نطاق NCAمحقّق 26 يونيو 2026

هل تنطبق ضوابط NCA السيبرانية على شركتي؟

حتى 2026، كان أغلب الشركات الخاصة في السعودية تفترض أن ضوابط NCA «للبنية التحتية الحرجة، لا لنا». ولم يعد ذلك صحيحًا. فمع NCNICC-1:2025 (سارية من يناير 2026)، مدّت الهيئة الوطنية للأمن السيبراني أرضية إلزامية لتشمل كل منشأة في القطاع الخاص بالمملكة — لا البنية التحتية الوطنية الحرجة فقط.^[S1]

الجواب في 60 ثانية

في أي فئة أنت؟

بنية تحتية وطنية حرجة (CNI) ← الحزمة الكاملة: ECC-2:2024 + CCC-2:2024 + DCC-1:2022. أعلى سقف.
منشأة خاصة كبيرة (250+ موظف أو إيراد > 200 م ر.س) ← NCNICC-1:2025 الفئة A: 65 ضابطًا أساسيًا عبر الحوكمة والدفاع السيبراني والطرف الثالث والسحابة.
منشأة صغيرة/متوسطة (6–249 موظف أو إيراد 3–200 م ر.س) ← NCNICC-1:2025 الفئة B: مجموعة ضوابط مخفّضة.
متناهية الصغر (< 6 موظفين و< 3 م ر.س) ← عادةً دون عتبات NCNICC — لكن يبقى PDPL منطبقًا على أي بيانات شخصية تعالجها.
تعالج بيانات شخصية؟ ← ينطبق PDPL مهما كان حجمك، والإنفاذ فعّال (غرامات تصل 5 م ر.س).

لست متأكدًا أيها ينطبق عليك؟ ← جرّب فحص «هل أنا ممتثل؟» في دقيقتين.

السؤالان اللذان يحسمان الأمر

1. هل أنت بنية تحتية وطنية حرجة؟

إذا صنّفت جهة تنظيمية أنظمتك كبنية تحتية حرجة (طاقة، مال، صحة، اتصالات، أو قريبة من القطاع الحكومي)، فأنت تحت حزمة NCA الكاملة — ECC-2:2024 (4 مجالات، ~110 ضوابط)، وCCC-2:2024 للسحابة، وDCC-1:2022 للبيانات.^[S2]

2. إن لم تكن CNI — فما حجمك؟

يصنّف NCNICC-1:2025 منشآت القطاع الخاص غير الحرجة إلى الفئة A (كبيرة: 250+ موظف أو إيراد يتجاوز 200 م ر.س) والفئة B (صغيرة/متوسطة: 6–249 موظف أو إيراد 3–200 م ر.س). تطبّق الفئة A مجموعة الـ65 ضابطًا كاملة؛ والفئة B ملفًّا أخفّ. وكلاهما إلزامي.^[S1]

ماذا تغطّي الضوابط فعليًا

يُنظَّم NCNICC في ثلاثة مكوّنات — الحوكمة، والدفاع السيبراني، والأمن السيبراني للطرف الثالث والحوسبة السحابية — بمتطلبات عملية مثل تقييمات المخاطر الدورية، وحماية الأجهزة الطرفية، وتصنيف البيانات، وإدارة النسخ الاحتياطي، وإجراءات الاستجابة للحوادث، وتوعية الموظفين.^[S3]

كيف يتراكب هذا مع PDPL

ضوابط NCA ونظام PDPL التزامان منفصلان ومتوازيان. تحكم NCA الأمن السيبراني؛ ويحكم PDPL (هيئة البيانات) البيانات الشخصية. والشركة المعتادة التي تقدّم خدمات SaaS وتعالج بيانات شخصية سعودية تخضع للاثنين معًا الآن — NCNICC للوضع الأمني، وPDPL لمعالجة البيانات والنقل العابر للحدود. ولا يُعفي أحدهما من الآخر.

هذه الصفحة مرجع تنظيمي، وليست استشارة قانونية. يعتمد تصنيفك كبنية تحتية حرجة وطبقة ضوابطك على وقائع خاصة بمنشأتك — تحقّق من وثائق NCA الأولية ومستشار مؤهل قبل أي إجراء. آخر تحقّق 26 يونيو 2026.

Loading…