شهدت منطقة دول مجلس التعاون الخليجي تحولًا جذريًا في نهجها تجاه الأمن السيبراني وسيادة البيانات. ويكمن جوهر هذا التطور في الانتقال من اعتماد المعايير الدولية الطوعية إلى تطبيق أُطر عمل وطنية إلزامية لضمان المعلومات. وبينما تشترك هذه الأُطر الإقليمية مع المعايير الدولية في أُسس مشتركة مثل: معيار ISO/IEC 27001 وإطار عمل الأمن السيبراني (CSF) من NIST، إلّا أنها تمثل مزيجًا محليًا فريدًا من نوعه لمتطلبات الدفاع عن البنية التحتية الحيوية وسيادة البيانات.
وبالنسبة للمؤسسات العاملة في قطر والمملكة العربية السعودية والإمارات العربية المتحدة والبحرين وعُمان والكويت، فقد بات فهم هذه المتطلبات المتنوعة والامتثال لها ضرورة استراتيجية وتحديًا تشغيليًا كبيرًا.
يُعَد معيار تأمين المعلومات الوطنية (NIA) في قطر(الإصدار 2.1، الإصدار 2.0 سابقًا) خارطة طريق شاملة للمؤسسات لإدارة مخاطر المعلومات. وينقسم هذا الإطار إلى 26 مجالًا، مقسّمة استراتيجيًا إلى فئتين أساسيتين، منها 13 مجالًا يركز على الحوكمة والعمليات الأمنية، و13 مجالًا يركز على الضوابط الأمنية التقنية. وهذا النهج ثنائي الفئات من شأنه أن يضمن تجاوز الامتثال لكونه ممارسة تقنية وحسب، ليصبح جزءًا لا يتجزأ من الحوكمة المؤسسية للمؤسسات.
وتتطرق فئة الحوكمة ضمن معيار NIA إلى "الأسباب" و"الكيفيات" ذات الصلة بالأمن المؤسسي. ويشمل ذلك مجالات مثل:
هيكل الحوكمة الأمنية (IG)
إدارة المخاطر (RM)
إدارة أمن الطرف الثالث (TM)
أمن الموظفين (PS)
ومن العناصر الهامة في نهج دولة قطر هو تحديد أولويات التنفيذ بناءً على تقييم أثر الأعمال (BIA)، والذي يسمح للوكالات بتركيز جهود الامتثال على العمليات الأكثر أهمية بالنسبة للدولة. فعلى سبيل المثال، يجب على الوكالات التحقق من عملياتها وفقًا للمبادئ التوجيهية الوطنية لحماية البنية التحتية للمعلومات الحيوية (CIIP) لتحديد ما إذا كانت ذات أهمية وطنية.
ويُعَد معيار ضمان جودة أمن البرمجيات (SSQA) مكمّلًا لمعيار NIA، وهو معيار أساسي في اعتماد الخدمات الإلكترونية في قطر. واستنادًا إلى معيار الصناعة BSIMM7، يقدم معيار ضمان جودة أمن البرمجيات (SSQA) 113 ضابطًا محددًا في أربعة مجالات، وهي: الحوكمة، والذكاء، ودورة حياة تطوير البرمجيات الآمنة (SSDL)، ونقاط الاتصال، والنشر. ويُشير هذا التكامل إلى أنّ دولة قطر لا تنظر إلى ضمان المعلومات على أنه حماية للبيانات في حالة السكون والنقل فحسب، بل كمتطلبٍ أساسي لتطوير الأدوات الرقمية التي تستخدمها الدولة.
أمّا عملية تصديق معيار NIA فهي دورة حياة صارمة تشرف عليها الوكالة الوطنية للأمن السيبراني. حيثُ يتعين على المؤسسات التي تسعى للحصول على التصديق اجتياز عملية مؤلفة من أربع مراحل، وهي: التسجيل وتقديم النطاق، واتفاق تحديد نطاق العمل واختيار المدقق، وتقييم أدلة الرقابة من قبل مزوّد خدمة معتمد، وإعداد تقارير التدقيق النهائية. وتكون شهادة الامتثال الصادرة صالحة لمدة ثلاث سنوات، وتخضع لعمليات تدقيق رقابية سنوية. وقد تم بالفعل الحصول على هذه الشهادة أو تجديدها من قبل جهات وطنية كبرى مثل "شركة مِلاحة" (الملاحة القطرية) والهيئة العامة للضرائب، ما يشير إلى اعتماد المعيار على نطاق واسع في القطاعات اللوجستية والمالية الهامة.
