خريطة الجهات التنظيمية التقنية السعودية — صلاحيات SDAIA وNCA وCST وCITC وCMA، نطاق الاختصاص، والتقاطعات العملية.
هذا المحتوى لأغراض التوعية والتثقيف بالامتثال التنظيمي فقط، ولا يُشكّل استشارة قانونية. يُرجى الرجوع إلى محامٍ مرخّص للحصول على مشورة قانونية.
المملكة تمتلك عدة جهات تنظيمية متخصصة في التقنية — كل منها يملك ولاية واضحة لكن التقاطعات موجودة. المؤسسة التي تعالج بيانات شخصية وتستخدم حوسبة سحابية وتعمل في قطاع حاسم قد تخضع لـ SDAIA وNCA وCST معًا.
SDAIA — الهيئة السعودية للبيانات والذكاء الاصطناعي — ترتبط برئاسة مجلس الوزراء وتشرف على نظام PDPL وجميع مسائل حماية البيانات والذكاء الاصطناعي. ولايتها تشمل تحديد معايير كفاية الدول لنقل البيانات، وإصدار إرشادات تنفيذية، واستقبال الإبلاغات عن الاختراقات. الجهات الخاضعة لأي معالجة بيانات شخصية داخل المملكة تقع تحت نطاق SDAIA.
NCA — الهيئة الوطنية للأمن السيبراني — ترتبط مباشرة بالملك وتصدر الضوابط الملزمة للأمن السيبراني. ولاية NCA تشمل ECC لجميع الجهات الحكومية والقطاع الخاص الحرج، وضوابط CCC للحوسبة السحابية، وCSCC للأنظمة الحساسة، وTCC للعمل عن بُعد. NCA تدير مركز CERT-SA وتستقبل الإبلاغ عن الحوادث الأمنية.
المؤسسة التي تعالج بيانات شخصية وتستخدم سحابة وتعمل في قطاع حاسم قد تخضع لثلاث جهات تنظيمية أو أكثر — التنسيق بينها مفتاح الامتثال الفعّال.
CST — هيئة الاتصالات والفضاء والتقنية — ناشئة من دمج هيئة الاتصالات وتقنية المعلومات سابقًا مع قطاعات الفضاء والتقنية. تشرف CST على سياسات الحوسبة السحابية واستضافة البيانات وترخيص مزودي السحابة. متطلباتها تتقاطع مع NCA في أمن السحابة — الضوابط التقنية من NCA والسياسات والتراخيص من CST.
CITC — هيئة الاتصالات وتقنية المعلومات — تنظّم قطاع الاتصالات والإنترنت و spectrum. ولاية CITC تشمل ترخيص مزودي الخدمة ورقابة المحتوى والامتثال الفني. CITC وCST يتقاسمان صلاحيات في قطاع الاتصالات — التوزيع يتطور مع إعادة هيكلة الجهات.
CMA — هيئة السوق المالية — تنظّم الأسواق المالية والتجارة الإلكترونية في المنتجات المالية والتكنولوجيا المالية. ولاية CMA تشمل منصات الدفع والتأمين الإلكتروني والاستثمار الرقمي. بيئة CMA الرملية تسمح بتجربة حلول التكنولوجيا المالية ضمن حدود مراقبة.
التقاطعات العملية تظهر عند: معالجة البيانات الشخصية (SDAIA) مع أمن تخزينها (NCA) واستضافة السحابة (CST)؛ البنوك وشركات التأمين تخضع أيضًا لـ SAMA بضوابط أمن سيبراني مالية إضافية. المؤسسة الناضجة تحدد لكل جهة جهة اتصال داخلية وتنسّق برنامج الامتثال.
الإبلاغ عن الحوادث قد يُلزم جهات متعددة — اختراق بيانات شخصية يُبلّغ لـ SDAIA خلال 72 ساعة وربما لـ NCA إذا كان للجهة طبيعة حساسة. فهم ولاية كل جهة يمنع الإبلاغ الناقص أو الزائد.
المسؤوليات والنطاق لكل جهة
| الجهة | الولاية | ينطبق على |
|---|---|---|
| SDAIA | البيانات الشخصية والذكاء الاصطناعي | جميع المعالجين للبيانات الشخصية |
| NCA | الأمن السيبراني | الجهات الحكومية والبنية الحرجة |
| وزارة التجارة | التجارة الإلكترونية وحماية المستهلك | منصات التجارة الإلكترونية |
| CITC | الاتصالات والبيانات التقنية | مزودو الاتصالات والخدمات التقنية |
متى تخضع لـ SDAIA ومتى لـ NCA؟
اختصاص في حماية البيانات الشخصية وحوكمة الذكاء الاصطناعي.
اختصاص في ضوابط الأمن السيبراني للجهات الحكومية والبنية الحرجة.
الخلاصة:
قد تخضع مؤسستك لكليهما — PDPL عبر SDAIA وضوابط الأمن عبر NCA إن كانت من البنية الحرجة. التنسيق بين الامتثالين ضروري.
المعرفة مجانية — أدوات التنفيذ جاهزة للشراء
حزمة الامتثال لنظام حماية البيانات الشخصية (PDPL)
قائمة تحقق الضوابط الأساسية للأمن السيبراني (NCA ECC)
حزمة نظام إدارة الامتثال
الدليل الشامل
📖القانون التقني في السعودية: دليل شامل
خريطة الجهات التنظيمية التقنية السعودية — صلاحيات SDAIA وNCA وCST وCITC وCMA، نطاق الاختصاص، والتقاطعات العملية.
هذه المقالة مفيدة لقادة الأعمال والفرق التنفيذية العاملة في القانون التقني داخل السوق السعودي.
الخطوة التالية هي تحويل الأفكار إلى قائمة تنفيذية واضحة، ثم مقارنة الأولويات مع الموارد المتاحة والبدء بأعلى أثر.
رؤى عملية وتحديثات مهمة تصلك مباشرة إلى بريدك.
بالاشتراك توافق على استلام نشرتنا البريدية. يمكنك إلغاء الاشتراك في أي وقت.