⚡ أبرز النقاط

يُلزم القانون 25-11 مراقبي البيانات الجزائريين بإخطار الهيئة الوطنية لحماية البيانات الشخصية (ANPDP) في غضون 5 أيام من اكتشاف اختراق البيانات الشخصية. تصل العقوبات الجنائية بموجب القانون 09-04 إلى 10 ملايين دينار و10 سنوات سجن. معظم الشركات الخاصة لا تمتلك خطة استجابة للحوادث موثقة.

الخلاصة: ضع خطة استجابة للحوادث موثقة تتضمن أسماء أعضاء الفريق ونقاط الاتصال التنظيمية ونموذج إخطار ANPDP معتمدًا مسبقًا. مهلة الخمسة أيام تبدأ من لحظة الاكتشاف، لا من نهاية التحقيق الجنائي.

اقرأ التحليل الكامل ↓

إعلان

🧭 رادار القرار

الصلة بالجزائر
مرتفعة — القانون 25-11 وإطار ASSI يُنشئان التزامات ملزمة وقابلة للتنفيذ على جميع الشركات الخاصة الجزائرية التي تتعامل مع البيانات الشخصية
الجدول الزمني للعمل
فوري — يجب أن توجد خطط الاستجابة للحوادث قبل وقوع الحادث؛ التخطيط التفاعلي غير فعّال
أصحاب المصلحة الرئيسيون
المستشارون القانونيون، مديرو تكنولوجيا المعلومات، المديرون التقنيون، مسؤولو حماية البيانات، ANPDP، DZ-CERT
نوع القرار
تكتيكي
مستوى الأولوية
حرج

خلاصة سريعة: يجب على الشركات الجزائرية الخاصة معاملة تخطيط الاستجابة للحوادث باعتباره متطلبًا للامتثال القانوني لا مجرد ممارسة جيدة اختيارية. مهلة إخطار ANPDP المؤلفة من 5 أيام تبدأ من لحظة الاكتشاف — لا من نهاية التحقيق الجنائي — والمسؤولية الجنائية بموجب القانون 09-04 تسري على المنظمات التي تتقاعس عن التصرف.

اللحظة التنظيمية التي لم تتهيأ لها معظم الشركات الخاصة

تركّزت تشريعات الأمن السيبراني الجزائرية تاريخيًا على المؤسسات العامة ومشغلي البنية التحتية الحيوية. يواصل المرسوم الرئاسي رقم 26-07 هذا التوجه — ملزِمًا جميع أنظمة المعلومات الحكومية بإنشاء وحدات أمن سيبراني مخصصة، وتعيين مسؤولي أمن المعلومات (CISO)، والتوافق مع الأطر التي تشرف عليها وكالة أمن أنظمة المعلومات (ASSI).

بالنسبة لشركة خاصة جزائرية — منصة تجارة إلكترونية أو شركة تقنية مالية أو مكتب محاسبة أو مشغل لوجستي — فإن الأداة القانونية الملزمة مباشرةً هي القانون رقم 25-11 بشأن حماية البيانات الشخصية الذي تُطبقه ANPDP الممكّنة حديثًا على جميع متحكمي البيانات ومعالجيها العاملين في الجزائر.

الفجوة بين الالتزام القانوني والاستعداد التنظيمي واسعة. العقوبات الجزائرية لعدم الامتثال جوهرية: غرامات من 5,000 إلى 10 ملايين دينار وسجن من شهرين إلى 10 سنوات. الـ 72 ساعة الأولى بعد اكتشاف الخرق هي الأكثر أهمية.

ما يتطلبه القانون فعليًا من الشركات الخاصة

ثلاثة صكوك تُنشئ التزامات للمنظمات الخاصة الجزائرية بعد وقوع حادث سيبراني.

القانون رقم 25-11 (حماية البيانات الشخصية): يجب على المتحكمين إخطار ANPDP في غضون 5 أيام من الاطلاع على خرق البيانات الشخصية. يجب أن يتضمن الإخطار: طبيعة الخرق، وفئات البيانات وعددها التقريبي، وعدد الأفراد المتضررين، والعواقب المحتملة، والتدابير المتخذة. يجب على المعالجين إخطار المتحكمين “فور علمهم” دون أي مهلة سماح.

