الاستراتيجية الوطنية للأمن السيبراني 2025-2029 في الجزائر: دليل جاهزية الامتثال للمؤسسات

لماذا ينبغي لمؤسسات القطاع الخاص قراءة الاستراتيجية الآن

بلغ الإطار القانوني الجزائري في مجال الأمن السيبراني عتبة نضج جديدة بين ديسمبر 2025 ويناير 2026. اعتمد المرسوم الرئاسي 25-321 رسمياً الاستراتيجية الوطنية للأمن السيبراني 2025-2029، وأنشأ المرسوم الرئاسي 26-07 الإطار المؤسسي للأمن السيبراني داخل المؤسسات العامة، المنشور في الجريدة الرسمية في 21 يناير 2026.

في حين تركّز الولايات المباشرة لهذه المراسيم على المؤسسات العامة، فإن التأثيرات المتلاحقة على القطاع الخاص ذات أهمية. تتفاعل البنوك وشركات الاتصالات وشركات التأمين والمؤسسات الكبيرة يومياً مع المؤسسات العامة — كموردين ومقدمي خدمات وأطراف مقابلة ومنظمين قطاعيين. يضع إطار الاستراتيجية للتدقيق والإبلاغ عن الحوادث وتصنيف البنية التحتية الحرجة وحوكمة الأمن السيبراني الخط الأساسي المتوقع الذي ستُقاس به جميع المنظمات الجزائرية بشكل متزايد.

يركّز هذا الدليل على ما ينبغي للمؤسسات فعله الآن للاستعداد، دون التكهن بالجداول الزمنية لإجراءات إنفاذ محددة أو التعليق على الوضع الحالي لأي مؤسسة. إنه إطار جاهزية تطلعي، وليس تدقيقاً للوضع الراهن.

الإطار القانوني الذي تحتاج المؤسسات إلى تخطيطه

يستند امتثال المؤسسات الجزائرية في 2026 إلى مجموعة من الأدوات المتداخلة التي تطورت باطّراد منذ 2009. ينبغي لبرنامج امتثال عملي إجراء جردة للالتزامات بموجب الآتي:

• القانون رقم 09-04 (2009) — يمنع الجرائم المتعلقة بتكنولوجيات المعلومات والاتصالات
• القانون رقم 18-07 (2018) — قانون حماية البيانات الشخصية الأساسي للجزائر، تديره السلطة الوطنية لحماية المعطيات الشخصية (ANPDP)، متماشياً مع الأطر الدولية المعاصرة لحماية البيانات
• القانون رقم 18-04 (2018) — يضع قواعد الاتصالات الإلكترونية، بما في ذلك التعريف الرسمي للأمن السيبراني المستخدم في اللوائح اللاحقة
• المرسوم الرئاسي رقم 20-05 (2020) — ينشئ الإطار الوطني لأمن نظم المعلومات، مُؤسّساً التنسيق الاستراتيجي عبر CNSSI والتنفيذ التقني عبر ANSSI
• المرسوم الرئاسي رقم 25-298 (نوفمبر 2025) — يعدّل المرسوم 20-05
• المرسوم الرئاسي رقم 25-320 (ديسمبر 2025) — ينشئ حوكمة وطنية للبيانات مع تكامل الأمن السيبراني
• المرسوم الرئاسي رقم 25-321 (30 ديسمبر 2025) — يعتمد الاستراتيجية الوطنية للأمن السيبراني 2025-2029
• المرسوم الرئاسي رقم 26-07 (يناير 2026) — ينشئ وحدات مخصصة للأمن السيبراني داخل المؤسسات العامة

تشرف سلطة ضبط البريد والمواصلات الإلكترونية (ARPCE) على الامتثال في الاتصالات والقطاعات ذات الصلة. في إطار النظام القانوني القائم، تشمل أدوات الإنفاذ الإشعارات الرسمية أو التعليق أو سحب الترخيص للكيانات المنظمة، مع عقوبات جنائية بموجب قوانين محددة لجرائم تكنولوجيات المعلومات والاتصالات تتراوح بين 5,000 و 10,000,000 دينار جزائري حسب المخالفة.

إطار جاهزية من أربعة أعمدة للمؤسسات

بدلاً من انتظار اللوائح التنفيذية القطاعية، يمكن للمؤسسات الجزائرية هيكلة عمل جاهزيتها حول أربعة أعمدة متماشية مع التوجه المؤسسي للاستراتيجية.

