ما الذي يُلزم به المرسوم 26-07 فعلياً
تطور الهيكل التنظيمي الجزائري للأمن السيبراني بسرعة. أرسى المرسوم الرئاسي 20-05 الصادر عام 2020 الإطار الوطني التأسيسي لأمن أنظمة المعلومات. وجاء ديسمبر 2025 بـ المرسوم الرئاسي 25-321 الذي أقرّ الاستراتيجية الوطنية للأمن السيبراني 2025-2029، وجاء نوفمبر 2025 بالمرسوم 25-298 الذي عدّل المرسوم 20-05 لتعزيز متطلبات الحوكمة.
المرسوم 26-07 الصادر في يناير 2026 يذهب أبعد: يُنشئ وحدات أمن سيبراني مخصصة داخل المؤسسات العامة، مُحدِّداً مهامها وهياكلها التنظيمية. هذا ليس تطلعاً سياسياً — بل هو ولاية تشغيلية مدعومة بالسلطة المؤسسية لجهتَين:
- ANSSI (الوكالة الوطنية للأمن السيبراني لأنظمة المعلومات): المنسّق الوطني لتطبيق الاستراتيجية الجزائرية للأمن السيبراني، المسؤول عن ترجمة السياسة إلى متطلبات تشغيلية عبر الجهات الحكومية.
- DZ-CERT (فريق الاستجابة لطوارئ الحاسوب الجزائري)، المستضاف في CERIST: المركز التشغيلي الوطني للاستجابة لحوادث الأمن السيبراني وتحليل التهديدات والتنسيق الدولي.
يُعرّف القانون 18-04 لعام 2018 الأمن السيبراني بوصفه “مجموعة من الأدوات والسياسات والمفاهيم الأمنية والآليات الأمنية” التي تحمي إتاحة البيانات وسلامتها وسريّتها — ويحمل مزودو الاتصالات الإلكترونية بالفعل التزامات ضمانات تقنية بموجب هذا القانون. يخلق المرسوم 26-07 الآلية المؤسسية لتطبيق هذه الالتزامات داخل الدولة ولوضع المعيار الذي ستُقاس به الشركات الخاصة بصورة متزايدة.
لماذا لا يستطيع القطاع الخاص معاملة هذا كمشكلة خاصة بالقطاع العام
تدفع عدة ديناميكيات منطقَ امتثال المرسوم 26-07 إلى القطاع الخاص، رغم أن المرسوم يستهدف صراحةً المؤسسات العامة.
تعرّض الموردين والمقاولين. الشركات التي تقدم خدمات تكنولوجيا المعلومات أو الحوسبة السحابية المُدارة أو الشبكات أو تطوير البرمجيات للمؤسسات العامة ستُطالَب باستيفاء معايير الأمن الخاصة بعملائها من القطاع العام. يُوثّق متتبع Digital Policy Alert التنظيمي الجزائري أن وتيرة التنظيم الرقمي الجزائري تسارعت بشكل حاد منذ أواخر 2025، مع ثلاثة أدوات أمن سيبراني رئيسية صدرت في ثلاثة أشهر. حين تُجري وحدة الأمن السيبراني في وزارة ما مراجعةً للموردين، ستُوجَّه هذه المراجعة بالمتطلبات التنظيمية للمرسوم — مما يعني أن موردي القطاع الخاص يحتاجون لمواءمة ضوابطهم مع هذه المتطلبات.
إشارة تعيين المسؤول عن أمن الأنظمة. اشترطت الجزائر أن تُعيَّن في أنظمة المعلومات الحكومية مسؤول أمن أنظمة المعلومات (RSSI) منذ المرسوم 20-05. كما أكّده متابعة الوضع التنظيمي الجزائري في مجال الأمن السيبراني، يُوسّع المرسوم 26-07 هذا المنطق إلى الحوكمة على مستوى الوحدة داخل الجهات العامة. المؤسسات الخاصة العاملة في القطاعات المُنظَّمة — بنوك وطاقة واتصالات — تواجه ضغطاً اتجاهياً ذاته من منظّميها القطاعيين.
