صادق مجلس الوزراء برئاسة صاحب الجلالة نصره الله، القائد الأعلى ورئيس أركان الحرب العامة للقوات المسلحة الملكية، في 28 يونيو 2021، على مشروع المرسوم رقم 406-21-2 بتطبيق أحكام القانون رقم 20-05 المتعلق بالأمن السيبراني. ويهدف هذا المرسوم أساسا إلى تحديد تدابير حماية نظم معلومات إدارات الدولة والهيئات والمؤسسات العامة وأي شخص اعتباري آخر خاضع للقانون العام، فضلا عن نظم معلومات البنيات التحتية ذات الأهمية الحيوية ومستغلي الشبكات العامة للمواصلات من القطاع الخاص. كما يحدد المرسوم معايير تأهيل متعهدي افتحاص أمن نظم المعلومات وكيفيات إجراء الإفتحاص ومعايير تأهيل مقدمي خدمات الأمن السيبراني.
وفي هذا السياق، تتمحور الأحكام الرئيسية للمرسوم حول النقاط التالية:
يحدد هذا المرسوم الهيئات المسؤولة عن الأمن السيبراني، مكوناتها وإجراءات عملها، وهي كالتالي:
يفوض المرسوم إلى السلطة الحكومية المسؤولة عن إدارة الدفاع الوطني مهمة تحديد التوجيهات الوطنية لأمن نظم المعلومات ووضع القواعد التنظيمية والتقنية الواجب احترامها وتطبيقها من طرف الهيئات (إدارات الدولة والجماعات الترابية والمؤسسات والمقاولات العمومية وكل شخص اعتباري آخر خاضع للقانون العام). وبالإضافة إلى ذلك، يحدد هذا النص إطارا عاما لتصنيف بيانات ونظم معلومات هذه الهيئات، استنادا إلى تحليل آثار الحوادث المحتملة والتي يمكن أن تؤثر على الاحتياجات الأمنية.
وبالإضافة إلى ذلك، تعكف المديرية العامة لأمن نظم المعلومات (DGSSI) على وضع القواعد الأمنية الواجب تطبيقها مع مراعاة مستويات التصنيف المختلفة لنظم المعلومات والبيانات. ويجب على كل هيئة أو بنية تحتية ذات أهمية حيوية أن تعين مسؤولا عن أمن نظم معلوماتها ليكون مسؤولا في المقام الأول عن تحديد وتحليل تحديات الأمن السيبراني والمخاطر التي تواجهها تلك الهيئة أو البنية التحتية ذات الأهمية الحيوية، وكذا تحديد أهداف الأمن السيبراني، والمساهمة في وضع سياسة أمن نظم المعلومات التابعة له، وتقديم تقارير منتظمة عن المخاطر والتهديدات ذات الصلة.
في إطار تنفيذ القواعد والأحكام الأمنية والتي حددها القانون على المتعهدين، بمن فيهم مستغلو الشبكات العامة للمواصلات، ومقدمو خدمات الإنترنت، ومقدمو خدمات الأمن السيبراني، ومقدمو الخدمات الرقمية، وناشرو منصات الإنترنت، يجب التقيد بتوجيهات السلطة الوطنية، ولا سيما تلك المتعلقة بالمحافظة على المعطيات التقنية اللازمة لتحديد أي حادث أمن سيبراني، وكذا اتخاذ التدابير الوقائية اللازمة للحفاظ على آثار التهديدات أو الجرائم التي تؤثر على نظم معلومات زبائنها وإبطال مفعولها.
وتحقيقا لهذه الغاية، فإن السلطة الوطنية مخولة لوضع أدوات تقنية على شبكات الاتصالات العامة وشبكات مقدمي خدمات الإنترنت حصرا بهدف الكشف عن الأحداث التي يحتمل أن تؤثر على أمن نظم معلومات الهيئات والبنيات التحتية ذات الأهمية الحيوية وزبائن المتعهدين.
ووفقا للقانون رقم 20-05، وكما تم التشديد عليه أعلاه، تخضع نظم المعلومات الحساسة للبنيات التحتية ذات الأهمية حيوية لإفتحاص نظم معلوماتها من طرف السلطة الوطنية أو متعهدي افتحاص أمن نظم المعلومات المؤهلين من قبلها. ويشمل هذا الإفتحاص مجالات التنظيم والهندسة والتطوير وشفرة المصدر واختبار الاقتحام والنظم الصناعية.
وفي هذا الإطار، حدد هذا النص شروط تأهيل متعهدي افتحاص أمن نظم المعلومات، وطرق إعداد ملفات طلب التأهيل وإيداعها لدى المديرية العامة لأمن نظم المعلومات. وتدعو هذه الإدارة كل متعهد افتحاص تقدم لطلب الحصول على التأهيل، إلى إجراء تقييم لخدماته من طرف أحد الكيانات المعتمدة لدى هذه الإدارة وفقا لمعايير تأهيل متعهدي افتحاص أمن نظم المعلومات الواجب إنجازها لهذا الغرض.
من أجل تعزيز قطاع الأمن السيبراني الوطني، أدخل هذا المرسوم نظام تأهيل مقدمي خدمات الأمن السيبراني في مجالات رصد حوادث الأمن السيبراني أو مجال التحليل والتحقيق والمعالجة لحوادث الأمن السيبراني أو هما معا. وبالإضافة إلى ذلك، يحدد هذا النص معايير التأهيل أو الشروط الواجب استيفاؤها للحصول على هذا التأهيل، مثل توفر الخبرة والمؤهلات اللازمة لدى مقدم الطلب، والأدوات اللازمة لتشغيل وتدبير خدمات رصد وتحليل حوادث الأمن السيبراني.
DGSSI2024 All rights reserved