بدأت “الهيئة الوطنية للأمن السيبراني” في الانتهاء من إنشاء التراخيص لمقدمي الخدمات. الالتزام بالمساهمة في تعزيز الأمن السيبراني على المستوى الوطني من خلال رفع مستوى النضج في العمل المتعلق بالتقييمات الإلكترونية، والمساهمة في تطوير قطاع الأمن السيبراني وتطويره. من خلال بناء سوق أوسع لمقدمي خدمات تقييم الامتثال بالوثائق التنظيمية التي تحددها الهيئة، بالإضافة إلى إرساء أسس قابلية التوسع ؛ من خلال إنشاء نظام لتدريب المسؤولين عن تقييمات الامتثال، وتحسين جودتها.
أي كيان في السعودية – سواء كان حكوميًا أو خاصًا أو غير ذلك – سيخضع لتقييم امتثاله لضوابط الأمن السيبراني التي وضعتها الهيئة، ولوائح الهيئة الأخرى.
يجب على أي مقدم خدمة يعتزم تقديم أي من الخدمات لتقييم الامتثال للوثائق التنظيمية التي وضعتها الهيئة الوطنية للأمن السيبراني، بما يتوافق مع نطاق تطبيق هذا الإطار، الحصول على الترخيص اللازم، بالإضافة إلى الموظفين المعنيين من سينفذ أي جزء من إجراءات التقييم المباشر للالتزام ؛ الحصول على الشهادات المناسبة من الهيئة الوطنية للأمن السيبراني. ستوفر السلطة تراخيص مؤقتة لمقدمي الخدمات، وشهادات لموظفيهم، لترخيص المستوى (الأول-أ).
تعفي الهيئة مقدمي خدمات الامتثال من التزامهم بتعيين مقيّمي الامتثال الذين حصلوا على شهادات صادرة عن الهيئة.
جميع المتطلبات الدنيا الأخرى لمقدمي الخدمة ملزمة، وستطلب السلطة من حاملي التراخيص المؤقتة تحويلها إلى تراخيص دائمة، في غضون 12 شهرًا ؛ خلاف ذلك، سيتم إلغاؤه، وتحتفظ السلطة بالحق في زيادة أو تقليل مدة التراخيص المؤقتة، حسب تقديرها.
الالتزامات العامة لمقدمي خدمة تقييم الامتثال المرخص لهم
يجب الالتزام بأحكام هذا الإطار وجميع اللوائح الصادرة عن الهيئة وأنظمة السعودية من قبل جميع مزودي خدمات تقييم الامتثال، الذين حصلوا على أي من التراخيص الأربعة الصادرة عن الهيئة لتنفيذها. عمل تقييم الامتثال للوثائق التنظيمية التي تضعها الهيئة، بالإضافة إلى الالتزامات التالية
الالتزام بالأطر والمعايير والضوابط والمبادئ التوجيهية المتعلقة بالأمن السيبراني.
– القيام بأعمال تقييم المطابقة وفق منهجية الهيئة التي تحددها.
– استيفاء متطلبات الحفاظ على الترخيص من قبل مقدمي خدمات تقييم المطابقة المرخص لهم.
رفع تقارير تقييم الالتزام بالصيغة المعتمدة من الهيئة. من خلال القنوات المعتمدة من الهيئة.
ستجري السلطة بشكل مركزي تقييم امتثال للوكالات الحكومية وكيانات البنية التحتية الوطنية الحساسة.
– يجب على مقدمي الخدمة المرخص لهم ؛ الالتزام بالنموذج الذي تحدده الهيئة في هذا الشأن.
عدم نشر البيانات المتعلقة بالأمن السيبراني، أو المعلومات المتعلقة ببيانات الامتثال للأطراف التي تم تقييمها
عدم نشر معلومات تتعلق بالفضاء السيبراني السعودي، أو مشاركتها مع أي جهة سواء كانت حكومية أو خاصة، دون الحصول على موافقة خطية من الهيئة.
– تنفيذ التعليمات والتعاميم الصادرة عن الهيئة والمتعلقة بتقدير مدى التزام الجهات الخاضعة للتقييم والتزامها به.
