المرسوم 26-07: خارطة 90 يوماً للأمن السيبراني

نُشر في مايو 30, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

يفرض المرسوم الرئاسي 26-07، الساري منذ 21 يناير 2026، على كل مؤسسة عمومية جزائرية إنشاء وحدة مخصصة للأمن السيبراني ترفع تقاريرها مباشرة إلى رئيس المؤسسة — منفصلة عن مديرية تقنية المعلومات، ولها صلاحية تخطيط المخاطر والتدقيق وضبط الصفقات. تنظم هذه الخارطة الممتدة على 90 يوماً مراحل التنفيذ: من اليوم 1 إلى 30، تأسيس الوحدة وتثبيت خط الإبلاغ؛ من اليوم 31 إلى 60، تقديم أول خريطة للمخاطر وسياسة موقعة للأمن السيبراني؛ من اليوم 61 إلى 90، ربط الإبلاغ عن الحوادث بـ ASSI وإدراج بند أمني في كل عقد إسناد جديد.

الخلاصة: تعاملوا مع المرسوم 26-07 كمشروع مدته 90 يوماً، لا كملف امتثال مفتوح. عيّنوا قائداً للوحدة منذ اليوم الأول، واحموا بنداً مالياً مستقلاً عن مديرية تقنية المعلومات، وأسسوا وتيرة العمل مع ASSI من البداية لا في الشهر الثالث.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالية
▾

جميع الجهات العمومية مطالَبة بالامتثال

الجدول الزمني للعمل
فوري
▾

المرسوم ساري المفعول منذ 21 يناير 2026

أصحاب المصلحة الرئيسيون
CISOs، مدراء تقنية المعلومات، فرق DSI الوزارية، ASSI، مسؤولو المشتريات

نوع القرار
تكتيكي
▾

Assessment: تكتيكي. Review the full article for detailed context and recommendations.

مستوى الأولوية
حرج
▾

Assessment: حرج. Review the full article for detailed context and recommendations.

خلاصة سريعة: على فرق تقنية المعلومات في القطاع العام الجزائري التعامل مع المرسوم 26-07 كمشروع مدته 90 يوماً لا كملف امتثال مفتوح. الأيام 1-30 تؤسس الوحدة وتثبت خط الإبلاغ، والأيام 31-60 تقدم أول خريطة للمخاطر وسياسة موقعة، والأيام 61-90 تربط الإبلاغ عن الحوادث بـ ASSI وتضبط مسار المشتريات. احموا ميزانية الوحدة من استيعاب مديرية تقنية المعلومات، وأرسوا وتيرة العمل مع ASSI منذ البداية.

من نص المرسوم إلى خطة المشروع

يمنح المرسوم الرئاسي 26-07، الموقع في 7 يناير 2026 والمنشور في الجريدة الرسمية في 21 يناير، القطاع العام الجزائري تفويضاً واضحاً لبناء وحدات مخصصة للأمن السيبراني داخل كل مؤسسة. يحدد المرسوم الوجهة — وحدة ترفع تقاريرها إلى رئيس المؤسسة، وتدير سياسة الأمن السيبراني، وتقوم بتخطيط المخاطر، وتراقب الأنظمة، وتنسق مع ASSI بشأن الحوادث — لكنه يترك التتابع لكل رئيس مؤسسة. هذه ميزة لا ثغرة: فهي تتيح للوزارات والولايات والمؤسسات العمومية معايرة الإطلاق بحسب مساحة التهديد لديها وواقع الموارد البشرية. الفرصة الآن هي تحويل هذه المرونة إلى مشروع منضبط ومحدد المدة.

السبب في أن إطار 90 يوماً يعمل هو أنه يطابق إيقاع تشغيل الإدارة العمومية الجزائرية. السنة المالية الكاملة بطيئة جداً للحفاظ على الزخم وسهلة الإهمال؛ وسباق 30 يوماً قصير جداً لإجراء دورة صادقة لتخطيط المخاطر ومراجعة أمنية لمقدمي الخدمات. تسعون يوماً — أي ما يقارب ربعاً مالياً — تمنح قيادة المؤسسة ثلاث نقاط تخطيط منفصلة (اليوم 30، اليوم 60، اليوم 90)، لكل منها مخرج خاص، ووتيرة تقارير قابلة للدفاع تجاه ASSI والمجلس الوطني الذي يصادق على التوجهات الاستراتيجية بموجب الاستراتيجية الوطنية للأمن السيبراني 2025-2029.

