ما الذي غيّره المرسوم 26-07 فعليًا
اتخذ إطار حوكمة الأمن السيبراني في الجزائر خطوة حاسمة بتاريخ 7 يناير 2026، بتوقيع المرسوم الرئاسي رقم 26-07 الذي نُشر في الجريدة الرسمية بتاريخ 21 يناير 2026. لا يُقدّم المرسوم الأمن السيبراني بوصفه مفهومًا جديدًا، بل يُشغّله تشغيلًا مؤسسيًا. يتوجب على كل مؤسسة عامة — من وزارات ومؤسسات عمومية — إنشاء وحدة مخصصة للأمن السيبراني ترتبط مباشرة برئيس المؤسسة، وتعمل باستقلالية تامة عن الإدارة التقنية لأنظمة المعلومات، وتتحمل المسؤولية الكاملة في رسم خرائط المخاطر والاستجابة للحوادث وتنسيق عمليات التدقيق.
هذا تغيير هيكلي وليس مذكرة سياسات. إن الفصل عن الإدارة التقنية مقصود: يحول دون إخضاع الأمن السيبراني للأولويات التشغيلية، وهو الوضع الذي أتاح تاريخيًا تراكم المخاطر دون رصد كافٍ. يجب أن تُجري الوحدة مراقبة مستمرة، وتُنفذ عمليات تدقيق دورية للأنظمة، وتُبادر فورًا بالإبلاغ عن الحوادث للسلطات الوطنية، ولا سيما ANSSI (الوكالة الوطنية لأمن أنظمة المعلومات) و DZ-CERT.
بالنسبة للمؤسسات الصغيرة والمتوسطة في القطاع الخاص — ولا سيما تلك التي تُقدّم خدمات أو بنية تحتية سحابية أو حلولًا برمجية للمؤسسات العامة — يُفرز المرسوم أثرًا انتشاريًا في متطلبات الامتثال. يشترط المرسوم 26-07 صراحةً على وحدات الأمن السيبراني العامة التحقق من أن عقود الاستعانة بمصادر خارجية تتضمن “بنودًا أمنية”، مما يعني أن أي مؤسسة صغيرة أو متوسطة لديها عميل حكومي ستواجه قريبًا متطلبات أمنية تعاقدية صريحة.
يُشكّل المرسوم 26-07 طبقة التنفيذ فوق منظومة قانونية قائمة تشمل: القانون رقم 09-04 (أغسطس 2009) الذي يُجرّم الوصول غير المصرح به بعقوبات سجن تتراوح بين شهرين وعشر سنوات وغرامات من DZD 5,000 إلى DZD 10,000,000؛ والمرسوم رقم 20-05 (يناير 2020) المُعدَّل بالمرسوم رقم 25-298 (نوفمبر 2025) الذي يُرسي الإطار الوطني لأمن أنظمة المعلومات.
المشهد التهديدي في أرقام
لم يصدر المرسوم في فراغ. صنّفت الجزائر في المرتبة 17 عالميًا بين الدول الأكثر استهدافًا في 2024، إذ تعرضت لأكثر من 70 مليون محاولة هجوم إلكتروني خلال العام. صُدَّ أكثر من 13 مليون محاولة تصيد احتيالي، ورُصد وإيقاف ما يقارب 750,000 مرفق بريد إلكتروني خبيث. وتُعدّ المؤسسات الصغيرة والمتوسطة نقطة دخول مفضلة للجهات المهاجمة تحديدًا لأنها تملك في الغالب ضوابط أضعف من المؤسسات العامة التي تخدمها.
على الصعيد العالمي، أفاد مركز شكاوى الجرائم الإلكترونية التابع لمكتب FBI بأن خسائر احتيال البريد الإلكتروني التجاري (BEC) بلغت 2.77 مليار دولار موزعة على 21,442 حادثة في عام 2024 وحده. وبات اختراق سلسلة التوريد — إذ تُشكّل جهة توريد أصغر نقطة الدخول إلى هدف أكثر تحصينًا — النموذجَ السائد للهجمات. المؤسسات العامة الجزائرية التي تُنشئ وحدات أمن سيبراني رصينة ستفرض المعيار ذاته على سلاسل توريدها الكاملة.
