يوم الامتثال 2026: 5 خطوات لازمة للمؤسسات

نُشر في مايو 20, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

يُلزم المرسوم الرئاسي رقم 26-07 (يناير 2026) جميع المؤسسات العامة الجزائرية بإنشاء وحدات للأمن السيبراني، فيما تشترط تعديلات القانون 18-07 (يوليو 2025) تعيين مسؤول حماية البيانات وإخطار ANPDP بالاختراقات خلال خمسة أيام. واجهت الجزائر أكثر من 70 مليون محاولة هجوم إلكتروني في 2024 محتلةً المرتبة 17 عالميًا.

الخلاصة: يجب على مسؤولي CISO في المؤسسات الجزائرية تعيين مسؤول حماية بيانات بحلول الربع الثالث من 2026، وبناء سير عمل إخطار ANPDP خلال خمسة أيام قبل أي حادثة، ومراجعة عقود الموردين للتحقق من بنود الأمان.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
▾

تُنشئ فعالية SOLTIC لأبريل 2026 مقترنةً بالمرسوم 26-07 وتعديلات القانون 18-07 التزامات امتثال فورية مع مواعيد إخطار اختراق خلال خمسة أيام ومتطلبات تعيين مسؤول حماية البيانات.

الجدول الزمني للعمل
فوري
▾

التزام الإخطار لـ ANPDP خلال خمسة أيام بموجب تعديل القانون 18-07 لعام 2025 ساري المفعول بالفعل. يجب استكمال تعيين مسؤول حماية البيانات وتدقيقات عقود الموردين في الربع الثالث من 2026.

أصحاب المصلحة الرئيسيون
مسؤولو CISO، المستشارون القانونيون، مسؤولو حماية البيانات، مسؤولو الامتثال المؤسسي، مديرو تكنولوجيا المعلومات في القطاع العام

نوع القرار
استراتيجي
▾

يتطلب بناء البنية التحتية للحوكمة والاستجابة للحوادث تغييرًا تنظيميًا يمسّ الجانبين القانوني والتقني والقيادة التنفيذية.

مستوى الأولوية
حرج
▾

تطبيق ANPDP نشط مع عقوبات جنائية على عدم الامتثال. يبدأ عداد الخمسة أيام عند الاكتشاف — المؤسسات بلا سير عمل مُعدّ مسبقًا ستفشل في أي سيناريو حادثة حقيقي.

خلاصة سريعة: يجب على مسؤولي CISO في المؤسسات الجزائرية معاملة مجموعة المرسوم 26-07 وتعديلات القانون 18-07 لعام 2025 كموعد امتثال لا كأفق تخطيطي مستقبلي. تعيين مسؤول حماية البيانات في الربع الثالث من 2026، وبناء سير عمل إخطار ANPDP خلال خمسة أيام قبل الحادثة التالية، ومراجعة جميع عقود الموردين لبنود الأمان، وتوثيق الضوابط التقنية الأربعة الأساسية التي تتحقق منها تحقيقات ANPDP.

ما بلوَّره فعالية 30 أبريل للمؤسسات الجزائرية

في 30 أبريل 2026، احتضن فندق Mercure بالجزائر العاصمة يوم الامتثال والأمن السيبراني الذي نظّمته SOLTIC Algérie — تجمّع لمتخصصي الأمن ومسؤولي الامتثال وصانعي القرار في الشركات. الرسالة المركزية للفعالية: “يجب دمج الأمن السيبراني والامتثال في صميم استراتيجية الشركات”.

