الخدماتالتقييمالمصادرمن نحنتواصل معنا
EN
← المصادر
وضوح تنظيمي

NCA ECC-2:2024: 108 ضابطاً يجب أن يستوفيها مزود الذكاء الاصطناعي الخاص بك

المنظمات السعودية مسؤولة عن امتثال موردّيها لضوابط NCA ECC-2:2024. نستعرض 108 ضوابط وما تعنيها لمشتريات الذكاء الاصطناعي.

14 April 2026

ما هو ECC-2:2024 ومن يسري عليه؟

يُعدّ إطار الضوابط الأساسية للأمن السيبراني، الإصدار الثاني (ECC-2:2024) الصادر عن الهيئة الوطنية للأمن السيبراني، إطاراً إلزامياً يسري على جميع الجهات الحكومية ومشغّلي البنية التحتية الحيوية الوطنية في المملكة العربية السعودية، مع تداعيات بالغة الأهمية على أي منظمة في القطاع الخاص تعالج بيانات لحساب تلك الجهات أو بالاتصال بها. ويحلّ هذا الإطار محل الإصدار الأول ECC-1:2018، ويُدرج 108 ضوابط موزعة على خمسة مجالات، تضمّنت إضافات تمس مباشرةً أنظمة الذكاء الاصطناعي والموردين الذين يوفرونها.

النقطة الجوهرية في سياق المشتريات هي الآتية: تُحمِّل الهيئة الوطنية للأمن السيبراني الجهةَ المستخدِمة — لا المورد — مسؤولية التحقق من امتثال الأنظمة التي يشغّلها المورد لمتطلبات ECC-2:2024. لا يُعفي التفويض التعاقدي للمورد الجهةَ المستخدِمة من التعرض التنظيمي. فإن أخفق مورد الذكاء الاصطناعي في استيفاء ضابط ما، فإن الفجوة الامتثالية تقع على عاتق منظمتك أنت.

المجالات الخمسة وصلتها بالذكاء الاصطناعي

ينظّم ECC-2:2024 ضوابطه الـ 108 في خمسة مجالات:

  • حوكمة الأمن السيبراني (المجال الأول): يشمل السياسات والأدوار وهياكل المساءلة. في سياق مشتريات الذكاء الاصطناعي، يعني ذلك ضرورة وجود سياسة أمنية للذكاء الاصطناعي، وتحديد مالكٍ لمخاطره، وإدراج أنظمة الذكاء الاصطناعي في سجل مخاطر الأمن السيبراني. ويجب على الموردين إثبات أن منتجاتهم من الذكاء الاصطناعي تندرج ضمن هيكل حوكمة أمنية موثق.
  • الدفاع السيبراني (المجال الثاني): أكبر المجالات، ويغطي إدارة الأصول، وإدارة الهوية والوصول، وحماية البيانات، والتشفير، والأمن المادي، وحماية البريد الإلكتروني والويب، وإدارة الثغرات. وتُفرز أنظمة الذكاء الاصطناعي مخاطر بعينها: فأوزان النماذج أصول تستوجب التصنيف والحماية، ووصول واجهات برمجة التطبيقات إلى خدمات الذكاء الاصطناعي يستلزم ضوابط وصول مميزة، وخطوط أنابيب بيانات التدريب تحتاج إلى ضوابط حماية مكافئة لأنظمة الإنتاج.
  • المرونة السيبرانية (المجال الثالث): يتناول استمرارية الأعمال والتعافي من الكوارث والنسخ الاحتياطي. يجب على موردي الذكاء الاصطناعي إثبات تغطية توافر النماذج وبنية الاستدلال وبيئات الضبط الدقيق بخطط مرونة تستوفي أهداف وقت التعافي ونقطة التعافي التي تحددها الهيئة.
  • الأمن السيبراني للجهات الخارجية والحوسبة السحابية (المجال الرابع): هذا المجال الأكثر صلةً مباشرةً بمشتريات الذكاء الاصطناعي. يُلزم المنظمات بتقييم الوضع الأمني للمورد قبل التعاقد، وإدراج اشتراطات الأمن السيبراني في العقود، ومراقبة الامتثال الجاري للمورد، وإجراء إعادة تقييم دورية. وبالنسبة لموردي الذكاء الاصطناعي تحديداً، يشمل ذلك تقييم أمان بنية التدريب، ومصدر بيانات التدريب، والضوابط المطبقة على تسجيل مخرجات النموذج.
  • أمن أنظمة التحكم الصناعي (المجال الخامس): ينطبق أساساً على بيئات التقنيات التشغيلية. يجب على المنظمات التي تستخدم الذكاء الاصطناعي لمراقبة العمليات الصناعية أو الصيانة التنبؤية أو إدارة البنية التحتية الحيوية تقييم ما إذا كانت تطبيقات الذكاء الاصطناعي لديها تقع ضمن نطاق ضوابط المجال الخامس.

