المرسوم 26-07: دليل المرونة السيبرانية للبنوك الجزائرية

نُشر في مايو 21, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

أوجب المرسوم الرئاسي 26-07 (يناير 2026) قانونياً إنشاء وحدات أمن سيبراني متخصصة في جميع المؤسسات العامة الجزائرية بما فيها البنوك الحكومية. وتتعرض المنظمات الأفريقية لـ2,940 هجوماً إلكترونياً أسبوعياً — وهو أعلى معدل عالمياً — فيما ارتفعت هجمات الفدية على القطاع المالي بنسبة 12% سنوياً لتبلغ 707 حوادث عالمياً في أبريل 2026.

الخلاصة: يجب على كبار مسؤولي أمن المعلومات في البنوك الحكومية الجزائرية توثيق ميثاق رسمي لوحدة الأمن السيبراني، وتأسيس قناة تواصل مع DZ-CERT، ودمج إجراء الإخطار خلال 5 أيام بموجب القانون 25-11 في خطط الاستجابة للحوادث.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
▾

المرسوم 26-07 التزام قانوني ملزم للمؤسسات العامة الجزائرية بما فيها البنوك الحكومية؛ الخدمات المالية من أكثر القطاعات استهدافاً في أفريقيا بـ2,940 هجوماً أسبوعياً لكل مؤسسة.

الجدول الزمني للعمل
فوري
▾

المرسوم 26-07 ساري منذ يناير 2026؛ مخاطر التدقيق الامتثالي قائمة وبيئة التهديد بلغت مستويات كانت اللوائح تستهدف معالجتها.

أصحاب المصلحة الرئيسيون
رؤساء أمن المعلومات في البنوك، مدراء تقنية المعلومات، لجان المخاطر في مجالس الإدارة، وزارة المالية، مفتشو بنك الجزائر

نوع القرار
استراتيجي
▾

بناء هيكل وحدة أمن سيبراني امتثالي هو استثمار في الكفاءة التنظيمية متعدد السنوات، لا تمرين تدقيق لمرة واحدة.

مستوى الأولوية
حرج
▾

التفويض القانوني النافذ مع العقوبات الجنائية مقروناً بحجم الهجمات الموثّق المستهدف للخدمات المالية في أفريقيا يشكّل مخاطرة تنظيمية فورية.

خلاصة سريعة: يجب على رؤساء أمن المعلومات في البنوك العامة الجزائرية توثيق ميثاق رسمي للوحدة فوراً، وإقامة علاقة ارتباط مع DZ-CERT، ودمج مهلة الإخطار البالغة 5 أيام بموجب القانون 25-11 في خطط الاستجابة للحوادث. تقاطع التفويض التنظيمي وبيئة التهديد — انتظار تعميم من بنك الجزائر لتفعيل التزامات المرسوم 26-07 يُفوّت المبادرة للمنظمين والمهاجمين في آنٍ معاً.

التفويض أصبح قانوناً: ما يفرضه المرسوم 26-07 فعلاً

لسنوات، كانت قرارات الاستثمار في الأمن السيبراني في المؤسسات العامة الجزائرية — بما فيها البنوك الحكومية كـBNA وBEA وCPA وBADR — تقديرية إلى حد بعيد. وجدت فرق الأمن، لكن مهامها وصلاحياتها الميزانياتية وهياكل المساءلة تفاوتت تفاوتاً واسعاً. غيّر المرسوم الرئاسي 26-07، الموقّع في 7 يناير 2026، هذا الواقع.

يُرسي المرسوم التزاماً قانونياً على المؤسسات العامة بصيانة وحدات أمن سيبراني متخصصة — لا أدواراً عرضية أو مسؤوليات تقنية معلوماتية مشتركة، بل وحدات هيكلية ذات مهام أمنية محددة. ويستند إلى المرسوم الرئاسي 20-05 (20 يناير 2020) الذي أوجب على أنظمة المعلومات الحكومية تعيين رئيس لأمن المعلومات (CISO)، وإلى الاستراتيجية الوطنية للأمن السيبراني 2025-2029 المُقرَّة بالمرسوم الرئاسي 25-321 في 30 ديسمبر 2025.

التسلسل التنظيمي بات صريحاً الآن: المجلس الوطني لأمن نظم المعلومات (CNSSI) يضع التوجه الاستراتيجي، والوكالة الوطنية لأمن نظم المعلومات (ANSSI) تُطبّق المعايير التقنية وتنسق مع المؤسسات، وDZ-CERT (التابع لـCERIST) يتولى الاستجابة للحوادث ورصد التهديدات.