| مكون معيار NIA في قطر | الوصف والنطاق | التطبيق الإلزامي |
|---|---|---|
| معيار تقييم NIA الإصدار 2.0 | 26 مجالًا (الحوكمة والتقنية)؛ استنادًا إلى معياريّ: ISO 27001 وNIST | الجهات الحكومية ومشغّلو البنية التحتية للمعلومات الحيوية (CII) |
| معيار SSQA | 113 ضابطًا لتطوير البرمجيات الآمنة؛ استنادًا إلى BSIMM7 | جميع عمليات تطوير الخدمات الإلكترونية الحكومية والمشتريات الحكومية |
| تصنيف البيانات | سياسة تصنيف البيانات الوطنية الإصدار 3.0؛ تتألف من 3 مستويات (C1، C2، C3) | متطلب مسبق لجميع عمليات التنفيذ وتقييم المخاطر الخاصة بمعيار NIA |
| دورة الاعتماد | صلاحية تمتد لـ 3 سنوات مع عمليات تدقيق سنوية | جميع الجهات المكلّفة التي تسعى لإثبات الامتثال |
طورت المملكة العربية السعودية ضوابط الأمن السيبراني الأساسية (ECC)، والصادرة عن الهيئة الوطنية للأمن السيبراني (NCA). والتي هي مكافئ قد يكون أقوى وأكثر إلزامًا لمعيار NIA القطري. وقد صُمم إطار العمل الذي صدر في الأصل في عام 2018 وتم تحديثه مؤخرًا إلى ECC-2:2024، لحماية المصالح الحيوية للمملكة وأمنها الوطني وخدماتها الحكومية. ويُعَد إطار عمل الأمن السيبراني الإلكتروني إلزاميًا لجميع الجهات الحكومية ومؤسسات القطاع الخاص التي تدير البنية التحتية الوطنية الحيوية (CNI).
ويُقسَم إطار ECC السعودي إلى خمسة نطاقات رئيسية و29 نطاقًا فرعيًا، تشمل ما مجموعه 114 ضابطًا محددًا. وتشمل هذه المجالات ما يلي:
حوكمة الأمن السيبراني
الدفاع عن الأمن السيبراني
مرونة الأمن السيبراني
الأمن السيبراني للجهات الخارجية والحوسبة السحابية
الأمن السيبراني لأنظمة التحكم الصناعي
كما أنّ إدراج مجال مخصص لأنظمة التحكم الصناعية (ICS) والتكنولوجيا التشغيلية (OT) في إطار ECC نقطة تميزه بشكل كبير عن معيار NIA القطري، والذي يُعَد أكثر عمومية في مجال الأمن السيبراني الوطني، ما يعكس التركيز العالي لأصول النفط والغاز والمرافق داخل المملكة، والتي تتطلب حماية متخصصة بموجب معايير مثل: معيار IEC 62443.
أما الأثر الثاني لإطار العمل السعودي فيتمثل في تكامله مع إطار عمل الأمن السيبراني للقوى العاملة في السعودية (SCyWF). فبينما يركز إطار العمل الوطني للأمن السيبراني في قطر على العمليات التنظيمية، يطابِق إطار العمل السعودي للأمن السيبراني أدوار الأمن السيبراني مع الكفاءات المحددة في إطار عمل الأمن السيبراني السعودي، ويربط الامتثال التنظيمي مباشرة ببناء القدرات الوطنية وضمان امتلاك الموظفين، الذين يديرون الضوابط، معارف ومهارات وقدرات موحدة (TKSAs) تتماشى مع الشهادات العالمية مثل CISSP أو CCSP.
| عنصر الإطار السعودي | المجال / الضوابط | التكامل التنظيمي |
|---|---|---|
| NCA ECC-2:2024 | 114 ضابطًا في 5 مجالات رئيسية؛ بالتركيز على حماية البنية التحتية الوطنية الحيوية | إلزامي للمؤسسات الحكومية/مؤسسات البنية التحتية الوطنية الحيوية؛ مرتبطة بالأمن الوطني |
| NCA CCC | ضوابط الأمن السيبراني السحابي لاعتماد آمن للسحابة | إلزامي لمقدمي الخدمات السحابية والمشتركين الحكوميين |
| NCA DCC | ضوابط الأمن السيبراني للبيانات، للتشفير والوصول إلى البيانات | يتطلب التشفير على مستوى الملفات وقاعدة البيانات والأعمدة للبيانات الهامة |
| SCyWF | إطار عمل القوى العاملة للأمن السيبراني السعودي؛ مع تحديد 19 دورًا | يوصى به لتحديد مؤهلات القيادات الأمنية |
إن المتطلبات الفنية ضمن إطار الأمن السيبراني السعودي ECC و DCC محددة للغاية فيما يتعلق بالتشفير. فعلى سبيل المثال، يجب على المؤسسات تشفير جميع البيانات الهامة أثناء النقل وفي حالة السكون باستخدام خوارزميات وأجهزة معتمدة من قبل الهيئة الوطنية للأمن السيبراني (NCA)، مثل تلك المحددة في معيار NCS-1:2020. إذ يضمن هذا المستوى من التشريع التقني وضعًا موحدًا للتشفير في جميع أنحاء الدولة، ما يقلل من مخاطر الثغرات الأمنية التي قد تنشأ عن الخوارزميات القديمة أو غير القياسية.
