[ After Header ] [ Desktop ]

[ After Header ] [ Desktop ]

[ after header ] [ Mobile ]

[ after header ] [ Mobile ]

حميد بحكاك يكتب: المغرب والأمن السيبراني الإطار التشريعي والمؤسساتي والاستراتيجي

 

د. حميد بحكاك*

مقدمة
يعتبر الأمن السيبراني قطاع استراتيجي في مجال حماية الرقمنة والفضاء الرقمي، وتسعى الدول في الوقت الحالي إلى إيلائه العناية الفائقة على غرار الأوجه الأخرى من الأمن الشامل، كالأمن الداخلي والخارجي، والأمن السياسي، والأمن العسكري، والأمن الغذائي، وكذلك لارتباط الأمن السيبراني بحماية البيانات والمعطيات بكل أنواعها شخصية وغير شخصية وحساسة واستراتيجية، وبنيات تحتية حيوية وتجهيزات وتطبيقات، في مؤسسات القطاع العام والخاص، والتي عليها مدار أنشطة الدولة و الحكومة ويتوقف عليها السير العادي لحياة الأفراد والمجتمعات والدول.
والأمن السيبراني في المغرب يهدف إلى تأمين البيئة الرقمية المرتبطة بإدارات الدولة والجماعات الترابية والمؤسسات والمقاولات العمومية وكل شخص اعتباري آخر خاضع للقانون العام.
فما هو الإطار التشريعي والمؤسساتي والاستراتيجي للأمن السيبراني ؟

أولا: الإطار المفاهيمي، في تعريف الأمن السيبراني

جاء في المادة 2 من قانون 20-05 التي تعرف الأمن السيبراني بأنه: “مجموعة من التدابير والإجراءات ومفاهيم الأمن وطرق إدارة المخاطر والأعمال والتكوينات وأفضل الممارسات والتكنولوجيات التي تسمح لنظام معلومات أن يقاوم أحداثا مرتبطة بالفضاء السيبراني، من شأنها أن تمس بتوافر وسلامة وسرية المعطيات المخزنة أو المعالجة أو المرسلة والخدمات ذات الصلة التي يقدمها هذا النظام أو تسمح بالولوج إليه.”

ثانيا: القياس العالمي للأمن السيبراني Global Cybersecurity Index

وضع الاتحاد الدولي للاتصالات UIT وسيلة لقياس الأمن السيبراني للدول الأعضاء في الاتحاد على المستوى العالمي أسماه “مؤشر الأمن السيبراني (Global Cybersecurity Index)” ويُشار له اختصارا (GCI) ويتم من خلاله وضع معايير لحالة الأمن السيبراني، ويحتسب هذا المؤشر ويُقيّم التزام البلدان بتطبيق معايير الأمن السيبراني، ويعد هذا المؤشر مرجعا معتمدا على الصعيد الدولي في هذا المجال يقيس التزام الدول ومستوى نضجها وفقا لثلاثة وثمانين مؤشرا (83) موزعة على خمس محاور رئيسية وهي:1التدابير القانونيّة، 2 التدابير التقنيّة ،3 التدابير التنظيميّة، 4تنمية القدرات، 5 التعاون، وترتب الدول وفقا لهذه المعايير يتم نشرها سنويا في “تقرير مؤشر الأمن السيبراني” يصدره الاتحاد الدولي للاتصالات 1.
وبالنسبة للمغرب و”وفقاً للتقرير الجديد لسنة 2024 الذي أصدره مؤخرًا الاتحاد الدولي للاتصالات (UIT)، فقد سجل تقدما على مستوى تحسين أمنه السيبراني، إذ أصبح مصنفا ضمن المجموعة الأولى (المستوى 1) إلى جانب 45 دولة أخرى. وتضم هذه المجموعة البلدان الرائدة التي أظهرت التزاماً واضحاً بقضايا الأمن السيبراني وفق المعايير الخمس.2