إعلان
ما يجب أن يفعله مسؤولو الامتثال في المؤسسات الصغيرة والمتوسطة الجزائرية الآن
1. رسم خريطة التعرض التعاقدي للمؤسسات العامة قبل بدء دورة التدقيق
الخطوة الأولى ليست تقنية — بل تعاقدية. ينبغي مراجعة كل عقد نشط مع مؤسسة عامة للبحث عن البنود الأمنية الموجودة ومقارنتها بما يشترطه المرسوم 26-07. إذا كانت عقودكم الحالية تفتقر إلى إجراءات إخطار الحوادث أو التزامات بالتحكم في الوصول أو بنود التعاون في التدقيق، فأنتم تخلّفون بالفعل عن المعيار الذي سيكون عملاؤكم العموميون ملزمين قريبًا بتطبيقه. ابنوا سجلًا داخليًا بجميع عقودكم مع القطاع العام، وضعوا علامة على تلك التي تفتقر إلى ملاحق أمنية، وابدأوا مبادرات إعادة التفاوض بصورة استباقية.
2. إنشاء وظيفة أمنية قابلة للتطبيق دون الحاجة إلى وحدة كاملة
ينطبق المرسوم 26-07 مباشرة على المؤسسات العامة وليس على المؤسسات الصغيرة والمتوسطة. لكن مبدأ انتشار البنود الأمنية يعني أن هذه المؤسسات يجب أن تُثبت قدرة مكافئة عندما يطلب ذلك العملاء العموميون. لمؤسسة من 10 إلى 50 موظفًا، تُعدّ وحدة مخصصة غير متناسبة — لكن وظيفة أمنية حدية ليست كذلك. عيّنوا مسؤول أمن موثقًا بولاية رسمية: مسؤول عن تقييم المخاطر وتصعيد الحوادث والتنسيق مع DZ-CERT. يمكن أن يجمع هذا الشخص المهمة مع مسؤوليات أخرى، لكن التعيين يجب أن يكون رسميًا ومكتوبًا ويُراجع سنويًا.
3. وضع إجراءات الإخطار بالحوادث التي تعكس معايير القطاع العام
يُلزم المرسوم المؤسساتِ العامةَ بالإبلاغ الفوري عن الحوادث لـ ANSSI و DZ-CERT. المؤسسات الصغيرة والمتوسطة في سلسلة التوريد العامة ستَرث هذا التوقع عبر عقودها. الوقت الآن مناسب لبناء إجراء إخطار بسيط بالحوادث: مسار تصعيد واضح من الكشف إلى المراجعة الداخلية إلى إخطار العميل إلى الإبلاغ لـ DZ-CERT. لا يحتاج الإجراء أن يكون معقدًا — بل موثقًا، ومُختبَرًا مرة واحدة على الأقل سنويًا، ومعروفًا لكل موظف يتعامل مع الأنظمة المرتبطة بالقطاع العام.
4. تنسيق البنود الأمنية في عقود التعاقد من الباطن في مراحل لاحقة
إذا كانت مؤسستكم تعتمد على متعاقدين من الباطن — مطورين برمجيين أو موفري استضافة سحابية أو شركات دعم تقني — فيجب أن تفرضوا عليهم متطلبات الأمن ذاتها التي سيفرضها عملاؤكم العموميون عليكم. هذه هي آلية عمل الامتثال في سلسلة التوريد. المتعاقد الضعيف هو مسؤوليتكم القانونية والسمعية إذا أصبح وصوله إلى أنظمتكم نقطة دخول لاختراق يمس مؤسسة عامة. راجعوا جميع عقود التعاقد من الباطن: معايير التحكم في الوصول، وإجراءات التعامل مع البيانات، والتزامات الإخطار بالحوادث، والتعاون في عمليات التدقيق.
5. التسجيل لدى DZ-CERT والانخراط في برامج التوعية لـ ANSSI
لا تعمل ANSSI و DZ-CERT كجهات تنفيذية فحسب — بل تُقدّمان أيضًا توجيهات وموارد تدريبية واستخباراتية للتهديدات للمؤسسات الخاصة. المؤسسات الصغيرة والمتوسطة التي تُسجّل بصورة استباقية لدى DZ-CERT تتلقى تنبيهات بالتهديدات المتعلقة بقطاعها ويمكنها الوصول إلى مساعدة تقنية خلال الحوادث. تشمل برامج التوعية لـ ANSSI ورش عمل لمسؤولي الامتثال في المؤسسات الصغيرة والمتوسطة تُغطي منهجية تقييم المخاطر ونماذج سياسات الأمان.
