلومات ذات الصلة، قبل الحصول على موافقة خطية من الهيئة.
9.2.6 عدم نشر و/ أو مشاركة أي بيانات للجهات الوطنية (العامة أو الخاصة أو غيرها) التي يعمل معها المرخص سواء بشكل منفرد أو بعد تجميع تلك البيانات أو المعلومات، مع أي جهة؛ بأي مسوغ، ولأي مسوّغ بما فيها الجهات الحكومية أو الخاصة، داخل المملكة وخارجها؛ ويكون نشرها مشروطاً بموافقة خطية من الهيئة.
9.2.7 النص في تعاقداته، ذات الصلة بهذا الإطار على الأحكام التي تعالج حالات انتهاء الترخيص، أو عدم تجديده، أو إلغائه.
9.2.8 إبلاغ الهيئة فورًا بأي تغيير في المعلومات، أو البيانات ذات الصلة بطلب الترخيص و/ أو المرخص، و/ أو عند اكتشاف أي معلومات غير دقيقة أو مخالفة للواقع، لما جرى إبلاغ الهيئة بها، مع بيان الأسباب التي دعت لتقديمها بشكل غير دقيق، أو غير صحيح، وسبب التغيّر فيها.
9.2.9 إبلاغ الهيئة فورًا بأي إجراء قانوني أو تنظيمي ضده قد يؤثر على تقديم الخدمات؛ بغض النظر عن الجهة التنظيمية أو الاختصاص، وسواء أكان من داخل المملكة أم كان خارجها.
9.2.10 التعاون التام مع الهيئة عند مباشرة اختصاصاتها التنظيمية والرقابية عليه بوصفه مرخص له، وإتاحة جميع الموارد الممكنة الخاصة به، لتنفيذ أي متطلبات للرقابة، والتفتيش من الهيئة، بما يشمل المراجعة والتحقق، وإجراء التقييمات السيبرانية، وأي متطلّب آخر على أعماله وأنظمته أي كانت.
9.2.11 الالتزام بالقرارات الصادرة عن الهيئة، في أي خلافات قد تنشأ مع الجهة المتعاقد معها.
9.2.12 الالتزام بنسب المحتوى المحلي على مستوى الكيان، والتوطين للوظائف من الكفاءات الوطنية؛ وفق ما تقرّه الهيئة، والجهات المختصة.
9.2.13 الالتزام بالمسؤوليات والواجبات عند تقديم خدمات وحلول ومنتجات الأمن السيبراني للجهات الوطنية، وفق ما يصدر من الهيئة.
9.2.14 التطبيق الدائم والمستمر لجميع ضوابط الأمن السيبراني، الصادرة عن الهيئة، التي تنطبق على المرخّص؛ وتشمل -دون حصر- الضوابط الأساسية للأمن السيبراني، وضوابط الأمن السيبراني للأنظمة الحساسة، وضوابط الأمن السيبراني للبيانات، وتقديم وثائق سنوية تثبت الالتزام بالضوابط المعتمدة من قبل الهيئة.
9.2.15 الالتزام بإشعار الهيئة فوراً عندما يطرأ أي تغيّر في ملكية كيان المرخص، بأي شكل كان.
9.2.16 الالتزام بالحصول على موافقة الهيئة، الخطية المسبقة؛ قبل ترتيب أي إجراء من شأنه تحقيق تغيّر في ملكية كيان المرخص، بأي شكل كان.
9.2.17 الالتزام بالقرارات والتعليمات الصادرة عن الهيئة، بما في ذلك تلك المتعلقة بأي خلافات قد تنشأ مع الجهة المتعاقد معها، تجاه الخدمات أو الحلول أو المنتجات المقدمة بموجب الترخيص.
9.2.18 تزويد الهيئة بالتقارير الدورية -وفق ما تقرره- وأي معلومات أخرى تطلبها، والتقيّد بالمدد الزمنية ذات الصلة، والكيفية والنماذج المقررة لذلك، وتشمل التقارير -على سبيل المثال لا الحصر- الخدمات والمنتجات والحلول التي تم تقديمها للجهات الوطنية المستفيدة، وغيرها.
