NDMO Saudi Annual Compliance Audit 2026: Limatha tuwajih al-sharikat al-suudia taqyim thunay 100 ila 0 ala 15 mejal idarat al-bayanat fi al-rub al-thaleth

ما هو NDMO ولماذا أصبح إلزامياً في 2026

أُسس مكتب إدارة البيانات الوطني (National Data Management Office, NDMO) كجزء من الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) عام 2020 لتقنين كيفية تعامل الجهات الحكومية والقطاع الخاص مع البيانات في المملكة العربية السعودية. أصدر NDMO في سنة 2020 الإصدار الأول من معايير إدارة البيانات وحماية البيانات الشخصية، ثم تتالت الإصدارات: الإصدار 1.3 في 2022، والإصدار 1.5 في 2024. الإصدار 1.5 هو المرجعية النافذة في 2026 ويُتوقع صدور الإصدار 2.0 في الربع الرابع من 2026 ليُعالج التحديثات بعد نشر نظام حماية البيانات الشخصية (PDPL) المعدّل.

الجديد في دورة 2026 هو أن جميع الجهات المشمولة، التي كانت سابقاً تحت رقابة استشارية، أصبحت ملزمة بتقديم تدقيق امتثال سنوي. الجهات المشمولة تشمل: كل الجهات الحكومية، المؤسسات شبه الحكومية، الشركات التي تعالج بيانات شخصية لأكثر من 250 ألف فرد سنوياً، مزودي خدمات تقنية المعلومات للجهات الحكومية، والشركات في القطاعات الحيوية (الطاقة، الصحة، التعليم، النقل، الاتصالات، الخدمات المالية).

المجالات الـ15 التي يُقيَّم فيها الامتثال

تقسم معايير NDMO الإلتزام إلى 15 مجالاً تشغيلياً مستقلاً، يُقيَّم كل مجال على حدة بنظام ثنائي: إما 100% (مستوفي) أو 0% (غير مستوفي). لا توجد درجات بينية، ما يجعل التحقق صارماً وإجراءات الإصلاح واضحة. المجالات هي:

• حوكمة البيانات: السياسات والأدوار والمسؤوليات
• إدارة الكتالوج البيني للبيانات والميتاداتا
• هندسة وبنية البيانات
• إدارة جودة البيانات
• إدارة العمليات على البيانات
• تكامل وتوحيد البيانات
• أمن البيانات وحماية الخصوصية
• إدارة دورة حياة البيانات وتصنيفها
• تصنيف البيانات (سري للغاية، سري، مقيد، عام)
• الاحتفاظ والإتلاف
• حماية البيانات الشخصية
• مشاركة البيانات بين الجهات
• إدارة البيانات المفتوحة
• حرية المعلومات
• تطوير الموارد البشرية للبيانات

عند الفشل في أي مجال، يُطلب من المؤسسة تقديم خطة معالجة خلال 60 يوماً مع الالتزام بأن يكون التدقيق التالي ناجحاً في ذلك المجال، وإلا أُحيلت إلى تدقيق خاص قد يستتبع غرامات.

تصنيف البيانات: الأساس الذي يقوم عليه كل الأرشيف

التصنيف هو حجر الزاوية للامتثال. يفترض إطار NDMO أربع فئات:

1. سري للغاية: بيانات الاستخبارات، البيانات الأمنية، البيانات الشخصية الحساسة بكميات كبيرة، البيانات المالية للجهات السيادية
2. سري: البيانات المالية المؤسسية، السجلات الطبية، البيانات الشخصية للمواطنين، الأسرار التجارية
3. مقيد: البيانات الداخلية، تقارير الإدارة، المراسلات الرسمية
4. عام: البيانات المعلنة، المنشورات الرسمية، البيانات المفتوحة

كل وثيقة، كل جدول، كل رسالة بريد إلكتروني يجب أن تحمل تصنيفاً يحدد كيف تُحفظ وتُشارك وتُتلف. المؤسسات التي لا تطبق التصنيف تلقائياً عند إدخال البيانات تفشل في مجال "إدارة دورة حياة البيانات" تلقائياً، حتى لو كانت أنظمتها الأمنية الفعلية قوية.

