ما يشترطه المرسوم 26-07 فعليًا — ولماذا لا تستطيع الشركات الخاصة تجاهله
أصدرت الجزائر المرسوم 26-07 في يناير 2026 ردًا مباشرًا على موجة موثقة من الهجمات السيبرانية ضد المؤسسات العامة الجزائرية. استجابة المرسوم بنيوية لا إجرائية: يجب على كل مؤسسة عامة إنشاء وحدة أمن سيبراني بخط تقارير مستقل إلى رئيس المؤسسة، متجاوزًا مدير تقنية المعلومات. هذا الفصل في الصلاحية مقصود — في الحوادث التي تم تحليلها، كانت أقسام تقنية المعلومات مسؤولة في آنٍ واحد عن إدارة البنية التحتية وعن اكتشاف الاختراقات فيها، مما يخلق تضاربًا في المصالح.
أكدت TechAfricaNews نطاق الإطار: يشمل الإلزام جميع المؤسسات العامة — الحكومة المركزية، الإدارة على مستوى الولايات، المؤسسات العامة والهيئات شبه الحكومية. وحدة الأمن السيبراني ليست مجرد دور أمن تقنية معلومات مُعاد تسميته؛ بل يجب أن تكون كيانًا تنظيميًا متميزًا بموظفين مخصصين وميثاق موثق وبند ميزانية منفصل عن ميزانية تقنية المعلومات.
الانعكاس على القطاع الخاص تعاقدي حاليًا لا تشريعي. منذ دخول المرسوم 26-07 حيز التنفيذ، بات مشترو القطاع العام في وزارة المالية ووزارة الأشغال العامة وعدد من المؤسسات العامة يُدرجون متطلبات الوضعية الأمنية في قوائم التأهيل للموردين. تعكس هذه المتطلبات بنية القطاع العام: دليل على وظيفة أمنية مخصصة، وسياسة استجابة للحوادث موثقة، وإثبات التوافق التنظيمي ضمن الإطار القانوني القائم للأمن السيبراني في الجزائر.
بالنسبة للشركات الخاصة المورّدة للجهات العامة — وهو ما يصف شريحة كبيرة من القطاع الخاص الرسمي الجزائري — هذا ليس شرطًا مستقبليًا نظريًا. إنه حاجز نشط في عمليات الصفقات اليوم.
الفجوة الأمنية بين الإلزام العام والواقع الخاص
الوضعية الأمنية السيبرانية للقطاع الخاص الجزائري متشتتة. عدد صغير من المجموعات الخاصة الكبيرة (الاتصالات، المصارف، البناء) استثمرت في مراكز عمليات أمنية وموظفين معتمدين. أما غالبية القطاع الخاص الرسمي — مكاتب الدراسات، شركات اللوجستيك، بيوت البرمجيات، مكاتب الاستشارات — فتعمل مع متخصصي تقنية معلومات عامين يتولون مسؤوليات الأمن بصورة عرضية لا وظيفة أساسية.
البنية القانونية القائمة للأمن السيبراني في الجزائر — القانون 09-04، إلزام DZ-CERT، الاستراتيجية الوطنية للأمن السيبراني 2025-2029، والمرسوم 26-07 الآن — تُنشئ إطارًا يجب على الشركات الخاصة رسمه مقابل هياكلها الخاصة. يوثق دليل خبراء CMS Law الالتزامات التنظيمية الجزائرية للمشغلين الخاصين في القطاعات الحساسة. لكن الرسم التنظيمي وحده لا يُنشئ وظيفة أمنية — بل يُحدّد الفجوة.
إعلان
ما يجب على الشركات الخاصة الجزائرية بناؤه قبل وصول الإلزام
الإطار التالي مُعايَر لشركة خاصة تضم 50 إلى 500 موظف، بإيرادات كافية للتأهل لعقود عامة متوسطة، وبدون وظيفة أمن مخصصة قائمة.