– إخطار الهيئة في غضون 15 يومًا بأي تغييرات في المعلومات، أو اكتشاف أي خطأ إداري ؛ تم إخطار السلطة.
– الاحتفاظ بسجلات دقيقة وكاملة، لمدة 5 سنوات، لطلبات تقييم الامتثال، وطلبات التجديد، وتقييمات الامتثال التي تم إجراؤها، والموظفون المعتمدون الذين أجروا تقييمات الامتثال، وأي كيان تجاري يقدم أي جزء من تقييم الامتثال، نيابة عن المرخص له، بالإضافة إلى أي مراسلات مع الهيئة الوطنية للأمن السيبراني، فيما يتعلق بتقييمات الامتثال، والحفاظ على ترخيص مقيّمي الامتثال المرخصين.
– التعاون الكامل مع الهيئة في تنفيذ واجباتها الرقابية على مزودي خدمة تقييم الامتثال المرخص لهم، وعملية تقييم الامتثال، بما يسهل مهامها، وتوفير جميع الموارد الممكنة لمقدمي خدمة تقييم الامتثال المرخص لهم. لإجراء الة ؛ بما في ذلك ة اللوائح الخاصة بمقدمي خدمة تقييم الامتثال المرخص لهم، وتزويد الهيئة بكافة المستندات والمعلومات المطلوبة التي تؤكد التزام مقدمي خدمة تقييم الامتثال المرخص لهم بكافة لوائح الهيئة.
– الالتزام بشروط توظيف الكفاءات السعودية التي تحددها الهيئة والجهات الحكومية المختصة.
الالتزام بالأطر والمعايير والضوابط والمبادئ التوجيهية ذات الصلة بالأمن السيبراني واللوائح والقرارات.
– يجب على الكيان الذي يتم تقييمه أن يتعاقد فقط مع مزود خدمة تقييم الامتثال المرخص له من قبل الهيئة ؛ بهدف إجراء تقييمات الامتثال للجهة التي يتم تقييمها ؛ مع مراعاة القيود، يتم ترخيص مقدم خدمة تقييم الامتثال المرخص.
– إبلاغ الهيئة بأي أوجه قصور صادرة عن مقدمي خدمة تقييم الامتثال المرخص لهم.
عدم التعاقد مع مزود خدمة تقييم امتثال آخر مرخص له ؛ لغايات إجراء نفس تقييم المطابقة خلال 6 أشهر ما لم توافق عليه الهيئة.
التأكد من أن التزام الأطراف الثالثة التي تقدم أعمالاً حساسة للكيان يتم تقييمه من قبل أحد مزودي الخدمة المرخصين.
– أن يلتقي الموظفون الحاصلون على الشهادات ؛ يلتزم منتسبو مقدم خدمة تقييم الامتثال المرخص له بجميع متطلبات الحفاظ على شهادة الموظف المنصوص عليها في القانون.
– يجب أن يفي موظف واحد معتمد على الأقل بمتطلبات الحفاظ على شهادته، وتقع على عاتق مقدم خدمة تقييم الامتثال المرخص له ؛ مسئولية التحقق من صحة شهادات موظفيه.
– عدم الامتثال لمتطلبات الحفاظ على الترخيص على مستوى مقدم الخدمة ؛ تعريض مقدم الخدمة للمخالفة، على النحو الذي تحدده الهيئة، حسب تقديرها المطلق.
– يجب أن يكون لدى مقدم خدمة تقييم الامتثال المرخص له، الذي يتقدم بطلب لتجديد الترخيص ؛ موظف واحد على الأقل، من بين موظفيه، يحمل شهادة سارية، وعلى مستوى الموظفين من نفس فئة الترخيص، مثل تلك الخاصة بمقدم الخدمة ؛ من أجل تلبية المتطلبات الضرورية، إجراء تقييمات الامتثال، على النحو المنصوص عليه في هذا الإطار.
يجب على الأفراد الراغبين في الحصول على الشهادات، لإجراء تقييمات الامتثال، وفقًا لهذه الوثيقة ؛ تقديم طلب للهيئة، ودفع رسوم طلب الشهادة الجديدة.