المرسوم 26-07: دليل الامتثال للأمن السيبراني

نُشر في مايو 14, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

يُلزم المرسوم الرئاسي 26-07 (7 يناير 2026) جميع المنظمات في القطاعات الحيوية السبعة بالجزائر — البنوك والرعاية الصحية والطاقة والاتصالات والمياه والنقل والخدمات الحكومية — بإنشاء وحدات أمن سيبراني مخصصة وتعيين مسؤولي أمن معلومات مؤهلين وإجراء تدقيقات معتمدة من ASSI والإبلاغ عن الحوادث لـ DZ-CERT. تصل الغرامات إلى 10,000,000 دينار جزائري مع عقوبات جنائية تصل إلى 10 سنوات سجناً.

الخلاصة: يجب على الشركات الخاصة الجزائرية في القطاعات الحيوية الشروع فوراً في الامتثال للمرسوم 26-07 — بدءاً بتدقيق الفجوات وتوظيف مسؤول الأمن — قبل أن تشح فرص التدقيق المعتمدة والكفاءات المؤهلة في الربع الثالث من 2026.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
▾

المرسوم الرئاسي 26-07 قانون جزائري نافذ مع تطبيق فعلي عبر ASSI؛ ينطبق مباشرة على الشركات الخاصة في 7 قطاعات حيوية تغطي معظم الاقتصاد الرسمي.

الجدول الزمني للعمل
فوري
▾

نُشر المرسوم في 21 يناير 2026؛ انطلقت دورات التطبيق والتدقيق؛ سوق توظيف CISO يشهد تضيقاً متسارعاً.

أصحاب المصلحة الرئيسيون
المدراء التقنيون، المدراء الماليون، مدراء الشؤون القانونية والامتثال، مدراء الموارد البشرية

نوع القرار
استراتيجي
▾

ليس هذا رصداً تنظيمياً اختيارياً — يتطلب المرسوم 26-07 تغييرات هيكلية في الحوكمة (وحدة مخصصة، تعيين CISO) تؤثر على الهياكل التنظيمية والميزانيات.

مستوى الأولوية
حرج
▾

يُعرّض عدم الامتثال الشركات لعقوبات تصل إلى 10,000,000 دينار وتعليق الترخيص؛ نافذة الامتثال تضيق مع امتلاء مواعيد تدقيق ASSI.

خلاصة سريعة: يجب على الشركات الخاصة الجزائرية — لا سيما في القطاعات المصرفية والصحية والطاقوية والاتصالات — معالجة الامتثال للمرسوم 26-07 بوصفه أولوية على مستوى مجلس الإدارة، لا مهمة لقسم تقنية المعلومات. ابدأ بتوظيف CISO وتدقيق الفجوات وفق الأعمدة الأربعة؛ يجب أن يكون كلاهما جارياً قبل الربع الثالث من 2026 لتجنب الاختناقات في قوائم الانتظار وسوق المواهب.

ما الذي تغيّر في 21 يناير 2026

في 7 يناير 2026، وقّع الرئيس تبون المرسوم الرئاسي 26-07، الذي يُرسي الإطار التشغيلي لحوكمة الأمن السيبراني في المؤسسات الجزائرية. نُشر المرسوم في الجريدة الرسمية بتاريخ 21 يناير 2026، مُطلقاً التزامات تطبيق فورية على الهيئات العامة، وجدولاً زمنياً منظماً للامتثال على المنظمات الخاصة العاملة في القطاعات الحيوية المعيّنة.

لا يقف المرسوم 26-07 وحده؛ فهو يُفعّل الاستراتيجية الوطنية للأمن السيبراني 2025-2029 التي أُقرّت قبله بثمانية أيام بموجب المرسوم الرئاسي 25-321 (30 ديسمبر 2025)، ويستند إلى الإطار التأسيسي الذي أرساه المرسوم الرئاسي 20-05 (يناير 2020) وتعديله بموجب المرسوم 25-298 (نوفمبر 2025). تُشكّل هذه المراسيم الأربعة معاً أشمل منظومة تنظيمية للأمن السيبراني عرفتها الجزائر على الإطلاق.

بالنسبة للشركات الخاصة، السؤال العملي ليس ما إذا كان الامتثال واجباً، بل ما هو ترتيب أولوياته. يُحدد المرسوم قطاعات البنوك والرعاية الصحية والطاقة والاتصالات والمياه والنقل والخدمات الحكومية بوصفها بنية تحتية حيوية. إذا كانت شركتك تعمل في أيٍّ من هذه القطاعات أو تُقدّم خدمات لها، فإن المرسوم 26-07 يسري عليها مباشرة.

الالتزامات الجوهرية الأربعة التي يجب على كل شركة خاصة الوفاء بها

يُرسي المرسوم التزامات على مستويات مختلفة من الاقتصاد. بالنسبة للمنظمات الخاصة في القطاعات الحيوية أو التي تمتلك بنية تحتية معلوماتية ذات أهمية، أربعة متطلبات غير قابلة للتفاوض.