ثالثا: الإطار التشريعي

على المستوى الوطني:
يخضع الأمن السيبراني لمجموعة من النصوص القانونية والمراسيم التطبيقية والتنظيمية تشكل الإطار التشريعي وهي:
1) القانون رقم 20-05 المتعلق بالأمن السيبراني،
2) مرسوم رقم 406-21-2 صادر في 4 ذو الحجة 1442 (15 يوليو 2021) بتطبيق القانون رقم 20-05 المتعلق بالأمن السيبراني.
3) مرسوم رقم 509-11-2 صادر في 22 شوال 1432 (21 شتنبر 2011) المتمم للمرسوم رقم 673-82-2 الصادر في 28 ربيع الأول 1403 (13 يناير 1983) المتعلق بتنظيم إدارة الدفاع الوطني وإحداث المديرية العامة لأمن نظم المعلومات.
4) منشور رئيس الحكومة رقم 2/2023 الصادر في 12 يناير 2023 حول تطبيق التوجيهات الوطنية لأمن نظم المعلومات (بمنشور رئيس الحكومة رقم 2014/3).
وينص القانون رقم 20-05 المتعلق بالأمن السيبراني، على مجموعة من تدابير الأمان ذات الطبيعة التنظيمية والتقنية التي تهدف إلى تعزيز القدرات الوطنية في مجال الأمن السيبراني، وتنسيق جهود الوقاية والحماية من الهجمات والحوادث المتعلقة بالأمن السيبراني، ويحدد هذا القانون كما جاء في المادة 1:
– قواعد ومقتضيات الأمن المطبقة على نظم معلومات إدارات الدولة والجماعات الترابية والمؤسسات والمقاولات العمومية وكل شخص اعتباري آخر خاضع للقانون العام
– قواعد ومقتضيات الأمن المطبقة على البنيات التحتية ذات الأهمية الحيوية
– قواعد ومقتضيات الأمن المطبقة على مستغلي الشبكات العامة للمواصلات ومزودي خدمات الإنترنت ومقدمي خدمات الأمن السيبراني ومقدمي الخدمات الرقمية وناشري منصات الإنترنت،
– الإطار الوطني لحكامة الأمن السيبراني
ويتكون هذا القانون من 53 مادة موزعة على سـتة فصول وهي: الفصل الأول: أحكام عامة، الفصل الثاني: إجراءات حماية نظم المعلومات، الفصل الثالث: حكامة الأمن السيبراني، الفصل الرابع: التكوين والتحسيس والتعاون الفصل الخامس: معاينة العقوبات والمخالفات الفصل السادس: أحكام ختامية.

رابعا: التوجيهات الوطنية لأمن نظم المعلومات

بالإضافة إلى القانون والمرسوم التطبيقي، هناك التوجيهات الوطنية لأمن نظم المعلومات (Directive nationale de la sécurité des systèmes d’information (DNSSI))، التي صدرت سنة 2014 وحددها منشور رئيس الحكومة رقم 2014/3. وتهدف هذه التوجيهات إلى رفع وتنسيق مستوى حماية ونضج أمن نظم معلومات جميع الإدارات والمؤسسات العمومية، وكذا البنيات التحتية ذات الأهمية الحيوية، وبعد صدور القانون رقم 20-05 المتعلق بالأمن السيبراني، تم تحيين هذا المنشور وتعويضه بمنشور رئيس الحكومة رقم 2/2023 الصادر في 12 يناير 2023 حول تطبيق التوجيهات الوطنية لأمن نظم المعلومات.
وتشتمل التوجيهات الوطنية لأمن نظم المعلومات على المحاور والأهداف التالية:
– سياسة أمان نظم المعلومات؛
– تنظيم أمان نظم المعلومات؛
– أمان الموارد البشرية؛
– إدارة الأصول المعلوماتية؛
– التحكم في الوصول؛
– التشفير؛
– الأمان الفيزيائي والبيئي؛
– الأمان المرتبط بالتشغيل؛
– أمان الاتصالات؛
– الاستحواذ والتطوير وصيانة نظم المعلومات؛
– العلاقات مع الموردين؛
– إدارة حوادث الأمن السيبراني؛
– إدارة استمرارية النشاط؛
– المطابقة3