9.2.19 على المرخص لتقديم خدمات ومنتجات وحلول الأمن السيبراني الاحتفاظ بسجلات دقيقة وكاملة عن خدمات ونتجات وحلول الأمن السيبراني المقدمة للجهات الوطنية المستفيدة، لمدة (5) سنوات من تاريخ تقديم تلك الخدمات والمنتجات والحلول؛ على أن تشمل – على سبيل المثال لا الحصر – تاريخ تقديم الخدمات والمنتجات والحلول، واسم الجهة المستفيدة من الخدمات والمنتجات والحلول، وأي طرف ثالث له علاقة في تقديم أي جزء من خدمات ومنتجات وحلول الأمن السيبراني.
9.2.20 على المرخص الذي يعمل ضمن المجالات الفرعية المتعلقة بتقديم منتجات وحلول الأمن السيبراني الالتزام بالآتي:
9.2.20.1 تزويد الهيئة بتفاصيل المنتج أو الحل والمستخدمين في المملكة بصفة دورية.
9.2.20.2 إبلاغ الهيئة الوطنية للأمن السيبراني بشكل فوري عن أي ثغرات أو مخاطر سيبرانية حرجة أو حالات تسريب للبيانات يتم اكتشافها أو تلقي إشعار بوجودها في المنتجات أو الحلول التي يتم تقديمها أو توفيرها من قبلهم، وتقديم خطة معالجة أولية للهيئة خلال فترة وجيزة، وذلك من خلال منصة (حصين).
9.2.20.3 توفير فريق للتواصل مع الهيئة على مدار الساعة (24/7) بشأن أي حالات ترتبط بمخاطر وتهديدات قد تطرأ على المنتج أو الحل.
9.2.20.4 إجراء التقييمات السيبرانية اللازمة لضمان أمن منتجات أو حلول الأمن سيبراني المقدمة من قبل المرخّص، وفق ما يصدر من الهيئة.
9.2.20.5 تفعيل آليات التشفير وحماية البيانات عند نقلها عبر الشبكات باستخدام خوارزميات معتمدة دوليًا، أو خوارزميات التشفير وفق ما يصدر من الهيئة.
9.2.20.6 اتباع منهجية معتمدة للتطوير الآمن للبرمجيات.
9.2.20.7 الالتزام بكافة المعايير أو الضوابط للفسح والترخيص باستيراد وتصدير واستخدام الأجهزة والبرمجيات ذات الحساسية العالية للأمن السيبراني التي تحددها الهيئة.
10.1 يجب للحصول على ترخيص تقديم الخدمات ضمن فئة الترخيص المتخصص؛ التقدّم بطلب للهيئة، واستيفاء المتطلبات المنصوص عليها في المتطلبات الواردة في البند رقم (8.1) حسب الخدمة المراد الحصول على الترخيص لها ومستواها، وكذلك المتطلبات الواردة في الملحق (ب) من هذا الإطار.
10.2 يجب للحصول على ترخيص تقديم الخدمات أو المنتجات أو الحلول ضمن فئة الترخيص العام؛ التقدّم بطلب للهيئة، واستيفاء المتطلبات المنصوص عليها في المتطلبات الواردة في البند رقم (9.1)، وكذلك المتطلبات الواردة في الملحق (ب) من هذا الإطار.
10.3 تكون مدة ترخيص تقديم الخدمات أو المنتجات أو الحلول (5) خمس سنوات تبدأ من تاريخ إصداره.
10.4 يجب على المرخص الاستمرار بالوفاء بالمتطلبات والالتزامات المنصوص عليها في البند رقم (8.1) والبند رقم (8.2) من هذه الوثيقة والملحق (ب) للمحافظة على الترخيص، الصادر له بحسب مستواه ونوع الخدمة من فئة الترخيص المتخصص.
10.5 يجب على المرخص الاستمرار بالوفاء بالمتطلبات والالتزامات المنصوص عليها في البند رقم (9.1) والبند رقم (9.2) من هذه الوثيقة والملحق (ب) للمحافظة على الترخيص من فئة الترخيص العام.
10.6 يجوز للمرخص التقدّم بطلب لتجديد الترخيص، في موعد لا يتجاوز (90) يوم تقويمي قبل تاريخ انتهاء الترخيص، وفي موعد أقصاه (30) يوم تقويمي قبل تاريخ انتهاء الترخيص، واستيفاء جميع المتطلبات التنظيمية ذات العلاقة المنصوص عليها في هذا الإطار وأي متطلبات أخرى تفرضها الهيئة.
