قائمة جاهزية نظام حماية البيانات طباعة معلوماتية وليست استشارة قانونية. الإنفاذ فعّال — غرامات تصل إلى 5 ملايين ريال. محقّقة 26 يونيو 2026.
1. الأساس النظامي والإشعار
حدّد أساسًا نظاميًا لكل نشاط معالجة. انشر إشعار خصوصية متوافقًا مع النظام (الغرض، والبيانات، والاحتفاظ، والحقوق، وجهة الاتصال). لافتة الموافقة/ملفات الارتباط بالرفض افتراضيًا (دون خانات معلّمة مسبقًا). 2. الموافقة والحقوق
الموافقة محددة ومستنيرة وقابلة للسحب. لا مراسلات تسويقية دون موافقة (أبرز مثيرات الإنفاذ). عملية فاعلة للتعامل مع طلبات أصحاب البيانات (الاطلاع، والتصحيح، والحذف). 3. السجلات والحوكمة
احتفظ بسجل أنشطة المعالجة (RoPA). عيّن/وثّق وظيفة حماية بيانات (انتبه لقواعد مسؤول حماية البيانات الجديدة — مقترحة). القدرة على الرد على استفسارات سدايا ضمن المهلة النظامية. 4. الأمن
ضمانات تقنية وتنظيمية متناسبة مع المخاطر. تطبيق تصنيف البيانات قبل التخزين/الاستضافة. كشف الاختراق وخطة استجابة للحوادث مع خطوات الإبلاغ. 5. النقل عبر الحدود
عدم الاعتماد على قائمة دول ملائمة (لم تُنشر). وجود بنود تعاقدية معيارية أو قواعد ملزمة للنقل خارج المملكة. تقييم مخاطر النقل للحالات الحساسة أو واسعة النطاق. 6. الموردون
اتفاقيات معالجة تتضمن بنود النظام. توثيق ضوابط ومواقع المعالجين الفرعيين. المصادر: إنفاذ نظام حماية البيانات (Clyde & Co، 2026)؛ وإطار النقل عبر الحدود (HFW). ليست استشارة قانونية — تحقّق من المصادر الأولية ومستشار مختص.
قائمة انطباق NCNICC-1:2025 طباعة معلوماتية وليست استشارة قانونية. سارية منذ يناير 2026 — إلزامية للمنشآت الخاصة غير الحرجة. محقّقة 26 يونيو 2026.
الخطوة 1 — هل أنت بنية تحتية حرجة؟
مصنّف كبنية تحتية وطنية حرجة؟ ← إن كان نعم، فأنت تحت حزمة NCA الكاملة (ECC-2:2024 + CCC-2:2024 + DCC-1:2022)، لا NCNICC. توقّف هنا. لست بنية حرجة؟ ← تابع. الخطوة 2 — أي فئة؟
الفئة A — 250 موظفًا بدوام كامل فأكثر أو إيراد سنوي يتجاوز 200,000,000 ريال. الفئة B — 6 إلى 249 موظفًا أو إيراد بين 3,000,000 و200,000,000 ريال. أقل من 6 موظفين وأقل من 3 ملايين ريال ← غالبًا دون العتبة (أعد الفحص مع نموّك). الخطوة 3 — الفئة A: الحوكمة
حوكمة الأمن السيبراني وأدوار محددة. تقييمات مخاطر دورية. مراجعة السياسات واعتمادها. الخطوة 3 — الفئة A: الدفاع السيبراني
إدارة الوصول. حماية الأجهزة الطرفية. تصنيف البيانات. إدارة النسخ الاحتياطي. المراقبة والتسجيل. إجراءات الاستجابة للحوادث. اختبار اختراق دوري. الخطوة 3 — الفئة A: الطرف الثالث والسحابة
متطلبات الأمن السيبراني للموردين/الطرف الثالث. ضوابط الأمن السيبراني للحوسبة السحابية. توعية الموظفين وتدريبهم. الخطوة 4 — الفئة B
طبّق مجموعة الضوابط المخفّضة بحسب حجمك (الحوكمة وأساسيات الدفاع). المصادر: NCNICC-1:2025 (CMS Law، 2026؛ CyberArrow). ليست استشارة قانونية — أكّد تصنيفك ومجموعة ضوابطك مع وثائق NCA ومستشار.
قائمة النقل عبر الحدود (SCC) طباعة معلوماتية وليست استشارة قانونية. لا توجد قائمة دول ملائمة من سدايا — الضمانات مطلوبة. محقّقة 26 يونيو 2026.
قبل أي نقل للخارج
حدّد الغرض من النقل. اذكر فئات البيانات المعنية. حدّد الوجهة والأساس النظامي (بنود تعاقدية معيارية أو قواعد ملزمة). تحقّق من مُحفّز تقييم المخاطر (بيانات حساسة أو واسعة النطاق). وثّق الضمانات القائمة. احصل على اعتماد داخلي قبل أول عملية نقل. المصادر: إطار النقل عبر الحدود (HFW). ليست استشارة قانونية — تحقّق من المصادر الأولية ومستشار مختص.