تخطَّ إلى المحتوى الرئيسي
النتيجة · أمن سيبراني جاهز للجهة التنظيمية

Pass the NCA assessment. The first time.

The NCA Essential Cybersecurity Controls have moved from guidance to enforcement. Saudi government entities, regulated banks, telcos, and critical infrastructure are being assessed — and the gap between operating to the standard and being able to prove it is what most teams underestimate. We close that gap.

0 ضوابط ECC مُغطّاة
جاهز للجهة التنظيمية حزمة أدلة عند التسليم
صفر ملاحظات معالجة حتى الآن
// 01 · لماذا يهم هذا الآن

المشكلة التي نحلّها.

Proving it to the auditor is <em>another problem entirely</em>.

تغطي ضوابط الأمن السيبراني الأساسية الصادرة عن NCA 47 ضابطًا موزّعة على خمسة مجالات. ومعظم فرق الأمن لديها تطبيقات قائمة لغالبية هذه الضوابط. لكن ما يفتقر إليه معظمها، وما يُعطّل تعاقدات رؤية 2030 كل ربع سنة، هو سلسلة الأدلة التي تُمكّن الجهة التنظيمية من التحقق منها دون أي لبس.

المعيار لا يسأل عمّا إذا كنت تُشفّر البيانات. بل يطلب إثباتًا للسياسة، والتنفيذ، ونتائج الاختبار، ومراجعات الوصول، وتدريبات الاستجابة للحوادث. ثمانية عناصر يجب توثيقها لكل ضابط. وأكثر من أربعمائة مُستند عبر الإطار بأكمله. وجهة تنظيمية لن تقبل عبارة «نحن نعمل على ذلك».

47 ECC controls in scope Across governance, defence, resilience, third-party, and ICS — every one needs evidence.
80% Cite evidence as the bottleneck Regulated entities self-reporting that producing the evidence pack — not the controls themselves — delays submission.
1 Finding can stall a contract A single material finding on first submission can defer a Vision 2030 procurement cycle by quarters.
// 02 · ما ستحصل عليه

وضعية يمكنك إثباتها.

ليست مجرد ضوابط قائمة، بل وضع كامل وجاهز للتدقيق يُطابق كل متطلبات ECC.

PILLAR.01 100%

ECC control coverage

All 47 controls across the five ECC domains — governance, defence, resilience, third-party, and ICS — implemented and mapped.

PILLAR.02 Pack

Regulator-ready evidence

Control mapping, test results, runbooks, incident drills, and policy artefacts — assembled, indexed, ready to submit.

PILLAR.03 0

Remediation findings

Across every NAS-led ECC engagement to date, no material finding requested post-submission.

PILLAR.04 Quarterly

Re-assessment cadence

Compliance does not retire after submission. We bake quarterly re-assessment into the operating model.

0
ملاحظات معالجة، حتى الآن. عبر كل تعاقد ECC قادته ناس، لم تُصدر الجهة التنظيمية أي ملاحظة جوهرية بعد التقديم.
// سجل الإنجاز
// 03 · مجالات ECC الخمسة

خمسة مجالات. 47 ضابطًا. إطار واحد.

يقع كل ضابط من ضوابط NCA ECC ضمن أحد هذه المجالات الخمسة. ويجب أن تكون سلسلة الأدلة كاملة عبر كل واحد منها، فالتغطية الجزئية تُعادل انعدام التغطية في نظر الجهة التنظيمية.

// dom.01

الحوكمة

الاستراتيجية، والمخاطر، والسياسات، والملكية. هيكل المساءلة الذي يرتكز عليه باقي الإطار.

// dom.02

الدفاع

حماية الأصول والهوية والشبكة والتطبيقات والبيانات، أي الضوابط التقنية ذاتها.

// dom.03

المرونة

استمرارية الأعمال والنسخ الاحتياطي والتعافي من الكوارث. القدرة على تحمّل الصدمة والتعافي منها، مُثبتة عبر اختبارات تحويل فعلية.