10.7 في حال عدم رغبة المرخص في تجديد الترخيص، أو في حال رفض الهيئة لطلب التجديد الذي تقدّم به، أو في حال كون المرخص قد قام بتقديم طلب لإلغاء الترخيص (في أي من هذه الحالات)، فيتوجّب عليه عدم استقبال أي تعاقدات جديدة داخلة في نطاق الترخيص، وأن يُشعر الجهات المتعاقد معها، وفق ما تقرره الهيئة.
11.1 لا يجوز للمرخص التنازل عن الترخيص الصادر له، دون الحصول على موافقة خطية مسبقة من الهيئة.
11.2 يجب على المرخص الذي يرغب في التنازل عن الترخيص الصادر له؛ التقدّم بطلب خطي إلى الهيئة يتضمّن الأسباب والحيثيات لطلب التنازل؛ وتقديم أي معلومات أو وثائق إضافية تطلبها الهيئة، أثناء دراسة الطلب.
11.3 تصدر الهيئة قرارها في شأن الطلب ويتوجّب على المرخص التقيّد به.
12.1 يجب على المرخص الذي يرغب في إلغاء الترخيص الصادر له؛ التقدّم بطلب خطي إلى الهيئة، يتضمّن الأسباب والحيثيات لطلب الإلغاء؛ وكذلك تقديم أي معلومات أو وثائق إضافية تطلبها الهيئة أثناء دراسة الطلب. وتصدر الهيئة -بعد تلقي طلب الإلغاء المكتمل من المرخص- قرارها في شأن الطلب؛ ويتوجّب على المرخص التقيّد به.
12.2 تحتفظ الهيئة -وفقًا لتقديرها- بحق إلغاء الترخيص أو تعليقه؛ في الحالات التي تستلزم ذلك، ومن تلك الحالات -على سبيل المثال لا الحصر-:
أ. عدم الالتزام بالأحكام المنصوص عليها في هذا الإطار، وما يطرأ عليه من تعديلات.
ب. عدم الالتزام بأي وثائق أو متطلبات تنظيمية صادرة عن الهيئة، ويشمل ذلك القرارات، والتنظيمات، والأطر والتعليمات، والتوجيهات، والتعاميم، والضوابط وما في حكمها.
ج. تكرار حالات عدم الوفاء بالالتزامات المقررة على المرخص بموجب هذا الإطار، وتنظيمات الهيئة ذات العلاقة.
12.3 يحتسب تعليق الترخيص ضمن مدة سريان الترخيص، ولا يكون له تأثير في تاريخ انتهاء الترخيص.
12.4 ستقوم الهيئة برفع تعليق الترخيص؛ وفقًا لتقديرها المطلق، وبعد اتخاذ المرخص الإجراءات التصحيحية اللازمة، المفروضة عليه من الهيئة، وقبولها منه.
12.5 لا يُسمح للمرخص، بأي شكل كان؛ تقديم خدماته الداخلة، في نطاق الترخيص، عند انتهاء الترخيص الصادر له، أو إلغائه أو تعليقه.
13.1 لا يجوز للمرخص؛ التعاقد من الباطن، إلا من خلال مرخصين آخرين ضمن نفس الفئة والمستوى التي يحملون ترخيصًا لها. وعلى هذا؛ فإنه لا يجوز للمرخصين من المستوى الأول من فئة الترخيص المتخصص (متخصص – 1) التعاقد من الباطن؛ إلا من خلال مقدمي خدمات مرخصين من المستوى الأول من فئة الترخيص المتخصص (متخصص – 1). وينطبق الأمر نفسه على جميع أنواع التراخيص. لايجوز للمرخص التعاقد من الباطن لتقديم خدمات أو منتجات أو حلول الأمن السيبراني إلا من خلال مرخص آخر لنفس الخدمة أو المنتج أو الحل.
13.2 يجوز للمرخص التعاقد من الباطن؛ لتقديم خدمات أو منتجات أو حلول الأمن السيبراني، وفقًا للشروط الآتية:
13.2.1 إشعار الهيئة بذلك، وفق المتطلبات التي تقررها الهيئة.
13.2.2 عدم السماح بمباشرة الجهة المتعاقد معها من الباطن لأي أعمال، قبل الحصول على موافقة الهيئة بالتعاقد من الباطن.
13.2.3 تظل جميع الالتزامات الناشئة عن الترخيص في مواجهة الهيئة، مسؤولية المرخص، وتكون أي اشتراطات، أو قيود تخالف ذلك في التعاقدات، بين المرخص، والمرخص المتعاقد معه من الباطن؛ باطلة، ولا ترتّب أي أثر قانوني لها تجاه الهيئة.
