مصادقة المجلس الوزاري على المرسوم رقم 406-21-2 بتطبيق القانون رقم 20-05 المتعلق بالأمن السيبراني

صادق مجلس الوزراء برئاسة صاحب الجلالة نصره الله، القائد الأعلى ورئيس أركان الحرب العامة للقوات المسلحة الملكية، في 28 يونيو 2021، على مشروع المرسوم رقم 406-21-2 بتطبيق أحكام القانون رقم 20-05 المتعلق بالأمن السيبراني. ويهدف هذا المرسوم أساسا إلى تحديد تدابير حماية نظم معلومات إدارات الدولة والهيئات والمؤسسات العامة وأي شخص اعتباري آخر خاضع للقانون العام، فضلا عن نظم معلومات البنيات التحتية ذات الأهمية الحيوية ومستغلي الشبكات العامة للمواصلات من القطاع الخاص. كما يحدد المرسوم معايير تأهيل متعهدي افتحاص أمن نظم المعلومات وكيفيات إجراء الإفتحاص ومعايير تأهيل مقدمي خدمات الأمن السيبراني.

وفي هذا السياق، تتمحور الأحكام الرئيسية للمرسوم حول النقاط التالية:

1 . هيئات حكامة الأمن السيبراني

يحدد هذا المرسوم الهيئات المسؤولة عن الأمن السيبراني، مكوناتها وإجراءات عملها، وهي كالتالي:

  •  السلطة الوطنية للأمن السيبراني: المنصوص عليها في القانون رقم 20-05 المتعلق بالأمن السيبراني، والمعهود إليها بتنفيذ استراتيجية الدولة في مجال الأمن السيبراني. وفقا للمرسوم، تعين إدارة الدفاع الوطني (المديرية العامة لأمن نظم المعلومات (DGSSI)) بوصفها السلطة الوطنية المعنية بالأمن السيبراني؛
  •  اللجنة الإستراتيجية للأمن السيبراني: أحدثت بموجب المادة 35 من القانون رقم 20-05، تتألف هذه اللجنة من مختلف القطاعات الحكومية والهيئات المعنية. ويجوز لها إنشاء أي لجنة تراها ضرورية لأداء مهامها، بما في ذلك لجنة إدارة الأزمات والأحداث السيبرانية الجسيمة. وهي مسؤولة عن وضع إطار يحدد مسؤوليات الأعضاء والتدابير المتعلقة بإدارة الأزمات وكيفيات الاتصال وتبادل المعلومات.
2 . تدابير حماية أمن نظم معلومات القطاع العام

يفوض المرسوم إلى السلطة الحكومية المسؤولة عن إدارة الدفاع الوطني مهمة تحديد التوجيهات الوطنية لأمن نظم المعلومات ووضع القواعد التنظيمية والتقنية الواجب احترامها وتطبيقها من طرف الهيئات (إدارات الدولة والجماعات الترابية والمؤسسات والمقاولات العمومية وكل شخص اعتباري آخر خاضع للقانون العام). وبالإضافة إلى ذلك، يحدد هذا النص إطارا عاما لتصنيف بيانات ونظم معلومات هذه الهيئات، استنادا إلى تحليل آثار الحوادث المحتملة والتي يمكن أن تؤثر على الاحتياجات الأمنية.

وبالإضافة إلى ذلك، تعكف المديرية العامة لأمن نظم المعلومات (DGSSI) على وضع القواعد الأمنية الواجب تطبيقها مع مراعاة مستويات التصنيف المختلفة لنظم المعلومات والبيانات. ويجب على كل هيئة أو بنية تحتية ذات أهمية حيوية أن تعين مسؤولا عن أمن نظم معلوماتها ليكون مسؤولا في المقام الأول عن تحديد وتحليل تحديات الأمن السيبراني والمخاطر التي تواجهها تلك الهيئة أو البنية التحتية ذات الأهمية الحيوية، وكذا تحديد أهداف الأمن السيبراني، والمساهمة في وضع سياسة أمن نظم المعلومات التابعة له، وتقديم تقارير منتظمة عن المخاطر والتهديدات ذات الصلة.

