ينص القانون 20-05 المتعلق بالأمن السيبراني، ولا سيما في المادة 17 منه، على أن يضع كل مسؤول عن بنية تحتية ذات أهمية حيوية قائمة بنظم المعلومات الحساسة الخاصة بها ويحيلها على السلطة الوطنية. ينص المرسوم رقم 406-21-2 ، المؤرخ في 04 ذي الحجة 1442 ( 15 يوليو 2021 ) لتطبيق القانون رقم 20-05 المتعلق بالأمن السيبراني، في المادتين 10 و 11 ، على أن تقوم الهيئات والبنيات التحتية ذات الأهمية الحيوية بتصنيف نظم معلوماتها بناء على تحليل لتأثيرات الحوادث التي من المحتمل أن تمس بسرية أو بتوافر أو بتمامية أصول المعلومات، التي تشمل جميع الموارد كالمعدات والبرمجيات والمعطيات والإجراءات، المكونة لنظم المعلومات المذكورة.
يجب أن يعكس مستوى تأثيرات الحوادث المذكورة أهمية العواقب التي يمكن أن تؤدي إلى عدم قدرة الهيئة أو البنية التحتية ذات الأهمية الحيوية على:
ويجرى هذا التحليل وفقا لسلم تحليل الاثار الوارد في المرسوم المذكور أعلاه. حسب المادة 12 من المرسوم السالف الذكر، تعتبر نظم المعلومات التي تنتمي إلى « الفئة أ » أو « الفئة ب » نظم معلومات حساسة.
حالما يتم تحديد قائمة نظم المعلومات الحساسة يقوم المسؤول عن الهيئة أو البنية التحتية ذات الأهمية الحيوية بملء الاستمارة المرفقة ويحيلها بشكل آمن على المديرية العامة لأمن نظم المعلومات. تجدر الإشارة إلى أن قوائم البنيات التحتية ذات الأهمية الحيوية ونظم المعلومات الحساسة بالإضافة إلى استمارات الإعلان تبقى سرية. بالإضافة إلى ذلك، ووفقا للمرسوم السالف الذكر تراجع كل هيئة أو بنية تحتية ذات أهمية حيوية تصنيف أصولها المعلوماتية ونظم معلوماتها مرة واحدة على الأقل كل ثلاث ( 03 ) سنوات، وكلما دعت الضرورة إلى ذلك.
وتهدف هذه المصادقة إلى توعية مسؤولي الهيئات والبنيات التحتية ذات الأهمية الحيوية بالمخاطر المرتبطة بتشغيل نظم معلوماتهم الحساسة. هذا النهج يؤدي إلى قرار يتخذه المسؤول عن الهيئة أو البنية التحتية ذات الأهمية الحيوية. يشكل هذا القرار إجراءا رسميا يتم بموجبه:
الإجراء الواجب اتباعه للموافقة على نظام معلومات حساس لبنية تحتية ذات أهمية حيوية وكذلك شكل ومضمون قرار المصادقة مفصل في دليل المصادقة على نظم المعلومات الحساسة..
DGSSI2024 All rights reserved