تمثل دولة الإمارات العربية المتحدة نموذجًا متطورًا موازيًا لمعايير تأمين المعلومات (NIA) في دولة قطر من خلال معايير ضمان المعلومات (IAS)، التي طورتها الهيئة الوطنية للأمن الإلكتروني (NESA)، والتي أصبحت الآن جزءًا من وكالة استخبارات الإشارات (SIA). ويُعَد نظام ضمان المعلومات في دولة الإمارات العربية المتحدة عنصرًا رئيسيًا في الإطار الوطني لضمان المعلومات (NIAF)، حيث يوفر دليلًا مرجعيًا للضوابط التي تهدف إلى الامتثال لمعايير الأمن السيبراني الوطنية.
وتتألف معايير ضمان المعلومات (IAS) المعتمدة في الإمارات العربية المتحدة من 188 ضابطًا أمنيًا مصنفًا في 15 مجموعة أو مجالًا. وتنقسم هذه الضوابط إلى ضوابط إدارية (M) وضوابط تقنية (T). تغطي نطاقات الإدارة (M1-M6) مجالات مثل: الاستراتيجية والتخطيط، وإدارة المخاطر، وأمن الموارد البشرية، بينما تتناول المجالات التقنية (T1-T9): إدارة الأصول، والتحكم في الوصول، وإدارة الحوادث.
ومن السمات الفريدة لنهج دولة الإمارات العربية المتحدة هو التطبيق المرحلي للضوابط. حيث تُصنَّف الضوابط إمّا على أنها «أولوية أولى» (P1) أو على «قائمة على المخاطر». وتلتزم جميع الجهات المنفذة — والتي تشمل الهيئات الحكومية الاتحادية والمحلية، وكذلك مشغّلي البنية التحتية الحيوية في قطاعات مثل المصارف والاتصالات والرعاية الصحية — بتطبيق جميع ضوابط P1 بغض النظر عن مستوى المخاطر لديها. وهو ما يخلق "أرضية" وطنية فورية لتعزيز مرونة الأمن السيبراني. وقد يؤدي عدم الامتثال لهذه المتطلبات إلى فرض غرامات مالية كبيرة تصل إلى 5 ملايين درهم إماراتي، إضافةً إلى قيود تشغيلية مثل سحب التراخيص.
وبالإضافة إلى إطار أمن المعلومات NESA الاتحادي، تمتلك إمارة دبي نظام أمن المعلومات الخاص بها، والذي يهدف إلى توحيد معايير الأمن الخاصة بالجهات الحكومية في دبي. إذ تستلزم البيئة التنظيمية المزدوجة في الإمارات العربية المتحدة حفاظ المؤسسات على درجة عالية من النضج لتلبية المتطلبات الاتحادية والمحلية على حد سواء، وهو نمط يشابه تركيز قطر على ضمان الأمن السيبراني على المستوى المؤسسي.
| مجال NESA/SIA في دولة الإمارات | مجال تركيز الضوابط | تصنيف الأولويات |
|---|---|---|
| M1- الاستراتيجية والتخطيط | التزام القيادة والسياسات المعتمدة | الأولوية الأولى (قابلة للتطبيق دائمًا) |
| T1- إدارة الأصول | تحديد وتصنيف أصول المعلومات | قائم على المخاطر (يطبق بعد التقييم) |
| T5- التحكم في الوصول | المصادقة متعددة العوامل، والوصول المستنِد إلى الأدوار، وبروتوكولات الإزالة | خط الأساس للأولوية الأولى (P1) |
| T8 - إدارة الحوادث | الإجراءات الرسمية والجداول الزمنية للإبلاغ عن الحوادث | الأولوية الأولى (P1) للكيانات الحيوية |
ويشير هذا الهيكل المتدرّج إلى أنّ الإمارات العربية المتحدة ترفع بشكل سريع الحد الأدنى من المعايير بشكل فعّال، مع إتاحة المجال للمؤسسات الأكبر والأكثر تعقيدًا لتوسيع نطاق أمنها وفقًا لبيئات التهديد الخاصة بها. ويجعل هذا النهج المنظّم والقابل للتوسّع الأمنَ الوطني قابلاً للقياس والتدقيق عبر مختلف القطاعات.
