أصدر بنك الكويت المركزي إطارًا محدثًا للأمن السيبراني بتاريخ 3 ديسمبر 2025 بعنوان إطار المرونة السيبرانية والتشغيلية للبنوك والمؤسسات المالية المحلية. ويهدف هذا التحديث إلى تعزيز مستوى الضوابط المفروضة على بيئات تكنولوجيا المعلومات لدى المؤسسات المالية، وحمايتها من انقطاع وتوقف الأعمال الذي قد ينشأ نتيجة التهديدات الداخلية والخارجية.
ما أهمية إطار المرونة السيبرانية والتشغيلية للبنوك والمؤسسات المالية المحلية والقيمة التي يحققها؟
يُعد إطار المرونة السيبرانية والتشغيلية للبنوك والمؤسسات المالية المحلية الصادر عن بنك الكويت المركزي إطارًا رقابيًا إلزاميًا يهدف إلى تعزيز المرونة السيبرانية، والمرونة التشغيلية، وإدارة مخاطر الأطراف الثالثة لدى المؤسسات المالية. ويمكّن الإطار الجهات الخاضعة لرقابة بنك الكويت المركزي من حماية بيئات تكنولوجيا المعلومات الحرجة، والحد من انقطاعات الأعمال، وضمان الامتثال الرقابي، وإثبات مستوى المرونة من خلال التقييمات الذاتية للحد الأدنى للضوابط، وبيان قابلية التطبيق، وأعمال التدقيق المستقلة.
ما هي المكونات الأساسية لإطار المرونة السيبرانية والتشغيلية للبنوك والمؤسسات المالية المحلية؟
يرتكز إطار المرونة السيبرانية والتشغيلية للبنوك والمؤسسات المالية المحلية على ثلاثة محاور استراتيجية رئيسية وهي المرونة السيبرانية والمرونة التشغيلية وإدارة مخاطر الأطراف الثالثة. ويتكون الإطار من 27 نطاقًا و93 نطاقًا فرعيًا و200 مجال للضوابط و876 ضابطًا رقابيًا، مما يشكّل هيكلًا رقابيًا شاملًا لتمكين الجهات الخاضعة لرقابة بنك الكويت المركزي من إدارة المخاطر السيبرانية، وانقطاع وتوقف الأعمال، ومخاطر الأطراف الثالثة لدى.
ما هي الجهات التي يسري عليها إطار المرونة السيبرانية والتشغيلية للبنوك والمؤسسات المالية المحلية؟
يسري إطار المرونة السيبرانية والتشغيلية للبنوك والمؤسسات المالية المحلية على جميع الجهات الخاضعة لرقابة بنك الكويت المركزي، بما في ذلك:
- البنوك الكويتية
- فروع البنوك الأجنبية العاملة في دولة الكويت
- شركات التمويل
- شركات الصرافة
- شركات الدفع الإلكتروني للأموال
- شركات المعلومات الائتمانية
- مزودو الخدمات المصرفية المفتوحة
هل توجد إعفاءات بموجب إطار المرونة السيبرانية والتشغيلية؟ وكيف يمكن تصنيف أحد الضوابط بأنه غير واجب التطبيق؟
لا يتيح إطار المرونة السيبرانية والتشغيلية للبنوك والمؤسسات المالية المحلية أي إعفاءات تلقائية لأي فئة من الجهات الخاضعة لرقابة بنك الكويت المركزي. ولا يجوز تصنيف أي ضابط من الضوابط على أنه غير واجب للتطبيق أو مستثنى إلا في حال استناده إلى مبرر موثق، وموافقة الإدارة العليا عليه، وتقديمه رسميًا إلى بنك الكويت المركزي لمراجعته واعتماده.
ويظل الضابط واجب التطبيق ما لم يتم الحصول على موافقة رقابية صريحة من بنك الكويت المركزي.
ما الذي يتطلبه إطار المرونة السيبرانية والتشغيلية من المؤسسات المالية؟
يتعين على الجهات الخاضعة للرقابة تطبيق الحد الأدنى لضوابط المرونة السيبرانية والمرونة التشغيلية وإدارة مخاطر الأطراف الثالثة، وإجراء تصنيف المخاطر الكامنة، وإعداد وتحديث بيان قابلية التطبيق، وإجراء التقييمات الذاتية للحد الأدنى للضوابط، والخضوع لتقييمات رقابية مستقلة، وتقديم جميع التقارير الرقابية إلى بنك الكويت المركزي وفقًا لمتطلبات الإطار.