وحدة أمن سيبراني مخصصة. يجب على المنظمات إنشاء وحدة أمن سيبراني تتبع مباشرة لرئيس المؤسسة — لا لمدير تقنية المعلومات أو المدير التقني. هذا المتطلب الهيكلي متعمَّد: فهو يُحاكي نموذج القطاع العام حيث تمّ “تكريس دور مسؤولي الأمن السيبراني في مؤسسات الدولة”، كما أشار تقرير مجلس SAMENA في تغطيته لانطلاق إطار ASSI في الجزائر. يجب أن تمتلك الوحدة تفويضاً محدداً وبنداً في الميزانية وخطة لتوفير الكوادر البشرية.

تعيين CISO مؤهّل. يشترط المرسوم تعيين مسؤول أمن معلومات (Chief Information Security Officer) يتمتع بخبرة موثّقة. لم تُقنَّن “الخبرة الموثّقة” بعد بمتطلبات شهادات محددة في نص المرسوم، غير أن توجيهات ASSI تُشير باستمرار إلى CISSP وCISM وCEH باعتبارها المؤهلات المرجعية. يجب على الشركات التي لا تمتلك مرشحاً داخلياً إطلاق عملية التوظيف فوراً — فمجموعة مواهب CISO في الجزائر محدودة والمنافسة ستشتد مع اقتراب موعد الامتثال.

عمليات تدقيق أمني إلزامية. يجب على المنظمات إجراء عمليات تدقيق وفق جدول زمني تُحدده ASSI. بالنسبة لمشغّلي البنية التحتية الحيوية، يعني ذلك التعاقد مع مزود خدمات تدقيق أمن سيبراني معتمَد من ASSI — وهو سجل تبنيه ASSI منذ عام 2020. الشركات التي تستعين بمزودين غير معتمَدين لن تستوفي متطلب التدقيق، بصرف النظر عن الجودة التقنية للتدقيق.

الإبلاغ عن الحوادث لـ ASSI. يجب الإبلاغ فوراً عن حوادث الأمن السيبراني الهامة. يشمل “الهام” انتهاكات البيانات وهجمات برامج الفدية وأحداث حجب الخدمة المؤثرة على استمرارية الخدمات والوصول غير المصرح به إلى الأنظمة الحاوية لبيانات شخصية. يُنسّق DZ-CERT، المُستضاف من قِبل CERIST، استجابة الحوادث الوطنية وهو نقطة الاتصال التشغيلية للتقارير.

ما يجب على الشركات الخاصة الجزائرية فعله الآن

تندرج معظم الشركات الخاصة الجزائرية ضمن إحدى فئات الاستعداد الثلاث. إجراءات الامتثال أدناه مُنظَّمة حسب وضعك الراهن — لا حسب طموحاتك.

1. تدقيق حوكمة الأمن الحالية لديك وفق الأعمدة الأربعة

قبل الاستثمار في أدوات أو التوظيف، قيّم وضعك الراهن مقابل الأعمدة الأربعة للمرسوم 26-07: الهيكل التنظيمي (هل لديك وحدة أمن سيبراني؟)، الكوادر البشرية (هل لديك CISO مؤهّل؟)، دورية التدقيق (هل أجريت تدقيقاً متوافقاً مع ASSI؟)، والإبلاغ عن الحوادث (هل لديك عملية تستوفي جداول إبلاغ ASSI؟).

ستجد معظم الشركات امتثالاً جزئياً في مجال أو اثنين وثغرات ملموسة في المجالات الأخرى. وثّق هذا التحليل رسمياً — تبدأ عمليات تدقيق ASSI باستبيان تقييم ذاتي، والشركات العاجزة عن إثبات فهمها لوضعها الأمني تنطلق من موقع ضعيف.

2. إعطاء الأولوية لتوظيف CISO أو الترقية الداخلية فوق كل شيء

المتطلب الهيكلي — وحدة أمن سيبراني تتبع لرئيس المؤسسة — لا يمكن تحقيقه بمجرد مسمى وظيفي. يجب أن يمتلك CISO كفاءة تقنية وإدارية موثّقة. تُشير تحليل الاستراتيجية الوطنية للأمن السيبراني إلى أن استراتيجية 2025-2029 ترتبط صراحةً بـ 285,000 مقعد تدريب مهني جديد أُعلن عنها لعام 2026، تشمل برامج شهادات في الأمن السيبراني — لكن هؤلاء الخريجين لن يكونوا متاحين إلا بعد 18 إلى 24 شهراً. الحاملون الحاليون لشهادات CISSP أو CISM في الجزائر مجموعة محدودة؛ ويجب على شركات القطاع المصرفي والاتصالات توقع منافسة كبيرة على الرواتب بحلول منتصف 2026.