العمود 1: الحوكمة ومسؤولية القيادة

يحدد المرسوم 26-07 أن المؤسسات العامة يجب أن تنشئ وحدات مخصصة للأمن السيبراني تُبلّغ مباشرةً قيادة المؤسسة. ينبغي للمؤسسات معاملة هذا باعتباره المعيار الوطني الناشئ لحوكمة الأمن السيبراني وعكسه داخلياً.

خطوات ملموسة:

• تعيين رئيس أمن نظم المعلومات (CISO) برفع تقاريره رسمياً إلى الرئيس التنفيذي أو لجنة تدقيق المجلس، دون دفنه تحت العمليات التقنية
• تشكيل لجنة أمن سيبراني على المستوى التنفيذي مع مراجعة ربع سنوية لوضع المخاطر وتاريخ الحوادث وحالة المعالجة
• توثيق سياسة أمن سيبراني متماشية مع ISO/IEC 27001 أو أطر مكافئة يمكن للمنظمة تقديمها للمنظمين والمدققين والأطراف المقابلة عند الطلب

العمود 2: الجاهزية للاستجابة للحوادث والإبلاغ عنها

يتوقع إطار الاستراتيجية علاقات إبلاغ منظَّمة عن الحوادث بين المنظمات وهيئات التنسيق الوطنية، بما في ذلك DZ-CERT (فريق الاستجابة للطوارئ الحاسوبية الوطني العامل تحت CERIST). ينبغي للمؤسسات الاستعداد الآن لالتزامات الإبلاغ عن الحوادث التي يُحتمل أن تصبح قطاعية في اللوائح التنفيذية المستقبلية.

خطوات ملموسة:

• بناء واختبار خطة استجابة للحوادث تتضمن بروتوكولات الإخطار للقيادة الداخلية والعملاء المتأثرين والسلطات ذات الصلة بموجب القانون 18-07 حيث تكون البيانات الشخصية معنية
• إقامة علاقات مباشرة مع DZ-CERT والمنظمين القطاعيين قبل وقوع حادث، لا أثناءه
• إجراء تمرين محاكاة سنوي واحد على الأقل يحاكي حادثاً مهماً، مع مراجعة بعد التمرين وتتبع المعالجة
• الاحتفاظ بالسجلات والقطع الجنائية لفترات كافية لدعم التحقيق الداخلي والإبلاغ التنظيمي

العمود 3: حماية البيانات والامتثال للخصوصية

يبقى القانون 18-07 الالتزام الأساسي لحماية البيانات الشخصية لأي منظمة تعالج بيانات شخصية جزائرية. تكامل استراتيجية 2025-2029 مع الحوكمة الوطنية للبيانات (بموجب المرسوم 25-320) يعزز أهمية جردة البيانات وتوثيق الأساس القانوني وحوكمة النقل عبر الحدود.

خطوات ملموسة:

• الحفاظ على جردة بيانات حالية تحدد البيانات الشخصية وأغراض المعالجة ومواقع التخزين
• ضمان وجود اتفاقيات معالجة بيانات مع جميع المعالجين من الأطراف الثالثة، بما في ذلك مزودو السحابة وSaaS
• توثيق الأسس القانونية للمعالجة بموجب القانون 18-07، خاصة لفئات البيانات الحساسة
• إنشاء عملية معالجة طلبات أصحاب البيانات يمكنها الاستجابة في أطر زمنية معقولة

العمود 4: أمن الأطراف الثالثة وسلسلة التوريد

يمتد تركيز الاستراتيجية على حماية البنية التحتية الحرجة إلى سلسلة التوريد التي تدعم تلك البنية التحتية. ينبغي للمؤسسات — خاصة تلك التي هي نفسها موردون للمؤسسات العامة أو القطاعات المنظَّمة — أن تتوقع تشدّداً في توقعات العناية الواجبة.