أين يقع هذا في منظومة الامتثال الجزائرية 2026
يُمثّل المرسوم 26-07 أحد ركائز بنية تنظيمية أشمل شيّدتها الجزائر في نحو أربعة عشر شهرًا. أرسى المرسوم الرئاسي رقم 25-320 (30 ديسمبر 2025) إطار حوكمة البيانات الوطني؛ وكرّس المرسوم رقم 25-321 الاستراتيجية الوطنية للأمن السيبراني 2025-2029 في اليوم ذاته؛ وعزّز المرسوم رقم 25-298 (نوفمبر 2025) إطار أمن أنظمة المعلومات. يُشغّل مرسوم يناير 2026 هذه المنظومة بأكملها عبر إلزام الهياكل المؤسسية اللازمة لتنفيذها.
بالنسبة للمؤسسات الصغيرة والمتوسطة الجزائرية، تُفرز هذه التقاطعات فرصة امتثال — لا أزمة فورية. المؤسسات العامة ما زالت تُنشئ وحداتها، وستحتاج ANSSI إلى وقت لصياغة التوجيهات التطبيقية القطاعية. لكن دورة التدقيق ستصل لا محالة، والمؤسسات التي ستؤدي أفضلًا هي تلك التي بدأت في بناء الوثائق والإجراءات والوضوح التعاقدي في 2026، بدلًا من انتظار أول رسالة تدقيق.
الأسئلة الشائعة
هل يُلزم المرسوم 26-07 المؤسسات الصغيرة والمتوسطة الجزائرية مباشرة بإنشاء وحدات أمن سيبراني؟
لا — يسري المرسوم مباشرة على المؤسسات العامة فقط. بيد أنه يُلزم هذه المؤسسات بتضمين بنود أمنية في جميع عقود الاستعانة بمصادر خارجية مع الموردين الخاصين. المؤسسات الصغيرة والمتوسطة الخادمة للقطاع العام ستواجه نتيجةً لذلك متطلبات أمنية تعاقدية، مما يجعل الاستباق الطوعي للامتثال ضرورة استراتيجية.
ما الجهة المنوط بها تطبيق الامتثال السيبراني على الشركات الخاصة في الجزائر؟
تُعدّ ANSSI و ARPCE الجهتين الرئيسيتين للتنفيذ، فيما يتولى DZ-CERT تنسيق الاستجابة للحوادث. بموجب القانون رقم 09-04 والقانون رقم 18-04، يواجه المشغلون الخاصون عقوبات إدارية تشمل تعليق التراخيص وغرامات جنائية تصل إلى DZD 10,000,000 للمخالفات الجسيمة.
ما الحد الأدنى من الترتيبات الأمنية اللازمة لمؤسسة صغيرة من 10 إلى 50 موظفًا؟
مسؤول أمن مُعيَّن بولاية موثقة، وتقييم موثق للمخاطر يشمل الأنظمة المستخدمة للعمل مع القطاع العام، وإجراء موثق للتصعيد والإخطار بالحوادث، وبنود أمنية رسمية في جميع عقود التعاقد من الباطن. ISO 27001 هدف مرحلي — لكن الإرشادات التقنية لـ ANSSI لتطبيق المرسوم 26-07 ستحدد على الأرجح المعيار الأدنى المقبول.
المصادر والقراءات الإضافية
- الجزائر تُلزم مؤسسات القطاع العام بإنشاء وحدات أمن سيبراني — وكالة Ecofin
- الجزائر تُعزز إطارها السيبراني لحماية البنية التحتية — TechAfrica News
- قوانين حماية البيانات والأمن السيبراني في الجزائر — دليل CMS الخبير
- الاستراتيجية الوطنية للأمن السيبراني 2025-2029 — AlgeriaTech
- نظرة عامة على أنظمة الأمن السيبراني في الجزائر — Generis Online
- مجلس SAMENA: أخبار الأمن السيبراني بالجزائر
🔗 مقالات ذات صلة
المرسوم 26-07 والاستجابة للحوادث: ما يجب على فرق القطاع الخاص الجزائري فعله في الـ 72 ساعة الأولى
شهادات ASIS في الأمن السيبراني: جسر المواهب نحو القطاع الخاص الجزائري في 2026
ISO 27001 للمؤسسات الصغيرة والمتوسطة الجزائرية: خارطة طريق للحصول على الشهادة في 2026
احتيال البريد الإلكتروني التجاري في الجزائر: كيف تحمي مؤسستك الصغيرة والمتوسطة في 2026