3. التعاقد مع مدقق معتمَد من ASSI قبل الموعد النهائي

نظام اعتماد ASSI لمزودي خدمات تدقيق الأمن السيبراني معمول به منذ 2020 في إطار المنظومة الوطنية للأمن السيبراني. اطلب مباشرة من ASSI قائمة المزودين المعتمدين الحالية — تُحدَّث هذه القائمة ولا تُنشر دائماً للعموم. جدوِل تدقيقك الأول الآن: لدى المزودين المعتمَدين حجوزات متراكمة بالفعل، وطابور الانتظار المُدار اليوم سيتحول إلى عنق زجاجة حين تبدأ المؤسسات العامة الكبيرة بالتنافس على المواعيد ذاتها في الربع الثالث من 2026.

يغطي نطاق التدقيق بموجب المرسوم 26-07: هندسة أمن الشبكات وضوابط حماية البيانات وإدارة الوصول وإجراءات الاستجابة للحوادث وخطط استمرارية الأعمال. ستجد الشركات المعتمَدة وفق ISO 27001 نحو 70% تداخلاً مع إطار تدقيق ASSI.

4. بناء سير عمل الإبلاغ لـ ASSI قبل الحاجة إليه

تُفعَّل التزامات الإبلاغ عن الحوادث بالأحداث لا بجداول التدقيق — مما يعني أن العملية يجب أن تكون جاهزة قبل وقوع الانتهاك لا بعده. بوابة الإبلاغ الخاصة بـ DZ-CERT هي نقطة الدخول التشغيلية. حدّد معايير التصعيد الداخلية (ما الذي يُشكّل حادثة “هامة” في قطاعك)، عيّن مسؤولاً عن الإبلاغ، اختبر عملية تقديم تقرير DZ-CERT عبر تمرين محاكاة، ووثّق العملية في خطة الاستجابة للحوادث.

درجة التعرض للعقوبات فاعلة بالفعل

يُوثّق دليل CMS Law على الجزائر منظومة العقوبات: تتراوح الإجراءات الإدارية بين الإنذارات الرسمية وتعليق الترخيص، فيما تشمل العقوبات الجنائية السجن من شهرين إلى عشر سنوات وغرامات من 5,000 إلى 10,000,000 دينار جزائري (نحو 33 إلى 65,800 يورو). تتناسب الشدة مع طبيعة المخالفة — غير أن أي إجراء تطبيقي، بما فيه الإنذار الرسمي، يُنشئ سجلاً يؤثر على قرارات الترخيص والمشتريات المستقبلية.

أين يقف القطاع الخاص الجزائري عند مدخل 2026

الصورة الواقعية متباينة. المنظومة الوطنية للأمن السيبراني في الجزائر نشطة تشغيلياً منذ 2020، وقد تمّ تكريس دور CISO في مؤسسات الدولة. لكن القطاع الخاص تأخّر. تصنيف Comparitech الذي وضع الجزائر ضمن أقل الدول أماناً سيبرانياً استشهد بـ”غياب التشريعات” بوصفها الثغرة الرئيسية — وهي الفجوة التي يعالجها المرسوم 26-07 مباشرة.

تُوفّر الأعمدة الخمسة لاستراتيجية 2025-2029 خارطة طريق واضحة. الشركات الخاصة التي تُوائم برامج امتثالها الداخلية مع هذه الأعمدة — بدلاً من التعامل مع المرسوم 26-07 كمهمة تُنجز مرة واحدة — ستبني مرونة مؤسسية تتخطى أي دورة تدقيق بعينها.

نافذة الامتثال المريح هي الأشهر الستة القادمة. جداول تدقيق ASSI ستمتلئ. الكفاءات المؤهلة ستشحّ. ابدأ بتحليل الفجوات اليوم.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

هل ينطبق المرسوم 26-07 على الشركات الخاصة أم على المؤسسات الحكومية فقط؟

ينطبق المرسوم 26-07 على جميع المنظمات في القطاعات الحيوية المعيّنة: البنوك والرعاية الصحية والطاقة والاتصالات والمياه والنقل والخدمات الحكومية. تواجه الشركات الخاصة العاملة في هذه القطاعات أو المُقدِّمة خدمات لها الالتزامات الإلزامية ذاتها كالمؤسسات العامة: وحدة أمن سيبراني وتعيين CISO وتدقيق وإبلاغ عن الحوادث.

ما المؤهلات التي يحتاجها CISO الجزائري لاستيفاء متطلبات المرسوم؟

يشترط المرسوم “خبرة موثّقة”، يُقيّسها توجيهات ASSI بشهادات معترف بها دولياً: CISSP وCISM وCEH. لا توجد بعد مسارات شهادات جزائرية رسمية — يجب على الشركات السعي للحصول على اعتمادات دولية عبر الشركاء الإقليميين لـ ISACA أو EC-Council.

ما العقوبة على عدم الامتثال للمرسوم 26-07؟

بموجب منظومة العقوبات السيبرانية الجزائرية الموثَّقة من CMS Law، تتراوح الغرامات الإدارية بين الإنذار الرسمي وتعليق الترخيص الكامل. تشمل العقوبات الجنائية السجن من شهرين إلى عشر سنوات وغرامات من 5,000 إلى 10,000,000 دينار جزائري (نحو 33 إلى 65,800 يورو). تتناسب الشدة مع طبيعة المخالفة ومدتها.

—