الضوابط الخاصة بالذكاء الاصطناعي

يُدرج ECC-2:2024 ضوابط لم تكن موجودة في الإصدار الأول، وتعالج تحديداً المخاطر المرتبطة بأنظمة الذكاء الاصطناعي والتعلم الآلي. وتشمل هذه الضوابط اشتراطات تتعلق بـ:

  • تسجيل ومراقبة مدخلات ومخرجات نماذج الذكاء الاصطناعي لأغراض الكشف عن الشذوذ والتحقيق الجنائي
  • ضوابط الوصول على بيئات تدريب النماذج وخطوط أنابيب الضبط الدقيق وواجهات برمجة الاستدلال
  • توثيق سلسلة بيانات مجموعات التدريب، بما يشمل التحقق من المصدر والموافقة حيث تتضمن بيانات شخصية
  • اختبار المتانة في مواجهة الهجمات لأنظمة الذكاء الاصطناعي المنتشرة في سياقات ذات صلة أمنية أو قرارات عالية المخاطر
  • إجراءات الاستجابة للحوادث الخاصة بأنظمة الذكاء الاصطناعي المخترقة، بما في ذلك سيناريوهات تسميم النماذج وحقن التوجيهات

كيف تبدو عملية مشتريات ذكاء اصطناعي متوافقة؟

تستلزم عملية المشتريات التي تستوفي التزامات ECC-2:2024 أكثر من مجرد استبيان أمني للمورد. قبل إبرام العقد، يجب على الجهة المشترية:

  • الحصول على دليل على شهادة الأمن السيبراني للمورد أو تقييمه وفق ECC-2:2024 أو معادل مقبول
  • مراجعة بنية معالجة البيانات واستضافة النماذج لدى المورد للتحقق من تطبيق ضوابط المجالين الثاني والرابع
  • التأكد من تضمين العقد التزامات أمن سيبراني صريحة، وحقوق تدقيق، وجداول زمنية لإخطار الخرق، وأحكاماً لإعادة البيانات أو إتلافها
  • إجراء تقييم مخاطر يصنّف نظام الذكاء الاصطناعي وفق حساسية البيانات التي سيعالجها وأهمية القرارات التي سيؤثر فيها
  • تحديد دورات المراقبة وإعادة التقييم في برنامج إدارة الموردين

الإخفاقات الشائعة في العناية الواجبة لموردي الذكاء الاصطناعي

تكشف تجارب التقييم في المنظمات السعودية عن أوجه قصور متكررة:

  • معالجة إعداد موردي الذكاء الاصطناعي باعتبارها عملية مشتريات تقنية لا التزاماً بالامتثال للأمن السيبراني
  • قبول شهادات SOC 2 أو ISO 27001 دليلاً على الامتثال لـ ECC-2:2024 دون رسم خريطة تطابق بين مجموعتي الضوابط
  • الإخفاق في إدراج الضوابط الخاصة بالذكاء الاصطناعي في عقود الموردين، ولا سيما التسجيل وحقوق التدقيق وإخطار الحوادث
  • عدم إعادة تقييم امتثال المورد عند تحديث نماذجه أو بنيته التحتية أو المعالجين من الباطن
  • افتراض أن خدمات الذكاء الاصطناعي المستضافة على السحابة ترث وضع الامتثال لـ NCA الخاص بمزود السحابة، في حين أن ضوابط طبقة التطبيق تبقى مسؤولية المنظمة

الضوابط الـ 108 ليست سقفاً؛ إنها حد أدنى. ستحتاج المنظمات في القطاعات المنظمة أو تلك التي تعالج بيانات شخصية حساسة إلى تطبيق ضوابط إضافية تتجاوز الخط الأساسي لـ ECC-2:2024.

الخطوة التالية

افهم مستوى تعرضك على مستوى البنود.

احصل على تقييم جاهزية الذكاء الاصطناعي المجاني — 15 دقيقة، نتائج فورية، مرتبطة بنظام حماية البيانات وNCA ECC-2:2024 وهيئة البيانات.

ابدأ التقييم