خامسا: الاتفاقيات الدولية للأمن السيبراني، اتفاقية مالابو

وعلى المستوى القاري انضمَّ المغرب سنة 2022 إلى اتفاقية الاتحاد الإفريقي بشأن أمن الفضاء الإلكتروني وحماية البيانات ذات الطابع الشخصي، والمعروفة أيضا باسم اتفاقية مالابو، التي اعتمدها رؤساء الدول والحكومات خلال الدورة العادية الثالثة والعشرين من مؤتمر الاتحاد الإفريقي في 27 يونيو 2014 في مالابو، بجمهورية غينيا الاستوائية، ودخلت هذه الاتفاقية حيز التنفيذ في الثامن من يونيو 2023، وصدقَّت عليها 15 دولة من أصل 55 دولة في الاتحاد الأفريقي.
وتتضمن هذه الاتفاقية ديباجة و38 مادة موزعة على أربعة فصول: 1 المعاملات الإلكترونية، 2 حماية البيانات الشخصية، 3 تعزيز الأمن السيبراني ومكافحة الجريمة السيبرانية، 4 أحكام ختامية4 .

سادسا: الإطار المؤسساتي وهيئات حكامة الأمن السيبراني 5

يتمثل الإطار المؤسساتي في الإدارة الوصية على الأمن السيبراني وهي إدارة الدفاع الوطني، ومجموعة من المديريات واللجان الفنية المتخصصة وهيآت الحكامة.
أ- المديرية العامة لأمن نظم المعلومات
هي السلطة الوطنية بأمن نظم المعلومات، والتي يعهد إليها بتنفيذ استراتيجية الدولة في مجال الأمن السيبراني، وتتولى علاوة على المهام الأخرى المسندة إليها بمقتضى القانون، مهام أخرى نذكر منها:
– تنسيق الأعمال المتعلقة بإعداد وتنفيذ استراتيجية الدولة في مجال الأمن السيبراني والسهر على ضمان تطبيق توجيهات اللجنة الاستراتيجية للأمن السيبراني ؛
– تحديد تدابير حماية نظم المعلومات والسهر على ضمان تطبيقها؛ تقديم اقتراحات إلى اللجنة الاستراتيجية للأمن السيبراني بخصوص تدابير التصدي للأزمات التي تمس أو تهدد أمن نظم معلومات الهيئات والبنيات التحتية ذات الأهمية الحيوية.
– القيام بأعمال المراقبة المنصوص عليها في هذا القانون؛
– تقديم المساعدة والنصائح إلى الهيئات والبنيات التحتية ذات الأهمية الحيوية قصد تعزيز أمن نظم معلوماتها:
– مساعدة ومواكبة الهيئات والبنيات التحتية ذات الأهمية الحيوية لوضع أجهزة لرصد أحداث مست أو قد تمس بأمن نظم معلوماتها وكذا تنسيق إجراءات التصدي لهذه الأحداث:
– القيام بأنشطة البحث العلمي والتقني في مجال الأمن السيبراني وتشجيعها.
– ……

ب- اللجنة الاستراتيجية للأمن السيبراني

تم إحداث اللجنة الاستراتيجية للأمن السيبراني (المسماة سابقا باللجنة الإستراتيجية لأمن نظم المعلومات) بموجب القانون رقم 20 – 05، وهي السلطة المسؤولة عن:
• إعداد التوجهات الاستراتيجية للدولة في مجال الأمن السيبراني والسهر على ضمان صمود نظم معلومات الهيئات والبنى التحتية ذات الأهمية الحيوية والمتعهدين.
• إجراء تقييم سنوي لأنشطة المديرية العامة لأمن نظم المعلومات.
• تقييم عمل اللجنة الوطنية لإدارة الأزمات والأحداث السيبرانية الجسيمة
• حصر نطاق افتحاصات أمن نظم المعلومات التي تنجزها المديرية العامة لأمن نظم المعلومات.
• تشجيع البحث والتطوير في مجال الأمن السيبراني.
• تشجيع برامج وأنشطة التحسيس وتعزيز القدرات في مجال الأمن السيبراني لفائدة الهيئات والبنيات التحتية ذات الأهمية الحيوية.
• إبداء الرأي في مشاريع القوانين والنصوص التنظيمية المتعلقة بمجال الأمن السيبراني.

