أقر مجلس إدارة الهيئة الوطنية للأمن السيبراني ضوابط حديثة تلزم جهات القطاع الخاص التي لا تشغل بنى تحتية حساسة بتأسيس وحدات إدارية متخصصة في الأمن السيبراني، وهي الضوابط التي ترتكز على ثلاثة محاور رئيسية: حوكمة الأمن السيبراني، وتعزيز الأمن، وإدارة أمن الأطراف الخارجية، بهدف بناء منظومة حماية متكاملة.
تشمل هذه الضوابط كافة مؤسسات القطاع الخاص (كبيرة، متوسطة، وصغيرة) غير المصنفة كبنى تحتية حساسة، حيث يختلف حجم الالتزام بناءً على حجم المنشأة؛ فالجهات الكبرى (أكثر من 250 موظفًا أو إيرادات تتجاوز 200 مليون ريال) تلتزم بـ 3 مكونات أساسية و22 فرعية و65 ضابطًا رئيسيًا. بينما تلتزم الجهات الأصغر (بين 6 و 249 موظفًا أو إيرادات بين 3 و 200 مليون ريال) بمتطلبات أقل تشمل مكونًا أساسيًا واحدًا و13 مكونًا فرعيًا و26 ضابطًا أساسيًا. وتستند هذه المعايير على ممارسات دولية لتقليل المخاطر، مع التركيز على الأهداف الثلاثة المعروفة: سرية وسلامة وتوافر المعلومات.
أحد أبرز المتطلبات هو إنشاء "وحدة إدارية للأمن السيبراني" تكون مرتبطة مباشرة برئيس الجهة، مع ضرورة أن تكون هذه الوحدة مستقلة تمامًا عن وحدة تقنية المعلومات التقليدية. ويجب أن يشغل هذه الوحدة موظفون ذوو كفاءة عالية، كما يُلزم صاحب الصلاحية بتوثيق الهيكل التنظيمي وتحديد الأدوار والمسؤوليات الأمنية، وتجنب تعارض المصالح، وضمان توفير الدعم اللازم للموظفين المعنيين.
تشدد الضوابط على أهمية إدارة مخاطر الأمن السيبراني من خلال تحديد منهجية واضحة وموثقة لإدارة المخاطر، مع ضرورة مراجعتها دوريًا لضمان فعاليتها ومواءمتها للمتطلبات التشريعية الوطنية. كما يجب إجراء تدقيق دوري من جهة مستقلة داخل الجهة لضمان تطبيق الضوابط.
إضافة إلى الجوانب التقنية، تم التأكيد على برامج التوعية الشاملة التي تغطي قضايا حيوية مثل التصيد الاحتيالي، وبرامج الفدية، وأفضل ممارسات التعامل مع وسائل التواصل الاجتماعي، مع تخصيص هذه البرامج لتناسب مهام الموظفين المختلفة. ويتضمن هذا الإطار ضرورة تحديد متطلبات صارمة لإدارة الهويات والصلاحيات، بما في ذلك تطبيق المصادقة متعددة العوامل لجميع عمليات الدخول، وتطبيق مبدأ "الحد الأدنى من الصلاحيات" و"الفصل بين المهام".
فيما يتعلق بحماية الأنظمة والشبكات، يتوجب استخدام تقنيات حماية حديثة ومحدثة ضد البرامج الخبيثة، وتغيير جميع الإعدادات الافتراضية، وتقييد استخدام وسائط التخزين الخارجية. كما تتضمن المتطلبات تأمين الشبكات باستخدام جدران الحماية وتقسيم الشبكات منطقيًا أو ماديًا، بالإضافة إلى استخدام آليات موثوقة لحماية البريد الإلكتروني ضد هجمات التصيد، وتطبيق بروتوكولات مثل (SPF) و(DKIM) و(DMARC) لضمان سلامة المراسلات الإلكترونية.
