Pass the NCA assessment. The first time.
The NCA Essential Cybersecurity Controls have moved from guidance to enforcement. Saudi government entities, regulated banks, telcos, and critical infrastructure are being assessed — and the gap between operating to the standard and being able to prove it is what most teams underestimate. We close that gap.
المشكلة التي نحلّها.
Proving it to the auditor is <em>another problem entirely</em>.
تغطي ضوابط الأمن السيبراني الأساسية الصادرة عن NCA 47 ضابطًا موزّعة على خمسة مجالات. ومعظم فرق الأمن لديها تطبيقات قائمة لغالبية هذه الضوابط. لكن ما يفتقر إليه معظمها، وما يُعطّل تعاقدات رؤية 2030 كل ربع سنة، هو سلسلة الأدلة التي تُمكّن الجهة التنظيمية من التحقق منها دون أي لبس.
المعيار لا يسأل عمّا إذا كنت تُشفّر البيانات. بل يطلب إثباتًا للسياسة، والتنفيذ، ونتائج الاختبار، ومراجعات الوصول، وتدريبات الاستجابة للحوادث. ثمانية عناصر يجب توثيقها لكل ضابط. وأكثر من أربعمائة مُستند عبر الإطار بأكمله. وجهة تنظيمية لن تقبل عبارة «نحن نعمل على ذلك».
وضعية يمكنك إثباتها.
ليست مجرد ضوابط قائمة، بل وضع كامل وجاهز للتدقيق يُطابق كل متطلبات ECC.
ECC control coverage
All 47 controls across the five ECC domains — governance, defence, resilience, third-party, and ICS — implemented and mapped.
Regulator-ready evidence
Control mapping, test results, runbooks, incident drills, and policy artefacts — assembled, indexed, ready to submit.
Remediation findings
Across every NAS-led ECC engagement to date, no material finding requested post-submission.
Re-assessment cadence
Compliance does not retire after submission. We bake quarterly re-assessment into the operating model.
خمسة مجالات. 47 ضابطًا. إطار واحد.
يقع كل ضابط من ضوابط NCA ECC ضمن أحد هذه المجالات الخمسة. ويجب أن تكون سلسلة الأدلة كاملة عبر كل واحد منها، فالتغطية الجزئية تُعادل انعدام التغطية في نظر الجهة التنظيمية.
الحوكمة
الاستراتيجية، والمخاطر، والسياسات، والملكية. هيكل المساءلة الذي يرتكز عليه باقي الإطار.
الدفاع
حماية الأصول والهوية والشبكة والتطبيقات والبيانات، أي الضوابط التقنية ذاتها.
المرونة
استمرارية الأعمال والنسخ الاحتياطي والتعافي من الكوارث. القدرة على تحمّل الصدمة والتعافي منها، مُثبتة عبر اختبارات تحويل فعلية.
الطرف الثالث
مزوّدو الخدمات السحابية، وموردو SaaS، وشركات التكامل. المخاطر لا تتوقف عند حدود مؤسستك، ولا كذلك الأدلة.
ICS
أنظمة التحكم الصناعي، وSCADA، وOT. تحصين متخصص للأحمال التي لا يمكن إعادة تشغيلها بسهولة.
كيف يبدو هذا عند التسليم.
يمر كل تعاقد ECC عبر المراحل الأربع نفسها، مُرتّبة بحيث تُلتقط الأدلة لحظة تنفيذ الضابط، لا أن تُعاد بناؤها بعد أسابيع. مدة التعاقد النموذجية 8-14 أسبوعًا حسب حجم الجهة ونضجها الحالي.
01 · Capture
- Regulatory baseline
- Control gap analysis
- Maturity scoring
02 · Design
- Architecture controls
- Policy library
- Operating model
03 · Evidence
- Control mapping
- Test results
- Runbooks & drills
04 · Sustain
- Quarterly re-assessment
- Regulatory-change tracking
- Audit-cycle support
In Saudi banking we cannot afford a finding on first submission. NAS shipped the evidence pack ready for the regulator in week 12. That changed how we plan every audit cycle since.
ثلاث خدمات. نتيجة واحدة مُسلَّمة.
هذه النتيجة مُركَّبة من خدماتنا. كل خدمة تُتقن شيئًا واحدًا، ومعًا تُحقق الوضعية أعلاه.
Infrastructure Services
Security baseline implementation — the technical controls that the ECC framework asks for evidence of.
مفتوح Infrastructure Services // service.02Consultation
Compliance & audit consulting — gap analysis, evidence packs, and the regulator-facing narrative.
مفتوح Consultation // service.03Compliance practice
The cross-cutting practice — frameworks, certifications, and the team that holds the regulator relationship.
مفتوح Compliance practiceأسئلة صريحة.
Q.01كم تستغرق مدة تعاقد جاهزية ECC؟
يستغرق التعاقد النموذجي 8-14 أسبوعًا حسب حجم الجهة ونضجها الحالي، مع تسليم مرحلي يُبقي جاهزية التدقيق مستمرة حتى في البرامج الأطول.
Q.02ما الذي تحتويه حزمة الأدلة بالتحديد؟
تعيين الضوابط لكل ضابط من ضوابط ECC الـ47، ومكتبة السياسات، ومستندات التنفيذ، ونتائج الاختبار، وسجلات تدريبات الاستجابة للحوادث، ومراجعات الوصول، والسرد الموجّه للجهة التنظيمية، مُجمَّعة ومُفهرسة وجاهزة للتقديم.
Q.03كيف تمنعون انحراف الامتثال بعد التقديم؟
إعادة التقييم ربع السنوية مُدمجة في نموذج التشغيل. نُعيد اختبار كل ضابط وفق وتيرته الخاصة، ونتتبع التغييرات التنظيمية، ونُحدّث حزمة الأدلة باستمرار حتى يبقى الوضع حاضرًا لا مجرد لقطة عابرة.
Q.04هل تغطون الأطر القطاعية الإضافية مثل SAMA SCF وNHA وPDPL؟
نعم. يُشكّل NCA ECC الأساس. وحيثما يتطلب العمل ذلك، نُضيف أطرًا قطاعية إضافية (SAMA SCF للخدمات المالية، وNHA للرعاية الصحية، وPDPL للبيانات الشخصية) دون إعادة بناء سلسلة الأدلة الأساسية.
Q.05ماذا عن ICS، المجال الخامس؟
يحصل ICS على مسار تقييم خاص به. فأنظمة التحكم الصناعي تتطلب تحصينًا متخصصًا، وتجزئة للشبكة، ومراقبة تُراعي طبيعة تقنية التشغيل OT، وتُغطى ضمن إطار الأدلة نفسه لكنها مُصمَّمة خصيصًا لواقع OT.
تريد مراجعة جاهزية؟
مراجعة مدتها 30 دقيقة لموقعك مقابل الضوابط الـ47، وما هو قائم، وما هو موثّق بالأدلة، وما الذي سيكون ملاحظة اليوم. لا شرائح، لا عرض مبيعات.