ولهذا السبب أيضاً تُقرأ هذه الخارطة كفرصة لا كعبء امتثال. المؤسسات التي تتحرك أولاً ستكون هي التي تكتب الدليل العملي الذي ستنتهي كل المؤسسات العمومية الأخرى إلى نسخه — وفرق تقنية المعلومات التي تقود هذه الإطلاقات ستبني نوع العمق التشغيلي (خرائط مخاطر حقيقية، تدريبات إبلاغ حوادث حقيقية، ضوابط صفقات حقيقية) النادر فعلاً في سوق العمل الجزائري للقطاع العام اليوم. المرسوم 26-07 هو اللحظة التي يتوقف فيها مسمى “مدير الأمن السيبراني” عن كونه عنواناً وظيفياً ليصبح تخصصاً قائماً بذاته.

ما يطلبه المرسوم 26-07 فعلاً

المتطلب الهيكلي واضح ومحدد بدقة. ووفقاً لـتغطية Ecofin Agency للمرسوم، يجب على كل مؤسسة عمومية إنشاء وحدة مخصصة للأمن السيبراني تتولى: (1) العمل بشكل منفصل عن مديرية تقنية المعلومات، (2) رفع التقارير مباشرة إلى رئيس المؤسسة وليس إلى مدير تقنية المعلومات، (3) تصميم سياسة الأمن السيبراني للمؤسسة والإشراف عليها، (4) إجراء تخطيط المخاطر مع خطط المعالجة المقابلة، (5) مراقبة الأنظمة وإجراء التدقيقات الدورية، (6) الإبلاغ الفوري عن الحوادث إلى السلطات المختصة، و(7) ضمان الامتثال للتشريع الوطني لحماية البيانات الشخصية. وعلى الوحدة كذلك التنسيق مع وظيفة المشتريات والهيئات الأمنية الداخلية كلما أسندت المؤسسة عملاً يمس أنظمة معلوماتها.

هذه النقطة الأخيرة أهم مما تبدو عليه. فهي تُدخل وحدة الأمن السيبراني في كل عقد تقنية معلومات عمومي توقعه المؤسسة بعد يناير 2026 — تراجع الوحدة بنود الأمان لدى المتعاقدين، وتحدد المتطلبات الدنيا للمقاولين من الباطن، وتصادق على ترتيبات الإسناد قبل إغلاق ملف الشراء. وبالنسبة للمؤسسات التي تشتري بكثافة من المُكاملين المحليين أو توقع عقود استضافة وحوسبة سحابية، فهذا هو الجزء من المرسوم الذي يحمل أكبر بصمة تشغيلية.

كما يُكمّل المرسوم تفويض CISO القائم. فقد أضفى الإطار الوطني الجزائري للأمن السيبراني الطابع المؤسسي على دور Chief Information Security Officer عبر المؤسسات العمومية منذ عام 2020، كما وثّق TechAfrica News في مراجعته لشهر يناير 2026. المرسوم 26-07 لا يحل محل CISO — بل يمنحه أداة تنظيمية (الوحدة) وخط رفع تقارير مباشراً إلى رئيس المؤسسة.

من يجب أن يمتثل وواقع الجدول الزمني

نطاق المرسوم واسع: جميع المؤسسات والإدارات العمومية مشمولة، أي عملياً كل وزارة، وكل إدارة ولاية، وكل مؤسسة عمومية (EPE/EPIC)، وكل وكالة تنظيمية، وكل مشغل تابع للدولة يدير أنظمة معلومات حيوية. وتدخل الجامعات والمستشفيات والإدارات الكبرى للضمان الاجتماعي والضرائب ضمن المحيط نفسه، حتى وإن اختلفت ملفات التهديد لديها اختلافاً ملحوظاً.

لا ينشر المرسوم موعداً تقويمياً صريحاً، مما يجعل التوقيت حكماً تقديرياً لرئيس كل مؤسسة. ومع ذلك، فإن السياق السياسي الأوسع — المرسوم الرئاسي 25-321 المؤرخ في 30 ديسمبر 2025 المصادق على الاستراتيجية الوطنية للأمن السيبراني 2025-2029، والمرسوم 26-07 بعد أسبوع، ومساحة تهديد موثقة تتجاوز 70 مليون محاولة هجوم سيبراني ضد الجزائر في عام 2024 وحده — يخلق زخماً تنازلياً واضحاً. المؤسسات التي ستظل في طور التخطيط في الربع الثالث من 2026 ستكون متأخرة بشكل ظاهر، سواء أمام ASSI أو أمام هيئاتها الرقابية الداخلية.