تُشكّل لوائح توطين البيانات تحدياً امتثالياً محدداً: بموجب القانون 18-04 واللوائح المصاحبة، يتعين على مزودي خدمات السحابة تخزين البيانات على التراب الوطني، وهذا الالتزام يمتد إلى المؤسسات المالية التي تستخدم برمجيات مصرفية مستضافة على السحابة أو منصات معالجة دفع ذات بنية تحتية أجنبية.

سياق التهديد: لماذا هذا العام مختلف

يصل التفويض التنظيمي في خضم مرحلة مخاطر سيبرانية مرتفعة فعلاً في القطاع المالي.

بلغت هجمات الفدية العالمية 707 هجمات مسجّلة في أبريل 2026 وحده — بارتفاع 12% سنوياً — مع تصنيف الخدمات المالية ضمن أكثر ثلاثة قطاعات استهدافاً عالمياً وفق بيانات استخبارات التهديدات القطاعية. وتعرضت المنظمات الأفريقية لما يقارب 2,940 هجوماً أسبوعياً في أبريل 2026. وأفادت بيانات يناير 2026 الصادرة عن Intelligent CIO Africa بأن متوسط المنطقة الأفريقية بلغ 2,864 هجوماً أسبوعياً، مع تصدّر الحكومات والخدمات المالية قائمة القطاعات المستهدفة.

وكشف تقرير Mandiant M-Trends 2026 — المستند إلى أكثر من 500,000 ساعة من الاستجابة للحوادث — أن ثغرات الاستغلال تُمثّل الوسيلة الأولى للوصول الأولي للسنة السادسة على التوالي بنسبة 32%. وتحوّل متوسط وقت الاستغلال إلى سالب: منذ 2025، تبدأ الهجمات في المتوسط قبل 7 أيام من توافر التصحيحات. التحول التكتيكي نحو سرقة البيانات والابتزاز بدلاً من التشفير يجعل المؤسسات المالية عرضة بشكل خاص، إذ يُفضي الاختراق إلى تفعيل التزامات الإخطار بموجب القانون 25-11 في الوقت ذاته.

ما يجب أن يبنيه CISO البنوك الجزائرية في 2026

1. توثيق الوحدة بميثاق مهام صريح

وحدة الأمن السيبراني الموجودة دون ميثاق رسمي — يحدد نطاق الصلاحية وبروتوكولات التصعيد وملكية الميزانية ومسؤوليات الواجهة التنظيمية — ستُتجاهل عند أول احتكاك مع مشروع تجاري. يجب أن يغطي الميثاق صراحةً: صلاحية CISO في وقف تعديلات الأنظمة المخالفة لسياسة الأمن، ومسؤولية الوحدة عن التقارير الامتثالية للمرسوم 26-07، وعلاقة الارتباط مع ANSSI وDZ-CERT، وسلسلة قرارات الاستجابة للحوادث حتى مستوى مجلس الإدارة. بدون هذا الميثاق، ستظل الهيكل التنظيمي الذي يفرضه المرسوم 26-07 ورقياً فيما تُتخذ قرارات الأمن من قِبل متخصصين تقنيين عموميين.

2. تطبيق إدارة مستمرة للثغرات — لا مسوحات ربع سنوية

إن معطى M-Trends 2026 القائل بأن متوسط وقت الاستغلال أصبح سالباً (-7 أيام) يجعل المسوحات الربع سنوية للثغرات ممارسةً غير كافية لإدارة المخاطر في الأنظمة المصرفية. تحتاج البنوك الجزائرية التي تعالج معاملات الدفع وبيانات هوية العملاء والاتصالات البنكية إلى مسح مستمر يأخذ الأصول بعين الاعتبار: جميع الأنظمة المتاحة خارجياً، وجميع الأنظمة التي تعالج البيانات المالية، وجميع الأنظمة التي يديرها طرف ثالث مع وصول إلى الشبكات الداخلية. يجب أن تنبثق قائمة الإصلاح ذات الأولوية من استخبارات الاستغلال لا من درجات CVSS وحدها. طبّق SLA متدرجة: الثغرات الحرجة مع استغلال نشط في الطبيعة خلال 24-48 ساعة، والثغرات عالية الخطورة خلال 14 يوماً.

