ضوابط الأمن السيبراني السحابي NCA CCC في 2026: ما الذي يجب على المؤسسات السعودية الالتزام به قبل الانتقال للسحابة؟

ما هي ضوابط CCC ولماذا تغيّر إصدار 2024؟

أطلقت الهيئة الوطنية للأمن السيبراني (NCA) ضوابط الأمن السيبراني للحوسبة السحابية (CCC) لأول مرة عام 2020 بوصفها امتدادًا متخصصًا لضوابط الأمن السيبراني الأساسية (ECC). والهدف منها وضع حدٍّ أدنى من المتطلبات يحمي البيانات والأنظمة عند انتقالها إلى البيئات السحابية، في وقتٍ تتسارع فيه وتيرة التحول الرقمي ضمن رؤية المملكة 2030.

وفي الإصدار المحدّث CCC-2:2024 جرى تعديل الضوابط لتواكب متطلبات توطين البيانات والمستجدات التنظيمية. وقد بُنيت هذه الضوابط بعد دراسة مقارنة مع أبرز المعايير الدولية للحوسبة السحابية، من بينها ISO/IEC 27001 وFedRAMP الأمريكي ومصفوفة ضوابط السحابة CSA CCM ومعيار C5 الألماني وMTCS SS السنغافوري، ما يجعلها متوافقة مع أفضل الممارسات العالمية مع مراعاة الخصوصية الوطنية.

بنية الضوابط: 4 نطاقات و24 قسمًا.. ومسؤولية مشتركة بين المزوّد والمستفيد

تتكوّن ضوابط CCC من أربعة نطاقات رئيسية تتفرّع منها 24 قسمًا فرعيًا. وهي مصمَّمة لتتوافق مع أربعة من النطاقات الخمسة في ضوابط ECC، إذ تستوعب 20 قسمًا فرعيًا من أقسام ECC وتضيف إليها أربعة أقسام جديدة خاصة بالحوسبة السحابية وحدها.

وأبرز ما يميّز هذه الضوابط أنها تقوم على مبدأ المسؤولية المشتركة، فهي تخاطب طرفين معًا: مزوّد الخدمة السحابية (CSP) والمستفيد من الخدمة السحابية (CST). ولكل طرف مجموعة ضوابطه الخاصة؛ إذ يُرمَز لضوابط المزوّد بالحرف P (مثل 1-3-P-1-1) ولضوابط المستفيد بالحرف T (مثل 1-3-T-1-1). فمسؤولية أمن البيانات لا تقع على المزوّد وحده، بل يتحمّل المستفيد التزامات تشمل تصنيف بياناته قبل رفعها، وإدارة الهويّات والتشفير ومفاتيحه، والمراقبة، وخطط الخروج وقابلية النقل.

ماذا يعني هذا للمؤسسات السعودية في 2026؟ توطين البيانات وخطوات الامتثال

تنطبق ضوابط CCC على الجهات الحكومية في المملكة وعلى مؤسسات القطاع الخاص التي تُشغّل البنى التحتية الوطنية الحسّاسة (CNIs) المستخدِمة للخدمات السحابية أو المُزمِعة استخدامها، فيما تُوصي الهيئة بقيّة المؤسسات باعتمادها. ومع استمرار المملكة في توطين بياناتها، انتقلت مسؤولية متطلبات توطين البيانات إلى المكتب الوطني لإدارة البيانات (NDMO)، وعُدّلت CCC-2:2024 بما ينسجم مع ذلك.

وعمليًّا، يعني هذا أن أي مؤسسة سعودية مُقبلة على السحابة في 2026 ينبغي أن تبدأ بتقييم للفجوة (Gap Assessment) يقيس وضعها الحالي مقابل ضوابط ECC وCCC معًا، لأن الامتثال المستمر مطلوب في الإطارين. وتشمل الخطوات الأساسية: صياغة استراتيجية وسياسة واضحة للسحابة، وبذل العناية الواجبة في اختيار المزوّد والتحقق من شهاداته، وضبط الإعدادات وفق خطوط الأساس الآمنة، وتفعيل اتحاد الهويّات والتشفير، وتوثيق خطة خروج تضمن استرجاع البيانات دون ارتهان لمزوّد واحد. والاستثمار المبكر في هذه المتطلبات يحوّل الامتثال من عبءٍ تنظيمي إلى ميزة ثقة تنافسية أمام العملاء والجهات الرقابية.