الاستنتاج العملي: التعامل مع اليوم 1 من خطة الـ 90 يوماً باعتباره التاريخ الذي يعيّن فيه رئيس المؤسسة رسمياً قائد وحدة الأمن السيبراني. من هذا القرار، توصل 90 يوماً الوحدة إلى وضع “تشغيلي”، لا إلى وضع “كامل”. معلم اليوم 90 هو وحدة تمتلك سياسة منشورة، وأول خريطة مخاطر، وخط إبلاغ حوادث مع ASSI، وبنداً أمنياً في كل عقد إسناد جديد.

ما يجب على فرق تقنية المعلومات في القطاع العام فعله

1. الأيام 1-30: تأسيس الوحدة وتعيين القائد وتثبيت خط الإبلاغ

الثلاثون يوماً الأولى تتعلق بالحوكمة لا بالتقنية. يصدر رئيس المؤسسة مذكرة داخلية تحدد وحدة الأمن السيبراني، ويعيّن قائد الوحدة (المكافئ لـ CISO ضمن المرسوم 26-07)، ويؤكد كتابياً أن القائد يرفع تقاريره مباشرة إلى قيادة المؤسسة — وليس عبر مدير تقنية المعلومات. هذه أهم خطوة هيكلية في خارطة الطريق برمتها: إذا انتهى الأمر بالوحدة لترفع تقاريرها إلى الوظيفة التقنية التي يُفترض أن تدققها، فإن مقصد المرسوم يُهزم في اليوم الأول.

بالتوازي، يقوم القائد بتجنيد أو تعيين الفريق المؤسس. الحد الأدنى القابل للدفاع لمؤسسة صغيرة هو ثلاثة أشخاص: القائد، ومحلل عمليات أمنية، ومهندس أمن أو مسؤول حوكمة. على المؤسسات الأكبر (أكثر من 2000 موظف أو مشغلي البنية التحتية الحيوية) التخطيط لـ 8 إلى 12 شخصاً بحلول اليوم 90، مع التوسع انطلاقاً من نفس الوظائف الجوهرية الثلاث. ينبغي كتابة التوصيفات الوظيفية قبل بدء التوظيف، ونشر مكان الوحدة في الهيكل التنظيمي داخلياً ليفهم كل قسم آخر إلى أين يوجّه إشعارات الحوادث.

2. الأيام 31-60: إجراء أول خريطة للمخاطر وصياغة سياسة الأمن السيبراني

دورة تخطيط المخاطر هي أول مخرج تقني كبير. تقوم الوحدة بجرد أنظمة معلومات المؤسسة، وتصنفها حسب الحساسية (مستخدمة تشريع حماية البيانات الشخصية كأحد محاور التصنيف)، وتجري تقييماً منظماً للتهديدات على كل منها. الناتج هو سجل مخاطر مرتب حسب الأولوية — لا وثيقة من 200 صفحة، بل قائمة عمل تضم 15 إلى 30 من أهم المخاطر، مع مالكين معينين وجداول زمنية للمعالجة. مشهد التهديدات في الجزائر، كما رصدته Ecofin Agency، يهيمن عليه التصيد الاحتيالي (أكثر من 13 مليون محاولة محجوبة في 2024) والبرمجيات الخبيثة عبر البريد الإلكتروني (نحو 750 ألف مرفق تم اعتراضه)، مما يعني أن سجل المخاطر ينبغي أن يرجح ضوابط البريد الإلكتروني والهوية ونقاط النهاية بشكل كبير في التمرير الأول.

بالتوازي، تصوغ الوحدة سياسة الأمن السيبراني للمؤسسة. السياسة هي الوثيقة التي يوقعها رئيس المؤسسة لجعل صلاحيات الوحدة قابلة للإنفاذ عبر كل المديريات. وينبغي أن تنص حرفياً على مسؤوليات الوحدة المستمدة من المرسوم 26-07، وأن تشير إلى تفويض CISO القائم، وأن تغطي صراحة الإبلاغ عن الحوادث، والوصول إلى التدقيق، وصلاحية الوحدة لاعتراض البنود الأمنية في عقود الإسناد. معلم اليوم 60 هو “خريطة المخاطر مكتوبة + السياسة موقعة”.