تخلق استراتيجية 2025-2029 توقعات تدقيق. تركّز الاستراتيجية الوطنية للأمن السيبراني المُقرَّة بالمرسوم 25-321 صراحةً على حماية البنى التحتية الرقمية للدولة. مع تقدّم التطبيق، ستخضع الجهات الخاصة المتشابكة مع أنظمة الدولة لتدقيق عناية واجبة متصاعد، لا سيما حول الاستعداد لإبلاغ الحوادث وهيكل ضوابط الوصول.
إعلان
ما يجب على مسؤولي الامتثال في المؤسسات الجزائرية فعله
1. رسم خريطة نقاط اتصالكم المؤسسية في مواجهة نطاق المرسوم
الخطوة الأولى ليست إنشاء وحدة أمن سيبراني — بل فهم ما إذا كانت مؤسستكم وكيف ترتبط بالمؤسسات العامة التي يغطيها المرسوم. أجروا جرداً سريعاً لعقود القطاع العام والبنى التحتية المشتركة واتفاقيات تبادل البيانات والبرامج المشتركة. لكل نقطة تماس، وثّقوا الضوابط الأمنية التي تُوفّرونها حالياً ومن هو المسؤول عنها وما إذا كانت ستصمد أمام مراجعة من وحدة أمن سيبراني لمؤسسة عامة حديثة التكوين. يستغرق هذا التمرين عادةً أسبوعَين إلى أربعة أسابيع وهو أساس كل إجراء لاحق.
2. مواءمة وظيفة الأمن الداخلية لديكم مع نموذج ANSSI التنظيمي
لا يفرض المرسوم هيكلاً وحيداً، لكنه يشترط مهاماً محددة ووضوحاً تنظيمياً. يجب على المؤسسات الخاصة قياس وظائفها الأمنية القائمة — سواء أكانت RSSI مستقلاً أم فريقاً لأمن المعلوماتية أم مركز عمليات أمن (SOC) مُستعاراً — مقابل النموذج الذي ستستخدمه ANSSI لتقييم امتثال المؤسسات العامة. يعني هذا كحدٍّ أدنى توثيق: من المسؤول عن قرارات الأمن وما هي سلسلة إبلاغ الحوادث وكيف تُدار مخاطر الأطراف الثالثة وما هو مسار التصعيد للحوادث الحرجة. حيثما توجد فجوات، تمثّل الأشهر الاثنا عشر القادمة نافذة سدّها قبل أن تتبلور توقعات التدقيق.
3. إرساء علاقة إبلاغ مع DZ-CERT قبل أن يفرضها حادث
DZ-CERT هو مركز الاستجابة التشغيلي للحوادث في الجزائر. المؤسسات التي تنتظر اختراقاً لإرساء علاقة مع DZ-CERT تخسر ميزتَين: الوصول إلى تبادل المعلومات الاستخباراتية الذي يأتي من التفاعل الاستباقي، والمصداقية الناتجة عن إثبات الاستعداد. يجب على المؤسسات تحديد وتوثيق قناة التواصل مع DZ-CERT والاشتراك في التنبيهات المتاحة وتجربة إجراءات تصعيد الحوادث الداخلية في مواجهة سيناريو محاكاة ينتهي بإشعار DZ-CERT. هذه ليست خطوة بيروقراطية — إنها المكافئ التشغيلي لمعرفة موقع مخرج الطوارئ قبل صوت الإنذار.
4. ترقية حوكمة مخاطر الموردين لتتوافق مع المعيار الجديد
يخلق المرسوم 26-07 معياراً أمنياً للمؤسسات العامة سيتتالى عبر عمليات الشراء. يجب على المؤسسات الجزائرية الراغبة في الاحتفاظ بعقود القطاع العام أو الفوز بعقود جديدة مراجعة أحكام الأمن في عقود مورديها الحالية باستباقية. تحديداً: هل تمتلك موردوكم التقنيون الرئيسيون خططاً موثّقة للاستجابة للحوادث وهل ضوابط الوصول قابلة للتدقيق وهل يحملون شهادات أمن تُرضي مراجعة موردي وحدة أمن سيبراني مؤسسية عامة؟ الفجوات هنا ليست نظرية — إنها بنود إنهاء عقود مستقبلية في انتظار التبلور.