في الأشهر الثلاثة الأولى من 2026، تراكمت ثلاثة تطورات تشريعية كبرى:

المرسوم الرئاسي رقم 26-07 (7 يناير 2026، نُشر في الجريدة الرسمية 21 يناير): يُلزم بإنشاء وحدات أمن سيبراني مخصصة في جميع المؤسسات العامة، تُرفَع تقاريرها مباشرةً إلى رئيس المؤسسة.
تعديل القانون 18-07 (القانون 11-25، يوليو 2025): طوّر قانون حماية البيانات الأصلي لعام 2018 بتعيين إلزامي لمسؤول حماية البيانات، وإجراء تقييمات أثر حماية البيانات للمعالجة عالية الخطر، وبشكل حاسم التزام إخطار ANPDP بالاختراق خلال خمسة أيام.
وضعية تطبيق ANPDP: تُطبّق الهيئة الوطنية لحماية البيانات الشخصية الامتثال بصلاحية فرض عقوبات إدارية (غرامات حتى مليون دج) وإلغاء ترخيص معالجة البيانات وإحالة الانتهاكات الجسيمة إلى المقاضاة الجنائية (2-5 سنوات سجن).

الفجوة الامتثالية التي لم تُغلقها معظم المؤسسات الجزائرية

السياق الأمني الجزائري حاد. تُصنّف بيانات Kaspersky التي استشهدت بها مصادر عدة في 2026 الجزائرَ في المرتبة 17 عالميًا بين الدول الأكثر استهدافًا، بأكثر من 70 مليون محاولة هجوم في 2024. الثغرة بين ما يتطلبه القانون 18-07 وما نفّذته معظم المؤسسات فعليًا واسعة. الالتزامات التي كثيرًا ما تبقى غير منفّذة:

تعيين مسؤول حماية البيانات: أصبح إلزاميًا بموجب تعديلات يوليو 2025، لكن معظم المؤسسات لا تعلم بصدور التعديل
سجل المعالجة: مطلوب بموجب القانون 18-07 لكنه غائب عن وثائق امتثال معظم المؤسسات
عقود الموردين: مطلوبة بنود أمان محددة في عقود المعالجين
سير عمل إخطار الاختراق: خمسة أيام من الاكتشاف مهلة قصيرة جدًا

إطار استعداد بأربعة ركائز للمؤسسات الجزائرية

الركيزة الأولى: الحوكمة — مسؤول حماية البيانات، وحدة الأمن السيبراني، والتوثيق

يُعدّ مستوى الحوكمة الأساس الذي يرتكز عليه كل شيء آخر. بموجب تعديلات القانون 18-07 لعام يوليو 2025، يجب تعيين مسؤول حماية بيانات — يُفضّل أن يكون متخصصًا قانونيًا أو في الامتثال من المستوى الأول. وثّق: (أ) سجل أنشطة المعالجة، (ب) خريطة مخاطر تُحدَّث سنويًا، (ج) خطة استجابة للحوادث مكتوبة مع إخطار ANPDP كخطوة مُسمّاة يتولاها مسؤول معيّن.

الركيزة الثانية: أمن الموردين وسلسلة التوريد

يشترط الإطار الجزائري للأمن السيبراني الامتثال للتشريعات المتعلقة بحماية البيانات الشخصية — ويشمل صراحةً التعاون مع جهات المشتريات لضمان وجود بنود أمانية في عقود الاستعانة بمصادر خارجية. عمليًا: دقّق في كل عقد مع مورّد أو مزوّد سحابي يعالج بيانات المواطنين الجزائريين، أضف بندًا تعاقديًا يشترط الإخطار خلال 48 ساعة من أي حادثة أمنية تمسّ بياناتك، ووثّق آلية النقل إذا كان المورّد خارج الجزائر.

الركيزة الثالثة: الاستجابة للحوادث — بناء سير عمل إخطار ANPDP خلال خمسة أيام

يُعدّ الالتزام بالإخطار خلال خمسة أيام الالتزام الجديد الأصعب تنفيذيًا لمعظم المؤسسات الجزائرية. يشمل الحد الأدنى من خطة الاستجابة للحوادث: (أ) مُحفِّز كشف الاختراق، (ب) سلسلة إخطار داخلي خلال 24 ساعة، (ج) نموذج تقييم أولي، (د) نموذج إخطار ANPDP معتمد مسبقًا من المستشار القانوني. لا يحتاج الإخطار إلى تقرير تحقيق جنائي كامل — يكفي الاحتواء على الوقائع المعروفة والالتزام بالتحديث.