لماذا يُعد تدقيق إطار المرونة السيبرانية والتشغيلية إلزاميًا؟
يشترط بنك الكويت المركزي على الجهات الخاضعة لرقابته تعيين مكتب تدقيق مستقل ومعتمد من البنك المركزي لتقييم مدى الالتزام بمتطلبات إطار المرونة السيبرانية والتشغيلية للبنوك والمؤسسات المالية المحلية والتحقق من فعالية ضوابط المرونة السيبرانية والتشغيلية المطبقة.
ما هي دورية تدقيق إطار المرونة السيبرانية والتشغيلية من قبل مكتب تدقيق مستقل معتمد من بنك الكويت المركزي؟
يتعين على الجهات الخاضعة لرقابة بنك الكويت المركزي الخضوع لتدقيق مستقل بصفة سنوية من قبل مكتب تدقيق معتمد من بنك الكويت المركزي، وذلك بما يتوافق مع التصنيف الإشرافي وتصنيف المخاطر الجوهرية. ويشمل التدقيق التحقق من التقييمات الذاتية للحد الأدنى للضوابط ومدى فعالية الضوابط وتقييم مستوى النضج، والتقارير الرقابية المقدمة، بما في ذلك بيان قابلية التطبيق.
جدير بالذكر أن بيكر تلي مسجلة لدى بنك الكويت المركزي لتقديم هذه الخدمة.
ما هي دورية تقييم إطار المرونة السيبرانية والتشغيلية الذي يجريه بنك الكويت المركزي؟
يقوم بنك الكويت المركزي بإجراء تقييمات رقابية للتحقق من مدى الامتثال لإطار المرونة السيبرانية والتشغيلية من خلال فرق التفتيش التابعة له، وذلك استنادًا إلى التصنيف الإشرافي وتصنيف المخاطر الجوهرية، على النحو التالي:
- عالية الأثر (الفئة الأولى) – تفتيش رقابي سنوي
- متوسط الأثر (الفئة الثانية) – تفتيش رقابي كل 18 شهراً
- منخفضة الأثر (الفئة الثالثة) – تفتيش رقابي كل سنتين
وتُجرى هذه التقييمات مباشرة من قبل فرق الإشراف والتقييم التابعة لبنك الكويت المركزي، وهذه التقييمات مختلفة عن تدقيق الإلزامي السنوي الذي يتم بواسطة مكتب تدقيق معتمد من بنك الكويت المركزي.
ما منهجية بيكر تلي في تدقيق إطار المرونة السيبرانية والتشغيلية للبنوك والمؤسسات المالية المحلية؟
تتوافق منهجية بيكر تلي في تدقيق إطار المرونة السيبرانية والتشغيلية مع المتطلبات الرقابية لبنك الكويت المركزي والمعايير الدولية للتدقيق. وتشمل منهجيتنا مراجعة الحوكمة وإدارة المخاطر، وتقييم تصميم الضوابط، واختبار الفعالية التشغيلية، والتحقق القائم على الأدلة، تقييم مستوى النضج، وإعداد التقارير الرقابية.
ما هي خدمات تدقيق إطار المرونة السيبرانية والتشغيلية التي تقدمها بيكر تلي الكويت؟
تقدم بيكر تلي خدمات التدقيق والتأكيد المستقلة لإطار المرونة السيبرانية والتشغيلية للبنوك والمؤسسات المالية المحلية والتي تشمل:
- تقييم الحد الأدنى لضوابط المرونة السيبرانية
- تقييم الحد الأدنى لضوابط المرونة التشغيلية
- تقييم الحد الأدنى إدارة مخاطر الأطراف الثالثة
- اختبار تصميم الضوابط وفعاليتها التشغيلية
- تقييم مستوى النضج والمقارنة المرجعية
- إعداد التقارير الرقابية وأوراق العمل الإشرافية
لماذا بيكر تلي الكويت؟
- مكتب معتمد من بنك الكويت المركزي لتدقيق المرونة السيبرانية والتشغيلية
- خبرة متعمقة في دعم الجهات الخاضعة لرقابة بنك الكويت المركزي
- سجل حافل بتنفيذ مهام التدقيق الرقابي وخطط المعالجة
- منهجيات عالمية في الأمن السيبراني والمرونة السيبرانية والتشغيلية
- فهم راسخ للمتطلبات الرقابية لبنك الكويت المركزي