// dom.04

الطرف الثالث

مزوّدو الخدمات السحابية، وموردو SaaS، وشركات التكامل. المخاطر لا تتوقف عند حدود مؤسستك، ولا كذلك الأدلة.

// dom.05

ICS

أنظمة التحكم الصناعي، وSCADA، وOT. تحصين متخصص للأحمال التي لا يمكن إعادة تشغيلها بسهولة.

// 04 · في الممارسة

كيف يبدو هذا عند التسليم.

يمر كل تعاقد ECC عبر المراحل الأربع نفسها، مُرتّبة بحيث تُلتقط الأدلة لحظة تنفيذ الضابط، لا أن تُعاد بناؤها بعد أسابيع. مدة التعاقد النموذجية 8-14 أسبوعًا حسب حجم الجهة ونضجها الحالي.

01 // التقاط

01 · Capture

  • Regulatory baseline
  • Control gap analysis
  • Maturity scoring
02 // التصميم

02 · Design

  • Architecture controls
  • Policy library
  • Operating model
03 // التوثيق

03 · Evidence

  • Control mapping
  • Test results
  • Runbooks & drills
04 // الاستدامة

04 · Sustain

  • Quarterly re-assessment
  • Regulatory-change tracking
  • Audit-cycle support

In Saudi banking we cannot afford a finding on first submission. NAS shipped the evidence pack ready for the regulator in week 12. That changed how we plan every audit cycle since.

Tier-1 Saudi bank · client name withheld · CISO
// 06 · الأسئلة الشائعة

أسئلة صريحة.

Q.01كم تستغرق مدة تعاقد جاهزية ECC؟

يستغرق التعاقد النموذجي 8-14 أسبوعًا حسب حجم الجهة ونضجها الحالي، مع تسليم مرحلي يُبقي جاهزية التدقيق مستمرة حتى في البرامج الأطول.

Q.02ما الذي تحتويه حزمة الأدلة بالتحديد؟

تعيين الضوابط لكل ضابط من ضوابط ECC الـ47، ومكتبة السياسات، ومستندات التنفيذ، ونتائج الاختبار، وسجلات تدريبات الاستجابة للحوادث، ومراجعات الوصول، والسرد الموجّه للجهة التنظيمية، مُجمَّعة ومُفهرسة وجاهزة للتقديم.

Q.03كيف تمنعون انحراف الامتثال بعد التقديم؟

إعادة التقييم ربع السنوية مُدمجة في نموذج التشغيل. نُعيد اختبار كل ضابط وفق وتيرته الخاصة، ونتتبع التغييرات التنظيمية، ونُحدّث حزمة الأدلة باستمرار حتى يبقى الوضع حاضرًا لا مجرد لقطة عابرة.

Q.04هل تغطون الأطر القطاعية الإضافية مثل SAMA SCF وNHA وPDPL؟

نعم. يُشكّل NCA ECC الأساس. وحيثما يتطلب العمل ذلك، نُضيف أطرًا قطاعية إضافية (SAMA SCF للخدمات المالية، وNHA للرعاية الصحية، وPDPL للبيانات الشخصية) دون إعادة بناء سلسلة الأدلة الأساسية.

Q.05ماذا عن ICS، المجال الخامس؟

يحصل ICS على مسار تقييم خاص به. فأنظمة التحكم الصناعي تتطلب تحصينًا متخصصًا، وتجزئة للشبكة، ومراقبة تُراعي طبيعة تقنية التشغيل OT، وتُغطى ضمن إطار الأدلة نفسه لكنها مُصمَّمة خصيصًا لواقع OT.

// 07 · تواصل

تريد مراجعة جاهزية؟

مراجعة مدتها 30 دقيقة لموقعك مقابل الضوابط الـ47، وما هو قائم، وما هو موثّق بالأدلة، وما الذي سيكون ملاحظة اليوم. لا شرائح، لا عرض مبيعات.