الركيزة الرابعة: الضوابط التقنية الأساسية التي تتحقق منها ANPDP

يشترط القانون 18-07 “ضمانات تقنية وتنظيمية ضد الوصول غير المصرح به أو فقدان البيانات”. الضوابط التي تبحث عنها تقييمات تطبيق ANPDP كأدلة على الضمانات الكافية: المصادقة متعددة العوامل على جميع الأنظمة التي تعالج البيانات الشخصية، التشفير في حالة الراحة لجميع قواعد بيانات البيانات الشخصية، سجلات الوصول لجميع الأنظمة التي تعالج البيانات الشخصية (تُحتفظ بها 12 شهرًا كحد أدنى)، واختبار اختراق سنوي من طرف ثالث للأنظمة الإنتاجية.

أين تقف المؤسسات الجزائرية في منتصف 2026

خلق التطور التنظيمي الجزائري لعامَي 2025-2026 موعدًا نهائيًا للامتثال لم تستوعبه بعد معظم مؤسسات القطاع الخاص. مثّل يوم SOLTIC للامتثال والأمن السيبراني أوضح إشارة حتى الآن على أن مجتمع الأعمال يجب أن يعامل الامتثال للقانون 18-07 كأولوية تشغيلية.

تُؤطّر الاستراتيجية الرقمية الجزائرية 2025-2030 مرونة الأمن السيبراني ركيزةً اقتصادية وطنية. المؤسسات التي تستثمر الآن في ضوابط الحوكمة والموردين والاستجابة للحوادث والضوابط التقنية ستكون ممتثلة لدورة التدقيق التالية — وأفضل وضعيةً في بيئة التهديدات: أكثر من 70 مليون هجوم سنويًا في تصاعد.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

ما الذي يشترطه المرسوم رقم 26-07 تحديدًا من المؤسسات الجزائرية؟

يُلزم المرسوم الرئاسي رقم 26-07، المنشور في 21 يناير 2026، كل مؤسسة عامة بإنشاء وحدة أمن سيبراني مخصصة ترفع تقاريرها مباشرةً إلى رئيس المؤسسة. الوحدة مسؤولة عن وضع سياسة الأمن السيبراني، ورسم خريطة المخاطر، وتصميم خطط المعالجة، وضمان الرصد المستمر، وإدراج بنود أمانية في جميع عقود الاستعانة بمصادر خارجية. رغم أن المرسوم يسري رسميًا على الجهات العامة، فإن متطلباته تمثّل توافقًا مع أفضل الممارسات للمؤسسات الخاصة الخاضعة لرقابة ANPDP.

ما التزام الإخطار بالاختراق خلال خمسة أيام بموجب القانون 18-07؟

تشترط تعديلات يوليو 2025 للقانون 18-07 (القانون 11-25) أن تُخطر المؤسسات ANPDP في غضون خمسة أيام تقويمية من اكتشاف أي اختراق للبيانات الشخصية. لا يحتاج الإخطار إلى تحقيق جنائي مكتمل — يجب أن يتضمن الوقائع المعروفة: البيانات المتأثرة المحتملة والعدد التقريبي للسجلات ومتجه الوصول المحتمل والتزامًا بتقديم تحديثات. عدم الإخطار جريمة جنائية مستقلة بعقوبة منفصلة.

كيف يعمل تطبيق ANPDP وما العقوبات الفعلية؟

تُطبّق ANPDP الامتثال من خلال مراجعات الإعلانات والتفويضات ومعالجة الشكاوى والتفتيش الرسمي. تشمل العقوبات الإدارية التحذيرات والغرامات حتى مليون دج وسحب تفويضات معالجة البيانات. للانتهاكات الجسيمة، تُحيل ANPDP القضايا للمقاضاة الجنائية حيث تشمل العقوبات 2-5 سنوات سجن وغرامات حتى مليون دج للمسؤولين.