13.2.4 يجب توثيق ترتيبات التعاقد من الباطن، ضمن هذا البند؛ في سجلات المرخص الداخلية، والتقيّد بأي تعليمات للهيئة ذات صلة.
13.3 للهيئة وفق تقديرها المطلق؛ وضع حد أعلى للتعاقدات من الباطن، التي يجوز للمرخص في المستوى الأول القيام بها.
13.4 في كل الأحوال يجب أن يفي المتعاقد معه من الباطن، بجميع الالتزامات المقررة على المرخص بموجب هذا الإطار.
14.1 يجب على أي كيان، يقدم خدمات أو منتجات أو حلول أمن سيبراني في المملكة، أو يرغب في تقديمها؛ الحصول على ترخيص بذلك من الهيئة، وفقًا للأحكام الواردة في هذا الإطار؛ وما تقرّه الهيئة.
14.2 ستقرر الهيئة مهلة تصحيحية للكيانات العاملة في تقديم خدمات ومنتجات وحلول الأمن السيبراني، التي تدخل في نطاق هذا الإطار. ويجب على تلك الكيانات معالجة أوضاعها، بما يتفق مع هذا الإطار، وما يصدر عن الهيئة.
14.3 ستصدر الهيئة التعليمات والضوابط ذات الصلة، التي يجب على الكيانات التي تدخل في نطاق هذا الإطار؛ التقيّد بها في التعاقدات القائمة، أو المستقبلية لهم.
14.4 يجب على جميع الكيانات التي تدخل في نطاق هذا الإطار؛ تقديم جميع الوثائق والمعلومات والتعاقدات، ذات الصلة بهذه الخدمات، وأي معلومات أخرى للهيئة، وفق ما تقرره، وذلك خلال مدة لا تتجاوز (30) يومًا من تاريخ نفاذ هذا الإطار.
14.5 للهيئة وفق ما تقتضيه متطلبات تنظيم القطاع؛ فرض قيود أو متطلبات إضافية، أو إلغاؤها على المرخص، أو الفرد الحاصل على شهادة التأهيل.
14.6 تحتفظ الهيئة بحقها في رفض أي طلبات للحصول على الترخيص، أو تجديده ،أو إلغائه بموجب هذا الإطار.
14.7 يلتزم كلٌ من المرخص، بتقديم التقارير الدورية إلى الهيئة، وأي معلومات أخرى تطلبها وفق ما تقرره.
14.8 مع مراعاة الأحكام الواردة في هذا الإطار، بشأن إلغاء الترخيص أو تعليقه، سوف تتخذ الهيئة القرارات اللازمة تجاه أي مخالفة مرتكبة، بموجب هذا الإطار، وفقاً لصلاحياتها النظامية.
14.9 تحتفظ الهيئة بحقها في فرض مقابلات مالية أخرى على المرخص.
14.10 تعد الملاحق الواردة في هذا الإطار جزءاً منه، ويتم قراءتها والعمل بها كوثيقة واحدة.
14.11 تعد النسخة العربية من هذا الإطار؛ هي النسخة الرسمية المعتمدة، وفي حال وجود أي اختلافات بين نص النسخة الرسمية المكتوبة باللغة العربية، والترجمة إلى اللغات الأخرى؛ فيتم الرجوع إلى النسخة العربية.
14.12 يجوز للهيئة مراجعة هذا الإطار وتحديثه، وفق متطلبات تنظيم قطاع الأمن السيبراني ويجب التقيّد بما يطرأ عليه من تحديث، وفق ما تقرره الهيئة.
14.13 يحق للهيئة عدم منح الترخيص أو إلغاؤه أو تعليقه وذلك لحماية الأمن الوطني، على أن يكون قرارها مبنيًّا على أساس موضوعي وبالتنسيق مع الجهات المختصة.
** يمكنكم الإطلاع على الملاحق في الملف المرفق**
آخر تحديث : 24 فبراير 2026
يمكنك تصفح البوابة عن طريق إعطاء أوامر صوتية بإستخدام المايكروفون
تحدث الان...
برجاء اعطاء الاوامر الصوتية من الخيارات التالية:
إخلاء المسؤولية : الترجمة إلى لغات أخرى يعتمد على ترجمة جوجل (Google)، وبالتالي فإن المركز الوطني للتنافسية غير مسؤول عن دقة المعلومات في اللغة الجديدة.