أنشأت مملكة البحرين، من خلال مركزها الوطني للأمن السيبراني (NCSC)، نظامًا وطنيًا للأمن السيبراني بناءً على استراتيجيتها الوطنية للأمن السيبراني وسلسلة من الضوابط الأساسية والقطاعية. وعوضًا عن اعتماد إطار عمل موحد واحد مكافئ للاستراتيجية الوطنية للأمن السيبراني في قطر، تطبق البحرين مزيجًا من ضوابط الأمن السيبراني الأساسية، وإطار عمل لإدارة مخاطر الأمن السيبراني، ومجموعات ضوابط مخصصة للبنية التحتية الوطنية الحيوية، مع تركيز أكثر وضوحًا على التخصص القطاعي. وقد أُنشئ المركز الوطني للأمن السيبراني البحريني بموجب المرسوم الملكي رقم 65 لعام 2020 كسلطة مركزية لوضع وإنفاذ قواعد الأمن السيبراني على مستوى البلاد.
ويرتكز نهج البحرين على حماية البنية التحتية الوطنية الحيوية (CNI)، والتي تُعرَّف بأنها الأصول الضرورية لسير الحياة اليومية في المملكة. وقد تم إعطاء الأولوية لسبعة قطاعات من البنية التحتية الوطنية الحيوية، وهي: الغاز والكهرباء والنفط (GEO)، والخدمات المالية، وتكنولوجيا المعلومات والاتصالات، والرعاية الصحية، والحكومة، والصناعات الحيوية، والنقل. وبدلًا من تطبيق معيار واحد موحد، تعاون المركز الوطني للأمن السيبراني مع الجهات التنظيمية للقطاعات المختلفة؛ لتطوير ضوابط الأمن السيبراني تتماشى بشكل خاص مع الخصائص التشغيلية الفريدة لكل قطاع.
| قطاع البنية التحتية الوطنية الحيوية في البحرين | مجالات الأمن الرئيسية | الأساس التنظيمي |
|---|---|---|
| الخدمات المالية | أمن التكنولوجيا المالية، والدفاع السيبراني، ومخاطر الطرف الثالث | تم تطويره مع مصرف البحرين المركزي |
| الرعاية الصحية | الأجهزة الطبية، وإدارة البرمجيات، وخصوصية المرضى | التركيز على توافر الأنظمة الحيوية للحياة |
| النفط والغاز والطاقة | الدفاع عن أنظمة التحكم الصناعي (ICS)/ التقنيات التشغيلية (OT) وإدارة الثغرات الأمنية في أنظمة SCADA | إعطاء الأولوية لحماية التكنولوجيا التشغيلية |
| الاتصالات السلكية واللاسلكية | التناظر، والترابط، والبنية التحتية الوطنية | التركيز على مرونة حدود الشبكة |
تتمثل أبرز الفوارق الفنية في ضوابط مملكة البحرين في اتّساقها مع معايير المعهد الوطني للمعايير والمقاييس (NIST)، بما يعكس التزامًا واضحًا بتبني أفضل الممارسات الدولية في مجال الأمن السيبراني. وعلاوة على ذلك، أنشأ المركز الوطني للأمن السيبراني سجلًا وطنيًا يضمّ المتخصصين في هذا المجال، إلى جانب توفير قائمة بالشهادات المعتمدة دوليًا—بمستوياتها التأسيسية والمتوسطة والمتقدمة—والمصنّفة وفق المسارات الوظيفية مثل: الحوكمة، والدفاع، والاستجابة، فضلًا عن مجالات أخرى كالحوسبة السحابية وإدارة الوصول إلى المعلومات. كما يتقاطع هذا التوجه مع ما تتبناه المملكة العربية السعودية في تأهيل القوى العاملة، ما يشير إلى رؤية خليجية مشتركة تعتبر "بناء القدرات" ركيزة أساسية لتعزيز منظومة أمن المعلومات.