القانون رقم 09-04 (الجرائم المعلوماتية): يجرّم هذا القانون الوصول غير المصرح به لأنظمة المعلومات وعرقلة المعالجة الآلية للبيانات والإدخال أو التعديل الاحتيالي للبيانات. وهو لا يسري على المهاجمين فحسب، بل أيضًا على المنظمات التي تفشل في الإبلاغ عن الحوادث.

المرسوم الرئاسي رقم 20-05 وإطار ASSI: تمتلك ASSI صلاحية رقابية على الحوادث التي تؤثر في الأنظمة المصنفة بنية تحتية معلوماتية حيوية. الشركات الخاصة العاملة في قطاعات حيوية — كالبنوك والطاقة والصحة والاتصالات — لها التزامات إبلاغ لـ ASSI إضافةً إلى ANPDP.

إعلان

ما يجب على فرق القطاع الخاص الجزائري فعله في الـ 72 ساعة الأولى

1. الكشف والاحتواء وحفظ الأدلة (الساعات 0–6)

الإجراء الأول عند اكتشاف خرق محتمل هو العزل لا التحقيق. افصل الأنظمة المخترقة عن الشبكة — لا توقفها تمامًا، لأن النظام الجاري يحتفظ بذاكرة متطايرة (RAM) قد تحتوي على أدوات المهاجمين ومفاتيح التشفير والاتصالات الشبكية النشطة. الإيقاف يدمر هذه الأدلة الجنائية.

احفظ جميع السجلات ذات الصلة قبل أي تغيير في النظام: سجلات جدار الحماية وسجلات المصادقة وسجلات خادم البريد الإلكتروني وسجلات وصول التطبيقات للفترة الممتدة 30 يومًا قبل الاكتشاف. وثّق الطابع الزمني الدقيق للاكتشاف — هذا الطابع الزمني هو المرساة القانونية لمهلة الإخطار المؤلفة من 5 أيام بموجب القانون 25-11.

2. تقييم النطاق وتحديد ما إذا كانت البيانات الشخصية متورطة (الساعات 6–24)

ليس كل حادث أمني يُوجب إخطارًا قانونيًا — فقط تلك التي تشمل بيانات شخصية بموجب القانون 25-11. يُجيب تقييم النطاق على ثلاثة أسئلة: ما الأنظمة التي جرى الوصول إليها؟ ما البيانات التي تحتويها؟ هل تُعدّ هذه البيانات بيانات شخصية بموجب القانون 25-11؟

يُعرّف القانون الجزائري 25-11 البيانات الشخصية بصورة واسعة: أي معلومات يمكن أن تُعرّف مباشرةً أو بصورة غير مباشرة بشخص طبيعي، بما فيها الأسماء وأرقام بطاقات الهوية الوطنية والسجلات الطبية والبيانات المالية وبيانات الموقع والمعرّفات الإلكترونية.

3. إخطار ANPDP والأطراف المتضررة في غضون 5 أيام (الساعات 24–120)

لا يستلزم إخطار ANPDP اليقين من النطاق الكامل للخرق — يسمح القانون 25-11 صراحةً للمنظمات بتقديم المعلومات “على مراحل” إن لم تكن الصورة الكاملة متاحة وقت الإخطار الأولي. انتظار اكتمال التحقيق الجنائي قبل الإخطار هو الخطأ الأكثر شيوعًا في الامتثال — وهو الخطأ الذي يخلق أكبر مسؤولية تنظيمية وجنائية.

يجب أن يتضمن الإخطار الأولي لـ ANPDP: تاريخ ووقت الاكتشاف، وطبيعة الخرق المشتبه أو المؤكد، وفئات البيانات المتضمنة، والعدد التقريبي للأفراد المتأثرين المحتملين، وخطوات الاحتواء الفورية المتخذة بالفعل.

إذا كان الخرق يُرجَّح أن يُفضي إلى مخاطر عالية على حقوق الأفراد وحرياتهم — كالكشف عن بيانات مالية أو سجلات طبية أو أرقام الهوية الوطنية — يستوجب القانون 25-11 أيضًا الإخطار المباشر للأفراد المتضررين “دون تأخير لا مبرر له”.

