تعلن الهيئة العامة للرقابة المالية إصدار القرار رقم 227 لسنة 2025 بشأن إلزام الشركات والجهات التي تزاول الأنشطة المالية غير المصرفية بتعزيز التجهيزات والبنية التكنولوجية وتوفير منظومة أمن سيبراني متينة. يأتي القرار في إطار تعزيز الإطار التنظيمي للقطاع غير المصرفي وضمان استدامة عملياته الرقمية ضمن بيئة آمنة ومنضبطة. كما يهدف القرار إلى مواكبة التطورات الرقمية وحماية بيانات المتعاملين وسلامة الأنظمة المعلوماتية المستخدمة في تقديم الخدمات المالية. ويشير القرار إلى الاعتماد على المعايير المنصوص عليها في قرار مجلس إدارة الهيئة رقم 139 لسنة 2023 لضمان الاتساق مع الممارسة الجيدة.
التزامات الشركات المستهدفة
يتضمن القرار مجموعة من المتطلبات والضوابط الهادفة إلى تعزيز منظومة الأمن السيبراني ورفع كفاءة البنية التكنولوجية لدى الشركات المرخص لها بمزاولة الأنشطة المالية غير المصرفية. فمن هذه المتطلبات إعداد دليل شامل للسياسات والإجراءات الخاصة بأمن المعلومات، واعتماده من مجلس الإدارة، وإرسال نسخة معتمدة إلى الهيئة عقب الإقرار. كما يتطلب وضع أطر عمل واضحة لحوكمة تكنولوجيا المعلومات وإدارة مخاطرها والأمن السيبراني، على أن تعتمد من المجلس وتوفى الهيئة بنسخ منها عند الاعتماد. ويُوجِب القرار أيضاً الحصول على وثيقة تأمين ضد مخاطر الأمن السيبراني من إحدى شركات التأمين المرخص لها العمل في مصر وتجديدها سنوياً، خصوصاً للشركات التي تمارس نشاطها عبر المنصات الرقمية أو التطبيقات الإلكترونية.
الاختبارات والتقارير
وبموجب القرار تُلزم الشركات بإجراء اختبار اختراق دوري (Penetration Test) وإعداد تقارير سنوية حول أمن المعلومات يبيّن تقييم جاهزية الأنظمة والكشف عن الثغرات ومعالجتها. كما تلتزم بإرسال هذه التقارير إلى الهيئة، ويشترط العقدُ المبرم مع الجهة المنفذة للاختبار إحاطة الهيئة بنتائج الاختبارات. وأكد القرار أن التزام هذه المتطلبات يشكل شرطاً أساسياً لاستمرار الترخيص بمزاولة النشاط، بما يدمج ممارسات الأمن السيبراني ضمن منظومة حوكمة الشركات.
فترات التطبيق والتراكم التنظيمي
ومنح القرار للشركات – باستثناء شركات التأمين – مهلة ستة أشهر لتوفيق أوضاعها فيما يتعلق بالبنية التكنولوجية. كما حُددت فترة زمنية تبلغ عامًا واحدًا لتوفيق الأوضاع المتعلقة ببقية المتطلبات التنظيمية الواردة في المادة الأولى من القرار. وتؤكد الهيئة أن هذه الفترة تتيح للشركات تهيئة البيئة الرقمية بما يضمن استمرارية الأعمال وحماية البيانات وأنظمة الخدمات.
الأثر والغايات المستهدفة
تؤكد الهيئة أن القرار الجديد يعزز مستويات الأمان في أنشطة القطاع غير المصرفي ويرفع جاهزية الشركات لمواجهة التهديدات السيبرانية المحتملة. يسهم التطبيق في حماية بيانات المتعاملين ودعم ثقة السوق واستقرار الأنشطة الرقمية. كما يعكس القرار توجه الهيئة نحو اعتماد أفضل الممارسات الدولية في حوكمة تقنية المعلومات وإدارة مخاطر الأمن السيبراني بما يحقق التكامل بين الابتكار والحوكمة الرشيدة.