توفر سلطنة عُمان، ممثلة بوزارة النقل والاتصالات وتقنية المعلومات (MTCIT)، إطارًا وطنيًا مرجعيًا لأمن المعلومات، يماثل النموذج الوطني لتأمين المعلومات (NIA) في دولة قطر، وذلك من خلال كلٍ من "الدليل الإرشادي للضوابط الأساسية لأمن المعلومات" و"الدليل الإرشادي لحوكمة الأمن السيبراني" الأوسع نطاقًا. ويحدد هذا الإطار 12 مجالًا رئيسيًا يتعين على الجهات الحكومية الالتزام بها، بما يضمن حماية أصول المعلومات وتعزيز مستوى الأمن السيبراني على المستوى الوطني.
تشمل المجالات الـ 12 للضوابط الأمنية الأساسية في عُمان ما يلي:
التحكم في الوصول (AC)
التوعية والتدريب (SAT)
الاستجابة للحوادث (IR)
حماية الوسائط (MP)
إدارة التهيئة (CM)
التدقيق والمساءلة (AA)
التقييم والتصريح الأمني (SAA)
الحماية المادية والبيئية (PEP)
أمن الأفراد (PS)
إدارة المخاطر
أمن الشبكات
حماية الأنظمة والاتصالات.
ومن أبرز ما يميّز النموذج العُماني برنامجُ الامتثال الحكومي، أنه يقوم على آلية إنفاذ ثلاثية المحاور تشمل: التقييمات الذاتية المركزية، وعمليات التدقيق الميدانية التي تنفّذها فرق الامتثال الحكومي التابعة لوزارة النقل والاتصالات وتقنية المعلومات (MTCIT)، إلى جانب إعداد التقارير عبر قنوات الرقابة الحكومية. ويُسهم هذا النمط من الإبلاغ المباشر إلى المستويات العليا في ترسيخ مكانة الأمن السيبراني كأولوية حكومية استراتيجية، بما يتسق مع مستهدفات رؤية عُمان 2040.
وعلاوة على ذلك، اعتمدت السلطنة نظامًا صارمًا لاعتماد مقدّمي خدمات الأمن السيبراني؛ إذ يتعيّن على الجهات الراغبة في تقديم خدمات مثل اختبارات الاختراق، أو تقييمات الثغرات الأمنية، أو خدمات الأمن المُدارة للجهات الحكومية، اجتياز تقييم فني والحصول على اعتماد رسمي من الوزارة. وتكفل هذه المنظومة التزام المدققين ومقدّمي الخدمات بأعلى المعايير التقنية، بما في ذلك حيازة شهادات معترف بها دوليًا في مجال الأمن السيبراني.
| المجال/البرنامج العماني | الوظيفة الأساسية | متطلبات التنفيذ |
|---|---|---|
| الضوابط الأساسية (12 مجالاً) | خط الأساس الأمني لجميع الجهات الحكومية | التنفيذ إلزامي؛ المراجعة المستندة إلى قائمة المراجعة |
| دليل الحوكمة | تحديد الأدوار من السلطة التنفيذية إلى وحدات تكنولوجيا المعلومات | مواءمة الجهود المؤسسية مع الاستراتيجية الوطنية |
| برنامج الامتثال | التقييم الذاتي والتدقيق الميداني |
الإشراف المركزي من قِبل وزارة النقل والاتصالات وتقنية المعلومات |
| اعتماد مقدمي الخدمات | التدقيق في مختبري الاختراق ومزوّدي خدمات الأمن المُدارة (MSSPs) | إلزامي لجميع الشركات التي تخدم الحكومة |
يُبرِز النهج العُماني مفهوم "ممارسات الحماية الموحّدة والمعزَّزة" عبر تطبيق سياسات صارمة للتحكّم في الوصول وأمن البيانات ضمن إطار منهجي قائم على التدقيق والمراجعة المستمرة. ويتقاطع هذا التوجّه مع نهج الإطار الوطني لتأمين المعلومات (NIA) في قطر، الذي يركّز على الحوكمة، مع تميّز النهج العُماني بإضافة طبقة أكثر صلابة من المساءلة على مقدّمي الخدمات.
قامت دولة الكويت مؤخرًا بتعزيز منظومة أمن وضمان المعلومات من خلال إنشاء المركز الوطني للأمن السيبراني (NCSC)، إلى جانب تطبيق الإطار التنظيمي للحوسبة السحابية من قِبل الهيئة العامة للاتصالات وتقنية المعلومات (CITRA). وتتكامل هذه الخطوات التنظيمية مع سياسة "الحوسبة السحابية أولًا"، والتي تهدف إلى تسريع تبنّي الحلول السحابية مع الحفاظ في الوقت ذاته على أعلى معايير حماية البيانات الوطنية.