4. ضمان استمرارية الأعمال وإدارة اتصالات أصحاب المصلحة (الساعات 0–72، مسار موازٍ)

الاحتواء والإخطار القانوني هما المساران الأساسيان، لكن مسارًا موازيًا ثالثًا — اتصالات أصحاب المصلحة — يجب أن يسير في آنٍ واحد. أخطر مستشارك القانوني في الساعات الست الأولى. أخطر شركة التأمين السيبراني (إن وجدت) في غضون 24 ساعة. بالنسبة للشركات التي تعالج بيانات العملاء بصفتها معالجًا بموجب القانون 25-11، أخطر هؤلاء العملاء فورًا.

الدرس الهيكلي

وصل الإطار القانوني الجزائري للأمن السيبراني إلى مستوى من النضج التشغيلي لم تستوعبه معظم منظمات القطاع الخاص. متطلب إخطار ANPDP خلال 5 أيام ليس تطلعيًا — إنه قابل للتطبيق، مع شبكة أمان جنائية في القانون رقم 09-04.

المتطلب العملي هو خطة استجابة للحوادث موثقة — وثيقة مؤلفة من 5 إلى 10 صفحات تُسمّي فريق الاستجابة للحوادث وتحدد مسارات التصعيد وتُدرج جهات اتصال الإخطار التنظيمي والمهل الزمنية وتُحدد خطوات الاحتواء للسيناريوهات الشائعة. يجب مراجعة هذه الوثيقة كل ثلاثة أشهر وإخضاعها لاختبار تمرين على الطاولة مرةً في السنة على الأقل.

نشرت ASSI مواد مرجعية للاستجابة للحوادث متوافقة مع الإطار التنظيمي الجزائري. يقبل DZ-CERT — فريق الاستجابة الوطني لحالات الطوارئ الحاسوبية — الإبلاغ عن الحوادث ويُقدم مساعدة تقنية للمنظمات الخاصة التي تواجه عمليات اختراق نشطة.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

هل ينطبق متطلب إخطار ANPDP خلال 5 أيام على كل أنواع الحوادث الأمنية؟

لا — فقط الحوادث التي تشمل بيانات شخصية بموجب القانون 25-11. هجوم فدية على خادم يحتوي فقط على توقعات مالية داخلية (لا بيانات شخصية) لا يُوجب إخطار ANPDP. هجوم فدية على خادم يحتوي على أسماء عملاء أو عناوين بريد إلكتروني أو سجلات دفع يُوجب الالتزام بمهلة 5 أيام. يُحدد تقييم النطاق في الساعات 6–24 أي النظامين ينطبق.

ماذا يحدث إذا فاتتنا مهلة إخطار ANPDP المؤلفة من 5 أيام؟

تجاوز المهلة لا يُوجب محاكمة تلقائية، لكنه يخلق تعرضًا تنظيميًا يتنامى مع التأخير. وثّق أسباب أي تأخير كتابيًا — تعقيد النظام، أو استمرار المهاجمين في النظام، أو توافر شركة الطب الجنائي — وقدّم الإخطار المتأخر مع شرح مفصّل. الإبلاغ الذاتي المتأخر يُعامَل دائمًا بصورة أفضل من عدم الإبلاغ الذي يُكتشف عبر أطراف ثالثة.

هل يجب الاستعانة بـ DZ-CERT أولًا أم بشركة استجابة للحوادث خاصة؟

كلاهما، ويُفضَّل بصورة متوازية. DZ-CERT يُقدم مساعدة تقنية مجانية وتنسيقًا للحوادث للجهات الجزائرية، والتواصل المبكر معه يُجسّد حسن النية التنظيمي. شركة الاستجابة للحوادث الخاصة توفر السرية التعاقدية والسرعة وعمق الأدوات الجنائية. DZ-CERT أكثر قيمةً في تبادل معلومات التهديدات والتنسيق مع ASSI؛ الشركة الخاصة أكثر قيمةً في الاحتواء التقني وجمع الأدلة.

المصادر والقراءات الإضافية