الدرس الهيكلي
المرسوم 26-07 ليس حدثاً تنظيمياً معزولاً — بل هو الذراع التشغيلية لحزمة ثلاثية مراسيم (25-298 و25-321 و26-07) صدرت بين نوفمبر 2025 ويناير 2026. الجزائر تبني هيكلاً مؤسسياً للأمن السيبراني بسرعة. سيبني القطاع العام الوحدات؛ وسيُقاس القطاع الخاص بمقياسها.
المؤسسات التي تتعامل مع هذا كمشكلة حصرية للقطاع العام ستجد نفسها على الجانب الخاطئ من معايير المشتريات في غضون 12 إلى 18 شهراً. تلك التي تتخذ من المرسوم دافعاً لإضفاء الطابع الرسمي على حوكمة أمنها — مساءلة RSSI وعلاقة DZ-CERT وضوابط الموردين — ستمتلك موقف امتثال يخدمها جيداً بعد هذه اللائحة المحددة.
النمط ليس حصراً على الجزائر. أنشأت DGSSI المغربية وANSSi التونسية وأطر CSIRT في جنوب أفريقيا ضغط امتثال على القطاع الخاص بالآلية ذاتها: فرض الولاية على القطاع العام ثم استخدام قانون الشراء والتعاقد لجلب الجهات الخاصة إلى الانسجام. الجزائر تسير في هذا المسار عن عمد، والوتيرة المتسارعة لإنتاجها التشريعي الأخير — ثلاثة أدوات رئيسية في ثلاثة أشهر — تُشير إلى أن الإرادة السياسية وراء استراتيجية 2025-2029 حقيقية ومموَّلة.
الأسئلة الشائعة
هل يفرض المرسوم 26-07 التزامات مباشرة على الشركات الخاصة؟
يستهدف المرسوم صراحةً المؤسسات العامة، مُلزِماً إياها بإنشاء وحدات أمن سيبراني مخصصة. غير أن الشركات الخاصة التي تُوفّر خدمات تكنولوجيا المعلومات أو البنى التحتية المُدارة أو البرمجيات للمؤسسات العامة ستواجه التزامات غير مباشرة مع تطبيق عملائها من القطاع العام للمعايير التنظيمية للمرسوم على مراجعات الموردين ومعايير الشراء — مما يجعل الامتثال الاستباقي ضرورة تجارية.
ما الفرق بين ANSSI وASSI في منظومة الأمن السيبراني الجزائري؟
تضم المنظومة الوطنية للأمن السيبراني الجزائرية ANSSI (الوكالة الوطنية لأمن أنظمة المعلومات)، التي تُنسّق تطبيق الاستراتيجية الوطنية، وASSI (Agence de la Sécurité des Systèmes d’Information)، التي تعمل تحت وزارة الدفاع الوطني. يتولى DZ-CERT المستضاف في CERIST الاستجابة التشغيلية للحوادث. يجب على المؤسسات توجيه إشعارات الحوادث وطلبات تبادل المعلومات إلى DZ-CERT، ومتابعة التوجيهات الاستراتيجية من ANSSI.
ما الحد الأدنى الذي يجب أن تفعله الشركة الخاصة للتوافق مع توجه الامتثال للمرسوم 26-07؟
ثلاثة إجراءات تُغطّي الخط الأساسي الجوهري: تعيين شخص مُسمَّى (مسؤول أمن أنظمة أو ما يعادله) بمساءلة موثّقة في الأمن السيبراني؛ إرساء واختبار سلسلة إبلاغ الحوادث التي تنتهي بقدرة إشعار DZ-CERT؛ ومراجعة عقود الموردين لأحكام الأمن التي ستصمد أمام مراجعة مؤسسة عامة. هذه الخطوات تتوافق مع المنطق التنظيمي للمرسوم دون استلزام هيكل وحدة مؤسسة عامة كامل.
المصادر والقراءات الإضافية
🔗 مقالات ذات صلة
المرسوم 25-320: حوكمة البيانات الوطنية للتصنيف والأمن في الجزائر
الأمن السيبراني الصحي في الجزائر: ASSI والمرسوم 26-07 يحميان المستشفيات
المرسوم 26-07 بعد ستة أشهر: كيف تنشئ الهيئات العمومية الجزائرية وحدات الأمن السيبراني في 2026
القانون الجزائري 25-11: قاعدة الإشعار في 5 أيام التي تغيّر كل شيء