وبدلاً من الارتكاز على إطار وطني موحّد مكافئ لـ "الإطار الوطني لتأمين المعلومات (NIA)" المعتمد في قطر، يقوم النموذج الكويتي على توزيع مؤسسي واضح للاختصاصات؛ حيث يضطلع المركز الوطني للأمن السيبراني بمسؤولية حوكمة أمن الأنظمة الحكومية، في حين تتولى الهيئة العامة للاتصالات الإشراف التنظيمي على البنية التحتية الرقمية والخدمات السحابية.
وقد تعزّز هذا التنظيم بتطور نوعي في 19 أكتوبر 2025، مع صدور قرار اللجنة الوطنية للأمن السيبراني رقم (1) لسنة 2025، الذي أقرّ "لائحة الإطار الوطني العام لتصنيف البيانات". وتمثل هذه اللائحة أداة تنظيمية ملزمة لكافة الجهات الحكومية والعسكرية والأمنية والعامة، وتؤسس لنهج وطني موحّد في إدارة وتصنيف البيانات، بما يعزّز الاتّساق المؤسسي ويرفع كفاءة حوكمة المعلومات. كما تسهم في مواءمة المنظومة الكويتية مع أفضل الممارسات والمعايير الدولية، وعلى رأسها ISO/IEC 27001 وNIST SP 800-60.
| الركيزة التنظيمية في الكويت | المتطلبات الإلزامية | فئة البيانات / التصنيف |
|---|---|---|
| تصنيف البيانات 2025 | إلزامي للجهات الحكومية/العسكرية | حساسة، مقيدة، عامة |
| الإطار التنظيمي للسحابة | مزوّدو الخدمات السحابية المرخص لهم فقط، للبيانات الحكومية | مستويات مخاطر CITRA T1-T4 |
| تصديق NCSC | الموافقة المسبقة لمعالجة البيانات الحساسة أو نقلها | تخضع للتجديد الدوري |
| خصوصية بيانات CITRA | سياسات الخصوصية الإلزامية لخدمات SaaS | استنادًا إلى قانون المعاملات الإلكترونية رقم 20/2014 |
الإطار التنظيمي الكويتي يتميز بالصرامة خاصة فيما يخصّ إقامة البيانات. فوفقًا لإطار عمل الهيئة العامة للاتصالات وتقنية المعلومات (CITRA)، يجب استضافة أعباء العمل الحكومية عالية المخاطر (المستوى 3 والمستوى 4) داخل الكويت أو في مرافق سيادية معتمدة من الهيئة. وعلاوة على ذلك، يتطلب أي تعامل مع البيانات الحساسة أو نقلها خارج الكويت الحصول على موافقة مسبقة من الهيئة، وفقًا لسياسة الاعتماد والموافقة المعمول بها. ويحوّل هذا الواجب القانوني إدارة البيانات من مهمة تقنية إلى مسؤولية حوكمة أساسية للقيادة التنظيمية.
التحدي: من المعايير المجزأة إلى أُطر العمل
على الرغم من استناد هذه الأُطر إلى جذورٍ مشتركة مع المعايير الدولية مثل: ISO/IEC 27001 وإطار الأمن السيبراني الصادر عن NIST، إلّا أن كل إطار يمثل تكاملًا محليًا فريدًا للمتطلبات. لذلك تواجه المؤسسات التي تعمل عبر ولايات قضائية متعددة في دول مجلس التعاون الخليجي ما يصفه خبراء الصناعة بـ'فوضى الامتثال'، أي العبء المترتب على إدارة سياسات وضوابط مختلفة لكل معيار وطني مع محاولة تجنب التكرار وتقليل عدم الكفاءة.
لمحة عن تعقيد الامتثال:
يجب على الشركة متعددة الجنسيات التي تدير عملياتها في قطر والمملكة العربية السعودية ودولة الإمارات أن تمتثل في الوقت نفسه لـ 26 مجالًا من مجالات NIA في قطر، و114 ضابطًا من ضوابط الأمن السيبراني الأساسية (ECC) في السعودية، و188 ضابطًا أمنيًا من ضوابط الهيئة الوطنية للأمن الإلكتروني (NESA) في الإمارات.
تختلف متطلبات تصنيف البيانات من دولة إلى أخرى؛ فبينما تعتمد قطر نظامًا من ثلاثة مستويات (C1 وC2 وC3)، تستخدم الكويت تصنيفات: حساسة ومقيدة وعامة، فيما تعتمد الإمارات العربية المتحدة تصنيفات: منخفضة ومتوسطة وعالية المخاطر.
تختلف الجداول الزمنية للإبلاغ عن الحوادث أيضًا، فالمملكة العربية السعودية والإمارات العربية المتحدة تفرضان الإبلاغ عن الحوادث في غضون 24 إلى 72 ساعة من اكتشاف الاختراق.