1. تعيين مسؤول أمن مُسمَّى — حتى لو لم يكن CISO بدوام كامل
الاشتراط البنيوي للمرسوم 26-07 في القطاع العام — وظيفة أمنية بخط تقارير مباشر للقيادة المؤسسية — له مثيل في القطاع الخاص: يجب تسمية شخص مسؤول عن قرارات الأمن، ويجب أن يتمتع هذا الشخص بالوصول إلى الرئيس التنفيذي أو مجلس الإدارة، لا إلى مدير تقنية المعلومات فحسب. للشركات التي يقل عدد موظفيها عن 200، هذا غالبًا مدير تقنية معلومات أول مُمنوح إلزامًا موسعًا وتغيير رسمي في المسمى الوظيفي. للشركات بين 200 و500 موظف، يوفر توظيف vCISO بدوام جزئي (متاح من عدة شركات استشارات أمنية جزائرية بـ 80,000–150,000 دينار جزائري شهريًا) المساءلة التنظيمية دون تكلفة توظيف بدوام كامل. الشرط الحرج ليس عدد الرؤوس — بل فرد مُسمَّى يتضمن وصفه الوظيفي صراحةً إعداد تقارير مخاطر الأمن للقيادة.
2. توثيق ثلاث سياسات تأسيسية قبل أي طلب مراجعة
استبيانات أمن الصفقات العامة من الجهات الجزائرية تطلب بشكل متصاعد سياسات موثقة لا مجرد تأكيدات شفهية. السياسات الثلاث الأكثر ظهورًا في هذه الاستبيانات هي: سياسة التحكم في الوصول (من يملك صلاحيات المدير، كيفية توفير الحسابات وإلغاء توفيرها، كيفية إدارة الوصول المميز)، وسياسة الاستجابة للحوادث (من يقرر التصعيد، كيفية تصنيف الحوادث، كيف يبدو محفّز إخطار ANPDP لمدة 5 أيام لأحداث البيانات الشخصية بموجب القانون 25-11)، وسياسة تصنيف البيانات (ما البيانات التي تحتفظ بها الشركة، أيها حساس، كيف يتم تخزين البيانات الحساسة ونقلها). لا تحتاج هذه السياسات إلى أن تكون طويلة — الإصدارات الفعّالة تمتد من 3 إلى 6 صفحات لكل منها.
3. إجراء تقييم ثغرات خط الأساس على جميع الأنظمة المكشوفة
الشركة الخاصة التي لم تُقيّم رسميًا قط سطح هجومها لا تستطيع الاستجابة بشكل موثوق لاستبيان أمن مناقصة عامة. يُنتج تقييم ثغرات خط الأساس على الأصول المكشوفة على الإنترنت — موقع الشركة، بوابة البريد الإلكتروني، بوابة العملاء، نظام ERP إذا كانت له واجهة ويب — وثيقة تجيب على أكثر الأسئلة التقنية شيوعًا في مراجعات المناقصات وتحدد العناصر الأعلى خطورة للمعالجة. في الجزائر، يمكن إجراء هذا التقييم من قبل شركات معتمدة من DZ-CERT أو مستشارين أمنيين مستقلين. تكلفة التقييم المُحدَّد النطاق لشركة من 50 إلى 200 موظف تتراوح عادةً بين 200,000 و500,000 دينار جزائري.
4. التوافق مع توجيهات ASSI والتسجيل في تنبيهات DZ-CERT
تنشر ASSI (وكالة أمن أنظمة المعلومات) وDZ-CERT وثائق توجيهية وتنبيهات ثغرات مناسبة مباشرة للقطاع الخاص وإن لم تكن ملزمة قانونيًا لمشغلي البنية التحتية غير الحرجة. التسجيل في تنبيهات DZ-CERT (مجاني، عبر dz-cert.dz) يوفر تدفقًا استشاريًا حاليًا. مراجعة الأطر المنشورة من ASSI توفر المفردات والهيكل الذي يستخدمه مقيّمو المناقصات الجزائريون عند تقييم وضعيات أمن الموردين.
أين يقع هذا في مشهد الامتثال الجزائري 2026
المرسوم 26-07 هو آخر عنصر في بناء تنظيمي متعدد السنوات في مجال الأمن السيبراني الجزائري. حددت الاستراتيجية الوطنية للأمن السيبراني 2025-2029 الاتجاه الاستراتيجي. خلق القانون 25-11 (إخطار خرق البيانات) أول محفّز مسؤولية مباشرة للشركات الخاصة التي تتعامل مع البيانات الشخصية. وسّع المرسوم 25-320 (حوكمة البيانات لاستخدام السحابة في القطاع العام) الإطار ليشمل قرارات المناقصات. يُنشئ المرسوم 26-07 الآن النموذج التنظيمي — كيف يبدو نموذج الأمن المؤسسي الجزائري — الذي يستخدمه مشترو القطاع العام مرجعًا عند تقييم الموردين الخاصين.