3 . المقتضيات الخاصة بالمتعهدين ومتعهدي افتحاص أمن نظم المعلومات ومقدمي خدمات الأمن السيبراني
  •  مقتضيات خاصة بالمتعهدين:

في إطار تنفيذ القواعد والأحكام الأمنية والتي حددها القانون على المتعهدين، بمن فيهم مستغلو الشبكات العامة للمواصلات، ومقدمو خدمات الإنترنت، ومقدمو خدمات الأمن السيبراني، ومقدمو الخدمات الرقمية، وناشرو منصات الإنترنت، يجب التقيد بتوجيهات السلطة الوطنية، ولا سيما تلك المتعلقة بالمحافظة على المعطيات التقنية اللازمة لتحديد أي حادث أمن سيبراني، وكذا اتخاذ التدابير الوقائية اللازمة للحفاظ على آثار التهديدات أو الجرائم التي تؤثر على نظم معلومات زبائنها وإبطال مفعولها.

وتحقيقا لهذه الغاية، فإن السلطة الوطنية مخولة لوضع أدوات تقنية على شبكات الاتصالات العامة وشبكات مقدمي خدمات الإنترنت حصرا بهدف الكشف عن الأحداث التي يحتمل أن تؤثر على أمن نظم معلومات الهيئات والبنيات التحتية ذات الأهمية الحيوية وزبائن المتعهدين.

  •  المقتضيات الخاصة بالمتعهدين:

ووفقا للقانون رقم 20-05، وكما تم التشديد عليه أعلاه، تخضع نظم المعلومات الحساسة للبنيات التحتية ذات الأهمية حيوية لإفتحاص نظم معلوماتها من طرف السلطة الوطنية أو متعهدي افتحاص أمن نظم المعلومات المؤهلين من قبلها. ويشمل هذا الإفتحاص مجالات التنظيم والهندسة والتطوير وشفرة المصدر واختبار الاقتحام والنظم الصناعية.

وفي هذا الإطار، حدد هذا النص شروط تأهيل متعهدي افتحاص أمن نظم المعلومات، وطرق إعداد ملفات طلب التأهيل وإيداعها لدى المديرية العامة لأمن نظم المعلومات. وتدعو هذه الإدارة كل متعهد افتحاص تقدم لطلب الحصول على التأهيل، إلى إجراء تقييم لخدماته من طرف أحد الكيانات المعتمدة لدى هذه الإدارة وفقا لمعايير تأهيل متعهدي افتحاص أمن نظم المعلومات الواجب إنجازها لهذا الغرض.

  •  المقتضيات الخاصة بمقدمي خدمات الأمن السيبراني:

من أجل تعزيز قطاع الأمن السيبراني الوطني، أدخل هذا المرسوم نظام تأهيل مقدمي خدمات الأمن السيبراني في مجالات رصد حوادث الأمن السيبراني أو مجال التحليل والتحقيق والمعالجة لحوادث الأمن السيبراني أو هما معا. وبالإضافة إلى ذلك، يحدد هذا النص معايير التأهيل أو الشروط الواجب استيفاؤها للحصول على هذا التأهيل، مثل توفر الخبرة والمؤهلات اللازمة لدى مقدم الطلب، والأدوات اللازمة لتشغيل وتدبير خدمات رصد وتحليل حوادث الأمن السيبراني.

 

Sa Majesté le Roi

للتبليغ عن المحتويات الرقمية الإجرامية أوالعنيفة، أو تلك التي تتضمن تحريضا على المساس بسلامة الأفراد والجماعات، أو تنطوي على إشادة بالإرهاب أوالتحريض عليه، أو تمس بحقوق وحريات الأطفال. يرجى استعمال منصة التبليغ الرقمي التالية  : www.e-blagh.ma  

DGSSI2024 All rights reserved