يمكن أن تكون متطلبات إقامة البيانات صارمة، لا سيّما في الكويت حيث لا يمكن تخزين بيانات المستوى 3/4 خارج البلاد.
للنجاح في التعامل مع هذه البيئة التنظيمية المعقدة ينبغي على المؤسسات أن تتبنى العديد من الأساليب الاستراتيجية:
1. التعامل مع تصنيف البيانات كأساس
سواءً أكان العمل ضمن الإطار الوطني لتأمين المعلومات (NIA) في قطر أو ضمن إطار تصنيف البيانات في الكويت لعام 2025، فإن القدرة على تصنيف البيانات الحساسة بشكل صحيح تحدد إمكانية تطبيق الضوابط اللاحقة وتكلفتها. كما ويجب أن يُنظر إلى تصنيف البيانات باعتباره مسؤولية حوكمة أساسية، بدلًا من مهمة تقنية بحتة.
2. الاستثمار في قدرات القوى العاملة
يُنظر إلى الامتثال بشكل متزايد على أنه مزيج من النُضج التنظيمي والكفاءة المهنية الفردية. ويعني الامتثال لُأطر العمل مثل: إطار عمل الأمن السيبراني للقوى العاملة في السعودية (SCyWF) ومتطلبات التدريب في البحرين، أنّ على المؤسسات الاستثمار في الشهادات المهنية المتوافقة مع المعايير الوطنية.
3. اعتماد أُطر موحدة للرقابة
بدلًا من اعتماد برامج امتثال منفصلة لكل معيار وطني، تتبنى الشركات الرائدة في دول مجلس التعاون الخليجي أُطرًا رقابية موحدة (UCFs). تقوم هذه الأُطر بتجميع الضوابط من معايير مثل: ISO 27001 وNIST CSF بالإضافة إلى المعايير الوطنية، مع اعتماد أعلى مستوىً من الضوابط كخط أساس إقليمي.
4. الاستعداد للمراقبة المستمرة
إنّ التحوّل نحو الإبلاغ الفوري عن الامتثال في الزمن الحقيقي—كما يتجلّى بوضوح في المملكة العربية السعودية والإمارات العربية المتحدة—يشير إلى حاجة ملحّة لأن تتجاوز المؤسسات الاعتماد على عمليات التدقيق السنوية، وأن تنتقل إلى نهجٍ قائم على الضمان المستمر.
نظرًا لتعقيده، يتطلب الامتثال للأمن السيبراني في دول مجلس التعاون الخليجي، أتمتة متطورة ومطابقة ضوابط ذكية. ومن جهتها تتعامل 6clicks مع هذه التحديات بالاعتماد على قدرات رئيسية متعددة:
أتمتة الامتثال متعدد الأُطر
تُمكّن منصة 6clicks المؤسسات من إدارة متطلبات عدة أطر ومعايير في آنٍ واحد ضمن بيئة موحدة، بما يشمل: الإطار الوطني لتأمين المعلومات (NIA) في قطر، وضوابط الأمن السيبراني (ECC) في المملكة العربية السعودية، والإطار الوطني لضمان المعلومات (NIAF) في دولة الإمارات، بالإضافة إلى معيار ISO 27001. وبدلاً من اعتماد برامج امتثال منفصلة لكل إطار، تعتمد 6clicks نهج «الامتثال مرة واحدة والإبلاغ عدة مرات»، عبر مواءمة الضوابط المشتركة وتطبيق أكثر المتطلبات صرامة كخط أساس، ما يعزّز الكفاءة ويقلل الازدواجية.
كفاءة الضوابط باستخدام الذكاء الاصطناعي
تقوم Hailey، باعتبارها محرك الذكاء الاصطناعي الخاص بشركة 6clicks، تلقائيًا باقتراح الضوابط المناسبة بناءً على ملف المخاطر الخاص بالمؤسسة والأُطر المعمول بها. وهو ما يوفر كثيرًا من الوقت إذا ما قورِن باختيار الضوابط يدويًا، ويضمن معالجة الفروق الدقيقة الإقليمية بشكل صحيح.
السيادة وتصنيف البيانات
تدعم 6clicks تصنيف البيانات وأصول المعلومات كما هو مطلوب من قِبل: دولة الكويت وقطر ودول مجلس التعاون الخليجي الأخرى، وتستثمر كذلك في الحالات الإقليمية (الإمارات العربية المتحدة وقطر) لدعم إقامة البيانات الإقليمية.