3. بناء بروتوكول الارتباط مع DZ-CERT قبل وقوع أي حادثة

DZ-CERT هو فريق الاستجابة للحوادث الحاسوبية الوطني في الجزائر، التابع لـCERIST. يخدم بوصفه مصدراً للمعلومات الاستخباراتية حول التهديدات وهيئةً لتنسيق الحوادث. البنوك التي تتعامل مع DZ-CERT فقط خلال حادثة نشطة تعاني من ضعفين: غياب بروتوكولات تواصل راسخة، وانعدام علاقة سابقة تُستدعى عندما يكون الضغط في أشده. التسلسل الصحيح: التسجيل لدى DZ-CERT بوصفك جهة مُبلِّغة، وتعيين جهة اتصال أمنية مخصصة تمتلك العلاقة مع DZ-CERT، والاشتراك في نشرات الثغرات والتحذيرات. هذا التعامل الاستباقي يدعم أيضاً الالتزام بالإخطار خلال 5 أيام بموجب القانون 25-11.

4. دمج استجابة الاختراق وفق القانون 25-11 في كتيب تشغيل الوحدة

ينطبق أجل الإخطار البالغ 5 أيام على المؤسسات المالية بوصفها متحكمين في البيانات. وحدة الأمن السيبراني التي تتولى الاستجابة التقنية للحوادث دون مسار موثق نحو إخطار ANPDP في غضون 5 أيام ستخلق ثغرة امتثالية في اللحظة التي تكون فيها البنك تحت ضغط مضاعف. نقطة التكامل هي خطوة تصنيف الحادثة: ليس كل حادثة أمنية اختراقاً للبيانات الشخصية، لكن الوحدة يجب أن تمتلك إطار قرار — يُراجعه فريق قانوني — يستطيع تصنيف الحادثة كاختراق يستوجب الإخطار في غضون ساعات من الاكتشاف.

موضع القطاع المصرفي الجزائري في المشهد الإقليمي

يضع المرسوم 26-07 الجزائر في مقدمة معظم جهات تنظيم الخدمات المالية في أفريقيا جنوب الصحراء من حيث التفويضات الصريحة لوحدات الأمن السيبراني في المؤسسات العامة. استناداً إلى الأطر التي وضعتها ANSSI والاستراتيجية الوطنية الجزائرية للأمن السيبراني، تشمل الوحدة الامتثالية الدنيا في 2026: CISO مع وصول لإدارة عليا، وقدرة مراقبة 24/7 (داخلية أو عبر SOC معتمد)، وإجراءات استجابة للحوادث موثقة ومختبرة سنوياً، وعلاقة ارتباط مسجّلة مع DZ-CERT، وعمليات إخطار بالاختراق متوافقة مع القانون 25-11. كل هذا قابل للقياس.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

ما المؤسسات المالية الجزائرية الخاضعة مباشرةً للمرسوم 26-07؟

يسري المرسوم الرئاسي 26-07 على جميع المؤسسات العامة، وتشمل: البنوك الحكومية (BNA، BEA، CPA، BADR، Crédit Populaire d’Algérie) وجميع الكيانات المالية العامة. البنوك الجزائرية الخاصة والبنوك الأجنبية العاملة في الجزائر غير مُلزَمة مباشرةً بالمرسوم، لكنها تواجه التزامات معادلة عبر القانون 18-07 والقانون 25-11 وتوقعات الرقابة الاحترازية لبنك الجزائر.

كم هجوماً إلكترونياً تتعرض له المؤسسات المالية الأفريقية أسبوعياً؟

وفق بيانات استخبارات التهديدات القطاعية لأبريل 2026، تعرضت المنظمات الأفريقية في جميع القطاعات لما يقارب 2,940 هجوماً إلكترونياً في المتوسط لكل مؤسسة أسبوعياً — مما يجعل أفريقيا من أكثر المناطق استهدافاً عالمياً. وتحتل الخدمات المالية تحديداً مركزاً ضمن القطاعات الثلاثة الأكثر استهدافاً في القارة.

ما الحد الأدنى لوحدة الأمن السيبراني القابلة للتطبيق بموجب المرسوم 26-07؟

رغم أن المرسوم 26-07 لا يحدد هيكلاً تنظيمياً، يستلزم الإطار الأشمل (المرسوم 20-05 وتوجيهات ANSSI والاستراتيجية 2025-2029) على أقل تقدير: CISO مُعيَّن بوصول مباشر للإدارة العليا، ووظيفة مراقبة تشغيلية (داخلية أو عبر شريك SOC معتمد)، وإجراءات استجابة للحوادث موثقة ومختبرة سنوياً على الأقل، وعلاقة ارتباط مسجّلة مع DZ-CERT، وعمليات إخطار بالاختراق متوافقة مع القانون 25-11.