3. الأيام 61-90: ربط الإبلاغ عن الحوادث بـ ASSI وضبط مسار المشتريات

الثلاثون يوماً الأخيرة تُفعّل المتطلبين اللذين يحملان الأثر المباشر الأكبر خارج المؤسسة: الإبلاغ عن الحوادث إلى ASSI وضبط المشتريات. تُنشئ الوحدة نقطة اتصال واحدة مسماة (شخص وصندوق بريد) لـ ASSI، وتتفق على مخطط تصنيف للحوادث ينسجم مع ما تتوقع ASSI استلامه، وتجري على الأقل تمريناً نظرياً يحاكي إشعار حادث من البداية إلى النهاية. دور التنسيق الذي تضطلع به ASSI تحت وزارة الدفاع الوطني — المحدد في الاستراتيجية الوطنية للأمن السيبراني 2025-2029 — يجعل خط الاتصال هذا الواجهة الرئيسية للمؤسسة مع الدولة في مجال الأمن السيبراني.

بالتوازي، تواكب الوحدة وظيفة المشتريات في تطبيق نموذج البند الأمني الجديد. كل ملف إسناد يُفتح بعد اليوم 90 يجب أن يتضمن ملحقاً أمنياً تصادق عليه وحدة الأمن السيبراني، يغطي إقامة البيانات، وضوابط المتعاقدين من الباطن، وآجال الإبلاغ عن الحوادث، وحقوق التدقيق. معلم اليوم 90 هو وحدة لديها خط حوادث حقيقي مع ASSI، وسياسة فاعلة، وخريطة مخاطر محدّثة، وبوابة مشتريات.

4. بناء وتيرة التنسيق مع ASSI منذ اليوم الأول لا في الشهر الثالث

ASSI شريك استراتيجي لا جهة تنظيمية تُدار من بعيد. على قائد الوحدة التعامل مع العلاقة باعتبارها شراكة عمل ممتدة لسنوات: وتيرة تقارير منتظمة (مذكرات حالة شهرية في السنة الأولى، فصلية بعد ذلك)، ومشاركة في الأنشطة التي تنسقها ASSI والمذكورة في الإطار الوطني للأمن السيبراني، واستعداد لمشاركة ملخصات خرائط المخاطر وتقارير الدروس المستخلصة. المؤسسات التي تبني هذه الوتيرة مبكراً تحصل على وصول أبكر للاستخبارات حول التهديدات، ودعم أسرع للاستجابة للحوادث، وصوت أقوى في تشكيل الإرشادات القطاعية. وعلى الوحدة كذلك رسم خريطة العلاقة مع الهيئات ذات الصلة — DZ-CERT لتنسيق الاستجابة للحوادث، وسلطة حماية البيانات الشخصية للامتثال للخصوصية — وتعيين منسقين بأسمائهم لكل منها.

5. ميزنة الوحدة بصدق وحمايتها من الاستيعاب داخل تقنية المعلومات

أكبر مخاطر التنفيذ هو الاستيعاب الميزاني. فإذا وُضعت ميزانية وحدة الأمن السيبراني داخل مظروف مديرية تقنية المعلومات، ستفقد الوحدة بهدوء موارد لصالح أولويات تقنية تشغيلية كل ثلاثة أشهر. الحل هيكلي: يعتمد رئيس المؤسسة بنداً ميزانياً منفصلاً لوحدة الأمن السيبراني، مستقلاً عن عمليات تقنية المعلومات، بمظروفه المتعدد السنوات الخاص به. معلم اليوم 90 هنا هو ميزانية موقعة لما تبقى من السنة المالية 2026 ومسودة لعام 2027 تحمي أكبر ثلاث فئات للتكاليف — الموظفون (60-70% من الميزانية)، والأدوات (20-30%)، والخدمات الخارجية مثل التدقيقات وعقود دعم الاستجابة للحوادث (10-15%). المؤسسات التي تنشر ميزانية وحدتها للأمن السيبراني بشكل منفصل في وثائقها التخطيطية الداخلية ترسل إشارة واضحة بأن الوحدة وظيفة دائمة لا مشروع.

