موقع حكومي رسمي تابع لحكومة المملكة العربية السعودية 
تعد وثيقة “ضوابط الأمن السيبراني للأنظمة التشغيلية” (OTCC-1: 2022) الصادرة عن الهيئة الوطنية للأمن السيبراني في المملكة العربية السعودية إطاراً تنظيمياً متكاملاً صُمم خصيصاً لحماية أنظمة التحكم الصناعي (ICS) والبنى التحتية الوطنية الحساسة.
تهدف هذه الضوابط بشكل أساسي إلى رفع مستوى الجاهزية الوطنية لمواجهة المخاطر السيبرانية المتزايدة التي تستهدف العمليات الصناعية، وضمان استمرارية الخدمات الحيوية التي قد يؤدي تعطلها إلى آثار سلبية كبيرة على الأمن الوطني أو الاقتصاد أو الصحة والسلامة العامة.
وتعتبر هذه الوثيقة امتداداً مكملاً للضوابط الأساسية للأمن السيبراني (ECC-1: 2018)، حيث تركز بشكل دقيق على الجوانب التشغيلية والتقنية الخاصة ببيئات التصنيع والطاقة والمرافق الأخرى.
تعتمد البنية الهيكلية للوثيقة على أربعة مكونات أساسية تهدف إلى شمولية الحماية، وهي: حوكمة الأمن السيبراني، وتعزيز الأمن السيبراني (الدفاع)، وصمود الأمن السيبراني، بالإضافة إلى الأمن السيبراني المتعلق بالأطراف الخارجية.
وتتفرع هذه المكونات إلى 23 مكوناً فرعياً، تشتمل في مجملها على 47 ضابطاً أساسياً و122 ضابطاً فرعياً، وتغطي مجالات حيوية مثل إدارة الأصول، وأمن الشبكات، وحماية البيانات، وإدارة الثغرات، والنسخ الاحتياطي، وإدارة الهويات والدخول.
كما تأخذ الوثيقة في الحسبان أربعة محاور أساسية لضمان فعالية التطبيق وهي: الاستراتيجية، والأشخاص، والإجراءات، والتقنية. تطبق هذه الضوابط منهجية قائمة على المستويات لتحديد مدى إلزامية المتطلبات الأمنية بناءً على حساسية المرفق، حيث تنقسم إلى ثلاثة مستويات تبدأ من “المستوى الأول” للمرافق ذات الحساسية العالية، والذي يضم 151 ضابطاً، وصولاً إلى “المستوى الثالث” للمرافق ذات الحساسية المنخفضة الذي يضم 56 ضابطاً. ويتم تقييم التزام الجهات بهذه الضوابط من خلال أدوات تقييم ذاتية وزيارات ميدانية للتدقيق تقوم بها الهيئة، مما يضمن تطبيقاً فعلياً ومستمراً لمعايير الحماية السيبرانية في مختلف القطاعات الحيوية في المملكة.
وتلزم الوثيقة الجهات بدمج متطلبات الأمن السيبراني ضمن دورة حياة مشاريع الأنظمة التشغيلية، بما في ذلك اختبارات القبول الميدانية والمصنعية، وضمان توفر الكوادر البشرية المؤهلة والمدربة للتعامل مع هذه الأنظمة المعقدة.