الشركات التي تعامل هذا المسار التنظيمي كمطلب واحد متماسك — لا كثلاثة مشاريع تنظيمية منفصلة — ستبني الوظيفة الأمنية مرة واحدة وتُرضي متطلبات متعددة في آنٍ واحد. الامتثال السيبراني للقطاع الخاص الجزائري يتحول إلى شرط أساسي لعقود الصفقات العامة أسرع مما تنبأ به الإلزام القانوني وحده.
الأسئلة الشائعة
هل يُلزم المرسوم 26-07 قانونيًا الشركات الخاصة الجزائرية بإنشاء وحدات للأمن السيبراني؟
لا — يُطبَّق المرسوم 26-07 حاليًا على المؤسسات العامة فقط. غير أن التداعية على الصفقات العامة حقيقية: الهيئات التعاقدية في القطاع العام تُدرج متطلبات الوضعية الأمنية في أطر تأهيل الموردين التي تعكس بنية المرسوم. الشركات الخاصة التي لا تمتلك وظيفة أمنية موثقة تفشل بشكل متصاعد في هذه الفحوصات التأهيلية، حتى قبل أي توسيع قانوني للإلزام ليشمل القطاع الخاص.
ما الوظيفة الأمنية الأدنى القابلة للتطبيق لشركة خاصة جزائرية لا تمتلك فريق أمن حاليًا؟
الهيكل الأدنى القابل للتطبيق هو: مسؤول أمن مُسمَّى بصلاحية الوصول المباشر للرئيس التنفيذي، وثلاث سياسات موثقة (التحكم في الوصول، الاستجابة للحوادث، تصنيف البيانات)، وتقييم ثغرات خط الأساس مكتمل. للشركات التي يقل عدد موظفيها عن 200، يوفر توظيف vCISO بدوام جزئي بـ 80,000–150,000 دينار جزائري شهريًا المساءلة التنظيمية المطلوبة للتأهيل للصفقات دون تكلفة التوظيف بدوام كامل.
كيف يتفاعل المرسوم 26-07 مع قوانين الأمن السيبراني الجزائرية القائمة للشركات الخاصة؟
يضيف المرسوم 26-07 نموذجًا تنظيميًا إلى إطار قانوني قائم. خلق القانون 25-11 التزامات إخطار خرق البيانات (محفّز إخطار ANPDP لمدة 5 أيام) لجميع مراقبي البيانات، عامين وخاصين. يُنظّم المرسوم 25-320 حوكمة البيانات لخدمات السحابة. تحدد الاستراتيجية الوطنية للأمن السيبراني 2025-2029 الاتجاه. يوفر المرسوم 26-07 الآن نموذج المرجع لما يبدو عليه القيادة المؤسسية في الأمن السيبراني — نموذج يطبقه مشترو القطاع العام على تقييمات الموردين حتى حيث لا يصل الإلزام القانوني بعد.
—
المصادر والقراءات الإضافية
- الجزائر تأمر بوحدات للأمن السيبراني في القطاع العام وسط تصاعد الهجمات — EcoFinAgency
- الجزائر تعزز إطار الأمن السيبراني لحماية البنية التحتية الوطنية — TechAfricaNews
- نظرة عامة على أنظمة الأمن السيبراني في الجزائر — Generis Online
- دليل خبراء CMS حول حماية البيانات والأمن السيبراني — الجزائر — CMS Law
- تحليل الاستراتيجية الوطنية للأمن السيبراني 2025-2029 — AlgeriaTech
🔗 مقالات ذات صلة
المرسوم 26-07 بعد ستة أشهر: كيف تنشئ الهيئات العمومية الجزائرية وحدات الأمن السيبراني في 2026
القانون 25-10 في الجزائر: دليل الامتثال للبنوك والشركات التقنية المالية في 2026
المرسوم 26-07 في الجزائر: دليل الامتثال للأمن السيبراني للقطاع الخاص
التشفير ما بعد الكمومي: خارطة طريق الجزائر قبل أن يُقيّدك عام 2027