ج- لجنة إدارة الأزمات والأحداث السيبرانية الجسيمة
تم إحداث هذه اللجنة لدى اللجنة الاستراتيجية للأمن السيبراني، وهي مكلفة بضمان تدخل منسق في مجال الوقاية وتدبير الأزمات على إثر وقوع حادث أو حوادث أمن سيبرانية.

سابعا: الإطار الاستراتيجي

أعدت المديرية العامة لأمن نظم المعلومات الاستراتيجية الوطنية للأمن السيبراني في أفق سنة 2030، والتي تقوم على أربعة محاور
1) تقييم المخاطر بالنسبة لنظم المعلومات الخاصة باﻹدارات والمؤسسات الحكومية والبنى التحتية ذات اﻷهمية الحيوية
2) حماية وتأمين نظم معلومات اﻹدارات والمؤسسات الحكومية والبنى التحتية ذات اﻷهمية الحيوية
3) تعزيز أسس أمن نظم المعلومات
4) تعزيز التعاون الوطني والدولي
بالإضافة إلى المحاور الأربعة تضم الاستراتيجية، 11 هدفا استراتيجيا و 26 مبادرة، و60 إجراء 6.

الخلاصة
إن الرقمنة المتسارعة المرتبطة بتعميم استخدام الوسائل الحاسوبية توفر أرضًا خصبة للجريمة المعلوماتية والأنشطة الخطرة، وبالتالي يشكل الأمن السيبراني رهان استراتيجي لحماية الفضاء الإلكتروني، وإنجاح التحول الرقمي الذي انخرط فيه المغرب ضمن أوراشه الاستراتيجية الكبرى، وحماية بياناته وبنياته التحتية ذات الأهمية الحيوية والحرجة، وركيزة أساسية لتطوير الثقة الرقمية والخدمات الرقمية والاقتصاد الرقمي، كما يشكل جزءا من الأمن القومي للدول في عالم تهدده المخاطر الرقمية، وتزايد الهجمات الإلكترونية التي تتمكن من استغلال ثغرات نظم المعلومات وتعطيل عملها، والتي تجسد الجيل الجديد من الحروب، وهي الحروب السيبرانية والهجمات السيبرانية، والتي تشكل قطيعة مع الحروب الكلاسيكية، وما حدث ويحدث في حرب أوكرانيا وغزة (استعمال الذكاء الاصطناعي في استهداف المدنيين) ولبنان (تفخيخ الهواتف) أمثلة واضحة لدخول أسلحة جديدة ومتطورة وخطيرة إلى ساحة المعركة، يلعب فيها الذكاء الاصطناعي والمسيّرات واختراق نظم المعلومات والاتصالات دورا حاسما في كسب المعركة عسكريا على المستوى التكتيكي والاستراتيجي.

*باحث في القانون الدستوري وعلم السياسة

المراجع:

1 Global Cybersecurity, Index 2024 ;5th Edition
https://www.itu.int/en/ITU-D/Cybersecurity/Documents/GCIv5/2401416_1b_Global-Cybersecurity-Index-E.pdf
2 تمكّن المغرب من تحسين تصنيفه في المؤشر العالمي للأمن السيبراني الذي أصدره مؤخرًا الاتحاد الدولي للاتصالات
https://www.dgssi.gov.ma/ar/actualites/tmkwn-almghrb-mn-thsyn-tsnyfh-fy-almwshr-alalmy-llamn-alsybrany-aldhy-asdrh-mwkhrana 7 octobre 2024

3 Directive nationale de la sécurité des systèmes d’information (DNSSI) version 2-2023 https://www.dgssi.gov.ma/index.php/ar/publications/altwjyhat-alwtnyt-lamn-nzm-almlwmat
4 قراءة في اتفاقية الاتحاد الإفريقي حول الأمن السيبراني وحماية المعطيات ذات الطابع الشخصي لسنة 2014.
https://www.asjp.cerist.dz/en/article/175553
5- هيئات الحكامة
https://www.dgssi.gov.ma/index.php/ar/presentation#organes-de-gouvernance
6- الإستراتيجية الوطنية للأمن السيبراني
https://www.dgssi.gov.ma/index.php/ar/presentation

شاهد أيضا
شارك برأيك

لن يتم نشر عنوان بريدك الإلكتروني.