الاحتفاظ والإتلاف: الفئة الأكثر إخفاقاً

وفقاً لبيانات NDMO المنشورة عن دورات التدقيق السابقة، مجال "الاحتفاظ والإتلاف" هو الأكثر إخفاقاً بين المؤسسات السعودية، مع نسبة فشل تصل إلى 73% في القطاع الخاص. السبب الرئيسي هو غياب جدول احتفاظ معتمد رسمياً ومرتبط بالقواعد التنظيمية القطاعية:

• السجلات المحاسبية والضريبية: 10 سنوات بحسب نظام ضريبة القيمة المضافة وتعليمات هيئة الزكاة والضريبة والجمارك
• عقود الموظفين والبيانات الشخصية في الموارد البشرية: 5 سنوات بعد انتهاء العلاقة
• السجلات الطبية: 10 سنوات للمواطن البالغ، 25 سنة للسجلات الجراحية والولادية، طوال العمر للسجلات الجينية
• سجلات KYC في البنوك والمؤسسات المالية: 10 سنوات بحسب تعليمات البنك المركزي السعودي SAMA
• سجلات المعاملات الإلكترونية تحت نظام التجارة الإلكترونية: 10 سنوات
• السجلات التقاعدية: طوال حياة الموظف وحتى وفاة الورثة

أي وثيقة محفوظة لمدة أطول من المطلوب دون مبرر قانوني توضع تحت سؤال "تقليل البيانات" في PDPL، وأي وثيقة أُتلفت قبل الموعد المحدد توضع تحت سؤال "السلامة المرجعية" في NDMO. كلا الحدين يعرض المؤسسة للإخفاق في التدقيق.

توقيت الربع الثالث: لماذا الاستعداد يبدأ في الربع الأول

NDMO يُعلن دورة التدقيق في الربع الأول من كل سنة، تُسلَّم الوثائق وأدلة الامتثال في الربع الثاني، تُجرى المقابلات والتحقق الميداني في الربع الثالث، وتُصدر النتائج في الربع الرابع. عملياً، المؤسسة التي تنتظر أبريل لتبدأ الاستعداد تواجه ستة أشهر مكثفة من جمع الأدلة، وضع السياسات، تنفيذ الأنظمة. المؤسسات التي تجتاز بدون ملاحظات تبدأ الاستعداد من يناير وتوزع أعمال جمع الأدلة على ثلاثة أرباع.

عناصر الدليل التي يطلبها المدققون نموذجياً تشمل: نسخ من السياسات الموقعة من الإدارة التنفيذية، عينات عشوائية من الوثائق المحفوظة في الأرشيف الرقمي مع إثبات التصنيف وتاريخ الإنشاء وتاريخ الإتلاف المخطط، سجلات الوصول والتعديل، نتائج اختبارات استعادة النسخ الاحتياطية، شهادات تدريب الموظفين على السياسات.

عقوبات PDPL: حتى 5 ملايين ريال والسجن سنتين

نظام حماية البيانات الشخصية الصادر بالمرسوم الملكي م/19 لعام 1443هـ، المعدل في 2023 والنافذ في 2024، يربط الإخفاق في NDMO بعقوبات مالية وجنائية:

• الإفصاح غير المصرح به عن بيانات حساسة: غرامة تصل إلى 5,000,000 ريال سعودي وسجن حتى سنتين
• نقل البيانات الشخصية خارج المملكة دون موافقة مسبقة من SDAIA: غرامة 3,000,000 ريال
• التلاعب في بيانات شخصية أو إتلاف غير قانوني: غرامة 2,000,000 ريال
• الإخفاق في الإبلاغ عن اختراق بيانات خلال 72 ساعة: غرامة 1,000,000 ريال
• التكرار خلال 3 سنوات: مضاعفة الغرامة وحظر مزاولة النشاط لفترة محددة

الممارسات التي تنجح في تجاوز التدقيق

الشركات السعودية التي اجتازت دورات 2024 و2025 بدون ملاحظات تشترك في ثلاث ممارسات. الأولى، تطبيق تصنيف البيانات على مستوى الأداة وليس على مستوى المستند: عندما يُحفظ ملف في الأرشيف، يحدد النظام تلقائياً التصنيف بناءً على المصدر والمحتوى. الثانية، فصل الأرشيف عن نظام التشغيل: الوثيقة في النظام التشغيلي قابلة للتعديل من قبل المسؤول، بينما النسخة الأرشيفية مؤمنة بسلسلة hashes وطوابع زمنية، ولا تسمح بأي تعديل بعد الإيداع. الثالثة، تدريب سنوي لجميع الموظفين على السياسات مع اختبار نهاية يُحفظ في سجلات الموارد البشرية كدليل تدريب.

المؤسسات التي تطبق هذا النهج لا تجتاز التدقيق فقط، بل تكتسب ميزة تنافسية: العملاء الحكوميون وكبار العملاء المؤسسيين يفضلون التعاقد مع مزودين موثقي الامتثال، خاصة في القطاعات الحساسة كالصحة والمالية والطاقة.