خطر متزايد لا يحظى بالاهتمام الكافي

عند الحديث عن النزاعات والتوترات الدولية، ينصرف الاهتمام عادةً إلى آثارها المباشرة على الاقتصاد، مثل الطاقة والتجارة والأسواق المالية. غير أن هناك جانبًا آخر يتصاعد في الظل، دون أن يحظى بذات القدر من الانتباه، وهو الأمن السيبراني.

ففي الوقت الذي تُقاس فيه تداعيات النزاعات بمؤشرات اقتصادية ملموسة، تتشكل في الخلفية مخاطر رقمية أكثر تعقيدًا، تمتد آثارها إلى الأنظمة والبنية التحتية وسلاسل الإمداد. ولم تعد هذه المخاطر مجرد امتداد جانبي للأزمات، بل أصبحت جزءًا من طبيعتها، في ظل انتقال جزء من النزاعات إلى الفضاء الرقمي.

وفي هذا السياق، لم يعد الأمن السيبراني مسألة تقنية بحتة تُحال إلى الإدارات المختصة داخل المنشآت، بل أصبح عنصرًا متداخلًا في بنية المخاطر القانونية والتنظيمية، يفرض على الشركات إعادة النظر في مستوى جاهزيتها، ليس فقط من زاوية الحماية، وإنما من زاوية المسؤولية أيضًا. فالتساؤل الذي يطرح نفسه لا يتعلق بمدى احتمال وقوع الهجوم، بل بمدى إمكانية الاحتجاج به كسبب للإعفاء من المسؤولية.

‍

تصاعد التهديدات السيبرانية

من الناحية العملية، تميل بعض المنشآت إلى التعامل مع الهجمات السيبرانية، خصوصًا في أوقات النزاعات، بوصفها ظروفًا خارجة عن الإرادة، يمكن تكييفها ضمن نطاق القوة القاهرة. إلا أن هذا التكييف لا يُقبل على إطلاقه، إذ يظل مشروطًا بمدى توافر عنصرين أساسيين: عدم التوقع، واستحالة الدفع.

وهنا تحديدًا يظهر الفارق بين وقوع الهجوم، وبين تقييم أثره القانوني. فالهجوم، في ذاته، لا يكفي لإثبات الإعفاء، ما لم يقترن بإثبات أن المنشأة اتخذت ما يلزم من تدابير، وفقًا لما تفرضه المعايير التنظيمية المعمول بها. ومع تصاعد التهديدات، سواء في صورة هجمات فدية، أو استهداف لسلاسل الإمداد، أو تعطيل للخدمات، يتضح أن زيادة المخاطر لا تعني بالضرورة تخفيف المسؤولية، بل قد تؤدي إلى رفع مستوى العناية المطلوب.

الإطار التنظيمي في المملكة العربية السعودية

تزداد أهمية هذا التقييم في ضوء الإطار التنظيمي القائم في المملكة العربية السعودية، حيث تخضع جهات عديدة، لا سيما في القطاعات الحيوية، لضوابط صادرة عن الهيئة الوطنية للأمن السيبراني (NCA)، والتي تمثل الحد الأدنى المتوقع من ممارسات الحماية وإدارة المخاطر والاستجابة للحوادث.

ومن ثم، فإن الإخلال بهذه الضوابط لا يُعد مجرد قصور تقني، بل قد يُفسر باعتباره تقصيرًا تنظيميًا يُرتب آثارًا قانونية، ويُضعف من إمكانية التمسك بأي دفع بالإعفاء من المسؤولية. فالمعيار هنا لا يتوقف عند وجود التهديد، وإنما يمتد إلى كيفية الاستعداد له والتعامل معه.

التزامات حماية البيانات

لا يقف الأمر عند حدود حماية الأنظمة، بل يمتد ليشمل حماية البيانات، خاصة في ظل نظام حماية البيانات الشخصية (PDPL)، الذي يُحمّل المنشآت مسؤولية الحفاظ على سرية البيانات وسلامتها، حتى في مواجهة التهديدات الخارجية.

وهو ما يعني أن الحوادث السيبرانية التي تؤدي إلى تسريب البيانات أو اختراقها قد تثير مسؤوليات متعددة، تتجاوز الجانب الفني، لتشمل المساءلة التنظيمية، وما يرتبط بها من آثار على السمعة والثقة. وفي هذا السياق، لا يُنظر إلى الاختراق بوصفه حدثًا تقنيًا منفصلًا، بل كواقعة قد تكشف عن مدى كفاية الضوابط المطبقة داخل المنشأة.

متطلبات الإبلاغ عن الحوادث

في سياق متصل، تبرز مسألة الإبلاغ عن الحوادث بوصفها أحد الالتزامات الجوهرية التي قد تترتب على بعض الجهات، وفقًا لطبيعة نشاطها والجهة المشرفة عليها. إذ لا يقتصر التقييم القانوني على وقوع الحادث ذاته، بل يمتد إلى كيفية التعامل معه، وسرعة الاستجابة، ومدى الالتزام بمتطلبات الإفصاح.

وقد يؤدي التأخر في الإبلاغ، في بعض الحالات، إلى نشوء مخالفة مستقلة، حتى لو تم احتواء الأثر التقني للحادث لاحقًا. وهو ما يعكس أن الالتزام لا ينتهي عند الحد من الضرر، بل يشمل إدارة الحدث وفق الإطار التنظيمي الكامل.

حوكمة الشركات والمسؤولية الإدارية

من زاوية الحوكمة، فإن التحول الأبرز يتمثل في انتقال مسؤولية الأمن السيبراني من كونه شأنًا تقنيًا إلى كونه جزءًا من مسؤوليات الإدارة العليا، التي يُنتظر منها الإشراف على سياسات إدارة المخاطر، وضمان تخصيص الموارد الكافية، ومتابعة الالتزام بالضوابط التنظيمية.

ويعكس ذلك تحولًا في فهم هذا المجال، إذ لم يعد يُنظر إليه كإجراء وقائي محدود، بل كعنصر من عناصر الاستقرار المؤسسي. وبالتالي، فإن أي قصور في هذا الجانب قد يُفسر على أنه خلل في الحوكمة، وليس مجرد نقص في الجوانب التقنية.

‍

إدارة المخاطر بشكل استباقي

على هذا الأساس، فإن تقييم المسؤولية في حالات الهجمات السيبرانية، خاصة خلال النزاعات، لا يُبنى على واقعة الهجوم في ذاتها، بل على مدى جاهزية المنشأة، والتزامها، وقدرتها على إثبات أنها تصرفت وفق ما يقتضيه معيار العناية الواجبة.

فحيث يثبت هذا الالتزام، قد يُفتح المجال للنظر في الإعفاء، أما في حال غيابه، فإن المخاطر القانونية والتنظيمية تظل قائمة، بل وقد تتضاعف في بيئة تتسم بارتفاع مستوى التهديد. ومن هنا، يُنظر إلى الأمن السيبراني بشكل متزايد بوصفه عملية مستمرة، تتطلب مراجعة وتحديثًا دائمين، وليس مجرد إجراء يُتخذ لمرة واحدة.

وأخيرًا

يتضح أن الأمن السيبراني، في سياق النزاعات، لم يعد مسألة وقائية فحسب، بل أصبح معيارًا يُقاس به مستوى الامتثال والحوكمة داخل المنشآت. وفي بيئة تتسم بعدم اليقين، فإن الشركات التي تتبنى نهجًا استباقيًا، قائمًا على الفهم القانوني للمخاطر، تكون في موقع أفضل ليس فقط في مواجهة الهجمات، بل في إدارة آثارها القانونية عند وقوعها.

‍