تحديث هام.. الرقابة المالية تلزم الجهات العاملة في الأنشطة غير المصرفية بتعزيز بنيتها التكنولوجية والأمن السيبراني لتأمين الأعمال
أصدرت الهيئة العامة للرقابة المالية القرار رقم 227 لسنة 2025، الذي يلزم الشركات والجهات العاملة في الأنشطة المالية غير المصرفية بتعزيز بنيتها التكنولوجية وأنظمتها الأمنية الخاصة بالأمن السيبراني، وذلك لضمان استدامة الأعمال الرقمية ضمن بيئة آمنة ومنضبطة. يأتي هذا القرار ضمن خطة الهيئة لتطوير الإطار التنظيمي للقطاع المالي غير المصرفي، والحفاظ على سلامة البيانات وحماية الأنظمة الإلكترونية.
متطلبات تعزيز الأمن السيبراني في الأنشطة المالية غير المصرفية
يشمل القرار مجموعة من الضوابط التي تهدف إلى رفع كفاءة منظومة الأمن السيبراني لدى الشركات المرخص لها بمزاولة الأنشطة المالية غير المصرفية، بما يتماشى مع أفضل الممارسات الدولية في حوكمة تكنولوجيا المعلومات وإدارة المخاطر السيبرانية؛ وهو ما يعزز الثقة بالسوق المالي ويحافظ على استقراره. كما يلزم القرار تلك الشركات باتخاذ خطوات عملية لحماية أنظمتها ومعلوماتها الحساسة، بما يشمل تطوير التجهيزات والبنية التكنولوجية وأنظمة الحماية وفقًا لمعايير القرار رقم 139 لسنة 2023 الصادر عن مجلس إدارة الهيئة.
الإجراءات والالتزامات الخاصة بحوكمة التكنولوجيا والأمن السيبراني
تتطلب اللوائح الجديدة إعداد دليل شامل للسياسات والإجراءات المتعلقة بأمن المعلومات، على أن يعتمد من مجلس إدارة كل شركة ويُرفع إلى الهيئة فور إقراره؛ بالإضافة إلى وضع أُطُر عمل واضحة لحوكمة تكنولوجيا المعلومات وإدارة مخاطرها السيبرانية. يتوجب كذلك على الشركات الحصول على وثيقة تأمين تغطي مخاطر الأمن السيبراني من شركات تأمين مرخصة في مصر، مع ضرورة تجديدها سنويًا، خصوصًا للشركات التي تُقدًّم خدماتها عبر منصات رقمية أو تطبيقات إلكترونية.
آليات الرقابة والفحوصات الدورية لضمان أمن معلومات الأنشطة المالية غير المصرفية
بحسب القرار، يجب على الشركات إجراء اختبار اختراق دوري (Penetration Test) لإجراء تقييم شامل لسلامة أنظمتها، مع إعداد تقارير سنوية تقدم إلى الهيئة تتضمن نتائج تقييم الجاهزية واكتشاف الثغرات ومعالجتها في الوقت المناسب. كما يلزم تضمين الالتزام بإحاطة الهيئة بنتائج الاختبارات ضمن العقود المبرمة مع الجهات المنفذة. يُعتبر الامتثال لهذه المتطلبات والتقارير شرطًا أساسيًا لاستمرار الترخيص، لضمان تضمين الأمن السيبراني في منظومة حوكمة الشركات. مع منح استثناء لشركات التأمين من مهلة توفيق الأوضاع التي تمتد إلى ستة أشهر للبنية التكنولوجية، وعام كامل لبقية المتطلبات، تأمل الهيئة تعزيز أمان الأنشطة المالية غير المصرفية ورفع جاهزيتها لمواجهة أي تهديدات إلكترونية محتملة.
| البند | التفاصيل |
|---|---|
| تاريخ القرار | 2025 |
| رقم القرار | 227 |
| المتطلبات الأساسية | تعزيز البنية التكنولوجية، الأمن السيبراني، دليل سياسات أمن المعلومات، أطر حوكمة لتكنولوجيا المعلومات |
| التأمين ضد مخاطر الأمن السيبراني | إلزامية مع تجديد سنوي، للشركات العاملة عبر المنصات الرقمية |
| اختبار اختراق دوري | إجباري مع تقديم تقارير سنوية للهيئة |
| مهلة توفيق الأوضاع | 6 أشهر للبنية التكنولوجية، سنة للمتطلبات الأخرى، باستثناء شركات التأمين |