بناء أسس الصمود السيبراني في الجزائر

خارطة طريق 90 يوماً ليست الإجابة الكاملة على المرسوم 26-07. إنها نقطة الدخول. ما تقدمه فعلاً هو وحدة تشغيلية بحلول نهاية الربع الأول، ومسار تدقيق قابل للدفاع لرئيس المؤسسة، وعلاقة عمل مع ASSI ستنضج خلال السنتين أو الثلاث المقبلة. الوحدة الموجودة في اليوم 91 ليست قدرة أمن سيبراني مكتملة — إنها أساس موثوق تستطيع المؤسسة البناء عليه حتى 2027 وفي النصف الثاني من نافذة الاستراتيجية 2025-2029.

ما تشير إليه هذه الخارطة على نطاق أوسع هو أن المرسوم 26-07 غيّر نموذج تشغيل تقنية المعلومات العمومية في الجزائر. لم يعد مدير تقنية المعلومات هو الصوت التقني الكبير الوحيد في الغرفة؛ فلقائد وحدة الأمن السيبراني خط رفع تقارير موازٍ مباشر إلى قيادة المؤسسة، ومجال — مخاطر، تدقيق، أمن مشتريات، إبلاغ عن الحوادث، حماية البيانات — يتقاطع مع كل مبادرة رقمية تقودها المؤسسة. وبالنسبة لفرق تقنية المعلومات العمومية، هذا يعني روابط عمل أوثق مع وظيفة نظيرة، ومراجعة داخلية أكثر صرامة للأنظمة الجديدة، وإجابة هيكلية على سؤال من المسؤول بالضبط حين يقع خطأ ما.

عند تنفيذه جيداً، سيمنح تطبيق المرسوم 26-07 عبر الوزارات والولايات والمؤسسات العمومية الجزائرية البلاد بنية أمن سيبراني متعددة الطبقات: استراتيجية وطنية في القمة، وتنسيق من ASSI، ووحدات مؤسسية تنفذ، وقاعدة محلية من الكفاءات تنمو لأن الطلب عليها بات الآن مدوّناً في القانون. خطة 90 يوماً هي اللبنة التي تساهم بها كل مؤسسة في هذه البنية.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

1. ماذا يطلب المرسوم 26-07 من المؤسسات العمومية الجزائرية؟

يفرض المرسوم الرئاسي 26-07، المنشور في الجريدة الرسمية في 21 يناير 2026، على كل مؤسسة عمومية جزائرية إنشاء وحدة مخصصة للأمن السيبراني. على الوحدة العمل بشكل منفصل عن مديرية تقنية المعلومات، ورفع التقارير مباشرة إلى رئيس المؤسسة، وتصميم سياسة الأمن السيبراني والإشراف عليها، وإجراء تخطيط المخاطر مع خطط المعالجة، ومراقبة الأنظمة وتدقيقها بانتظام، والإبلاغ الفوري عن الحوادث للسلطات المختصة، وضمان الامتثال لقانون حماية البيانات الشخصية، والتنسيق مع المشتريات بشأن البنود الأمنية في عقود الإسناد.

2. من يجب أن يمتثل للمرسوم 26-07؟

جميع المؤسسات والإدارات العمومية مشمولة — الوزارات، وإدارات الولايات، والمؤسسات العمومية (EPE/EPIC)، والوكالات التنظيمية، والمشغلون التابعون للدولة لأنظمة المعلومات الحيوية، والجامعات العمومية، والمستشفيات العمومية، والإدارات الكبرى للضمان الاجتماعي والضرائب. لا ينشر المرسوم موعداً صريحاً؛ وعملياً، فإن المؤسسات التي ستبقى في طور التخطيط في الربع الثالث من 2026 ستكون متأخرة بشكل ظاهر عن الزخم السياسي الذي رسمته الاستراتيجية الوطنية للأمن السيبراني 2025-2029.

3. كيف تعمل وحدة الأمن السيبراني مع ASSI؟

ASSI (Agence de la Sécurité des Systèmes d’Information)، التابعة لوزارة الدفاع الوطني، تنسق الاستراتيجية الوطنية للأمن السيبراني وتعمل كوكالة شريكة لوحدات الأمن السيبراني المؤسسية. على كل وحدة تعيين نقطة اتصال مسماة مع ASSI، والاتفاق على مخطط تصنيف للحوادث ينسجم مع توقعات الاستقبال لدى ASSI، ومشاركة ملخصات خرائط المخاطر وتقارير الدروس المستخلصة، والانضمام إلى الأنشطة التي تنسقها ASSI والمذكورة في استراتيجية 2025-2029. العلاقة شراكة عمل ممتدة لسنوات، لا مراقبة امتثال لمرة واحدة.