خطوات ملموسة:

• الحفاظ على جردة لموردي الأطراف الثالثة، بما في ذلك تكاملات SaaS وتفويضات OAuth في منصات الهوية السحابية
• إجراء تقييمات أمنية للموردين ذوي الوصول إلى بيانات حساسة أو أنظمة حرجة
• تضمين بنود الأمن السيبراني في عقود الموردين، بما في ذلك متطلبات الإخطار بالاختراق وأحكام حق التدقيق
• الرصد لإعلانات الموردين بشأن حوادث أمنية أو ثغرات قد تؤثر على المؤسسة

أين يُخصَّص الاستثمار في 2026

ينبغي للمؤسسات التي تستعد لبيئة الامتثال 2025-2029 إعطاء الأولوية للإنفاق في ثلاثة مجالات يكون فيها العائد على الاستثمار الأوضح:

1. توثيق الحوكمة والسياسات — كثيراً ما يكون ناقص التمويل مقارنة بالتقنية. مجموعة كاملة وقابلة للتدقيق من السياسات هي الخط الأساسي الذي سيطلبه أي منظم أو مدقق أو طرف مقابل أولاً.
2. إدارة الهوية والوصول — سطح الهجوم المهيمن عالمياً ومحلياً. الاستثمار في منصات الهوية وتغطية MFA وحوكمة OAuth يؤتي ثماره عبر كل أطر الامتثال.
3. قدرة الكشف والاستجابة للحوادث — إما استثمار SOC داخلي أو عقد مع مزود كشف واستجابة مُدارة (MDR) قادر على العمل بالسرعة التي تتطلبها الهجمات الحديثة.

العمل مع ASSI و DZ-CERT

تُنفّذ وكالة أمن نظم المعلومات (ASSI)، العاملة تحت وزارة الدفاع الوطني، السياسات الوطنية للأمن السيبراني وتدافع عن البنية التحتية الحرجة للدولة. يضع المجلس الوطني لأمن نظم المعلومات (CNSSI)، الذي يُبلّغ رئاسة الجمهورية، الاستراتيجيات الوطنية. يعمل DZ-CERT تحت CERIST كمنسق وطني للاستجابة للحوادث.

بالنسبة للمؤسسات، الاستنتاج العملي هو أن بناء علاقات مهنية وتعاونية مع هذه الهيئات — قبل أي حادث — جزء من الجاهزية. يشمل ذلك الاشتراك في النشرات والمشاركة في منتديات الأمن السيبراني الصناعية القطاعية حيث توجد، وضمان توثيق واختبار مسارات الإخطار بالحوادث.

قائمة مراجعة لجاهزية الامتثال

لسد الفجوة بين التوقعات الناشئة للاستراتيجية والوضع الحالي للمؤسسات، يمكن للمنظمات العمل من خلال قائمة المراجعة التالية:

• [ ] CISO معيّن مع خط مباشر للرئيس التنفيذي أو المجلس
• [ ] سياسة أمن سيبراني موثَّقة ومتماشية مع إطار دولي معترف به
• [ ] جردة بيانات مكتملة مع توثيق الأسس القانونية بموجب القانون 18-07
• [ ] خطة استجابة للحوادث موثَّقة ومُختبَرة في الأشهر الـ 12 الماضية
• [ ] جردة موردي الأطراف الثالثة مكتملة مع بنود أمنية تعاقدية
• [ ] منصة هوية مع MFA على مستوى المؤسسة وحوكمة OAuth
• [ ] قدرة كشف واستجابة في مكانها — SOC داخلي أو عقد MDR
• [ ] ميزانية أمن سيبراني سنوية معتمدة مع خطة رأسمالية متعددة السنوات
• [ ] علاقة مستمرة مع DZ-CERT والمنظمين القطاعيين مُؤسَّسة
• [ ] إعداد تقارير الأمن السيبراني على مستوى المجلس بإيقاع ربع سنوي

المنظمات التي تكمل قائمة المراجعة هذه تموقع نفسها جيداً لأي اتجاه تتخذه اللوائح التنفيذية القطاعية على مدى الـ 24 شهراً القادمة، والأهم من ذلك، تبني المرونة التشغيلية التي يتطلبها أي بيئة تهديدات جدية.

المصادر والقراءات الإضافية

• CMS Expert Guide to Data Protection and Cyber Security Laws: Algeria — CMS
• Algeria Strengthens Cybersecurity Framework to Protect National Infrastructure — TechAfrica News
• Algeria Cybersecurity Framework Update — SAMENA Council
• ARPCE Publication Portal — Regulatory Authority for Post and Electronic Communications