الجمع التلقائي للأدلة والجاهزية للتدقيق
تختلف دورات التصديق في جميع أنحاء المنطقة - فشهادات الإطار الوطني لتأمين المعلومات (NIA) في قطر صالحة لمدة ثلاث سنوات مع الحاجة إلى عمليات تدقيق سنوية للمراقبة، في حين يُنظر إلى شهادات ضوابط الأمن السيبراني (ECC) في السعودية والإمارات العربية المتحدة باعتبارها "لوائح حية" تتطلب الامتثال المستمر. ومن ناحيتها، تدعم 6clicks كِلا النموذجين من خلال الجمع التلقائي للأدلة، وإنشاء التقارير بنقرة واحدة، والوثائق الجاهزة للتدقيق.
الاستجابة للحوادث وتدفقات الإبلاغ
تتطلب لوائح الإبلاغ عن حوادث الاختراق في دول مجلس التعاون الخليجي تقديم التقارير خلال فترة تتراوح بين 24 و72 ساعة، ما يستدعي الاستفادة من قدرات متقدمة للكشف التلقائي عن الحوادث وإعداد التقارير التنظيمية بكفاءة. وتوفر منصة 6clicks تدفقات عمل متكاملة تساعد المؤسسات على تحقيق الامتثال في الوقت المناسب والالتزام بهذه المواعيد النهائية الحرجة.
مراقبة الضوابط المستمرة
لدعم الامتثال وتعزيز الضمان المستمر، تسمح 6clicks باختبار الضوابط تلقائيًا، والتحقق من فعاليتها بشكل فوري في الزمن الحقيقي، مع الكشف المبكر عن الحالات الشاذة وإخفاقات الضوابط والثغرات الأمنية عند ظهورها، بدلاً من الاكتفاء برصدها خلال فترات التدقيق فقط.
دعت اللجنة الوزارية للأمن السيبراني بدول مجلس التعاون الخليجي صراحةً إلى وضع أُطر عمل مشتركة والتعاون إقليميًا من خلال استراتيجية الأمن السيبراني الخليجي (2024-2028)، والتي تعزّز الجاهزية الجماعية والتوافق بين الدول الأعضاء. ومع تقدم هذا التنسيق، ستكون المؤسسات التي اعتمدت أُطر عمل موحدة للرقابة في أفضل وضع للتكيف بسرعة.
لقد نجح الشرق الأوسط في تجاوز "الحد الأدنى من الامتثال". وظهرت بدلًا من ذلك بنية متطورة من الضمانات الوطنية - بنية لا تتعامل مع الأمن السيبراني كتكلفة لتكنولوجيا المعلومات، بل كفضيلة سيادية ومحرك للازدهار الاقتصادي على المدى الطويل.
تواجه المؤسسات العاملة في المنطقة تحديًا واضحًا يتمثل في الانتقال من “فوضى الامتثال” إلى أطر موحدة ومتكاملة، وذلك من خلال توظيف الأتمتة الذكية ومواءمة الأُطر التشغيلية مع الاستراتيجية المؤسسية. يسمح هذا النهج للشركات بالتحول من التركيز على الاستعداد للتدقيق إلى التركيز على الابتكار وتحقيق النمو، مع الحفاظ في الوقت ذاته على مستوىً أمني قوي يلبي متطلبات الجهات التنظيمية الإقليمية.
الخاتمة
يمثّل مشهد الامتثال للأمن السيبراني في دول مجلس التعاون الخليجي تحديًا معقّدًا يجمع بين المخاطر والفرص للمؤسسات العاملة في هذه البيئة الديناميكية. ويتطلّب تحقيق النجاح فهمًا معمّقًا للمتطلبات التنظيمية الإقليمية، إلى جانب الاستثمار في التقنيات والمنصات المناسبة، واعتماد نهج استراتيجي ينظر إلى الامتثال بوصفه عنصر تمكين للنمو والابتكار، لا مجرد التزام تنظيمي.
ومع تسارع وتيرة التحوّل الرقمي في المنطقة، مدفوعًا برؤىً وطنية طموحة مثل رؤية السعودية 2030 ورؤية قطر الوطنية 2030، سيظل الأمن السيبراني والامتثال ركيزتين أساسيتين لاستدامة الأعمال وتعزيز تنافسيتها. إنّ المؤسسات التي تستوعب هذا التحوّل، وتبادر إلى تطوير قدراتها عبر الأُطر والأدوات الملائمة، ستكون الأقدر على الازدهار في بيئة شرق أوسطية تتسم بارتفاع المخاطر السيبرانية وتشدّد الأُطر التنظيمية في الفضاء الرقمي.