قرّر مكتب مجلس نواب الشعب على إثر اجتماعه يوم الخميس 9 ماي 2024 إحالة مقترح مشروع قانون يتعلّق بالأمن السيبراني (عدد 36/2024) إلى لجنة تنظيم الإدارة وتطويرها والرقمنة والحوكمة ومكافحة الفساد مع التوصية بطلب رأي كل من لجنة التشريع العام ولجنة الحقوق والحريات.
إيمان عبد اللطيف
تقّدم كلّ من النواب أيمن البوغديري، النوري جريدي، علي زغدود، لطفي السعداوي، المختار عبد المولى، عادل البوسالمي، محمد ماجدي، عمار عيدودي ومحمد شعباني بمبادرة تشريعية تخصّ "الأمن السيبراني".
جاء في شرح الأسباب، بأنه "بالنظر للتطورات التي يشهدها مجال الأمن السيبراني، فقد أصبح ضروريا أكثر من أي وقت مضى، إدراك هذا الفراغ لدينا وضرورة إيجاد إطار قانوني شامل يمكن من تعزيز أمن نظم معلومات الدولة والبنى التحتية ذات الأهمية الحيوية، والقيام بعمليات التحسيس لفائدة هيئات القطاع الخاص والأفراد"
ويهدف هذا الإطار القانوني إلى "تعزيز حماية وصمود نظم المعلومات" و"مواجهة الهجمات السيبرانية وتعزيز الرقمنة وحماية المعطيات الشخصية والحساسة" و"تخويل اللجنة الاستراتيجية والسلطة الوطنية والسلطة الوطنية ووسائل الاضطلاع بمهمة حماية نظم المعلومات"و"تعزيز وتطوير البيئة الوطنية للأمن السيبراني".
ويضبط هذا القانون، وفق ما جاء في النسخة التي تم نشرها بالموقع الإلكتروني الرسمي لمجلس نواب الشعب، "قواعد ومقتضيات الأمن المنطبقة على النظم المعلوماتية للإدارة العمومية والجماعات المحلية والمؤسسات والمنشآت العمومية وكل شخص معنوي آخر خاضع للقانون العام، يشار إليهم هذا المقترح بـ"الهيئة".
إلى جانب ذلك، تضمن "قواعد ومقتضيات الأمن المطبقة على البنية التحتية ذات الأهمية الحيوية، قواعد ومقتضيات الأمن المنطبقة على مستغلي الشبكات العمومية للمواصلات ومسدي خدمات الإنترنت ومقدمي خدمات الأمن السيبراني ومقدمي الخدمات الرقمية وناشري منصات الانترنت، يُشار إليهم في هذا القانون بـ"المتعهدّ". بالإضافة إلى الإطار الوطني لحوكمة الأمن السيبراني".
بالإضافة إلى ذلك، احتوى مقترح مشروع القانون "إطار التعاون وتبادل المعلومات بين السلطة الوطنية للأمن السيبراني المحددة بنص ترتيبي، والمشار إليها في القانون بـ "السلطة الوطنية" والمصالح المختصة للدولة المكلفة بمعالجة الجرائم التي تمس بنظم المعالجة الآلية للمعطيات".
كما يضبط المقترح "المساهمات التي تقدمها السلطة الوطنية للهيئات المختصة من أجل تعزيز الثقة الرقمية، وتطوير رقمنة الخدمات المسداة من طرف الدولة، وحماية المعطيات الشخصية".
بالإضافة إلى ذلك، تضمن مشروع القانون "اختصاصات السلطة الوطنية لا سيما فيما يتعلق بتطوير الخبرة الوطنية والتحسيس في مجال الأمن السيبراني لفائدة الهيئات والفاعلين في القطاع الخاص والأفراد، وتعزيز التعاون مع المؤسسات الوطنية والأجنبية".
وقد تضمن مشروع قانون "الأمن السيبراني" 54 فصلا موزعة على 6 أبواب، وهي "الأحكام العامة" الواردة بالباب الأول، "إجراءات حماية أمن نظم المعلومات" بالباب الثاني ويتفرع إلى ثلاث فروع وهي أحكام خاصة بالهيئات، أحكام خاصة بالبنية التحتية ذات الأهمية الحيوية المتوفرة على نظم معلومات حساسة، وأحكام خاصة بالمتعهدين".
ثمّ "حوكمة الأمن السيبراني" بالباب الثالث ويتضمن 3 فروع "اللجنة الاستراتيجية للأمن السيبراني" و"السلطة الوطنية للأمن السيبراني". يلي ذلك الباب الرابع "التكوين والتحسيس والتعاون" ثم الباب الخامس "معاينة المخالفات والعقوبات" وأخيرا الباب السادس "أحكام ختامية".
العديد من التفاصيل التقنية تضمنها مشروع القانون بما في ذلك ما يتعلّق بالجهة التي ستتولى حوكمة الأمن السيبراني، إذ نصّ على إحداث "لجنة استراتيجية للأمن السيبراني" إلى جانب تفاصيل "معاينة المخالفات والعقوبات".
فنصّ الفصل 49 على جملة من العقوبات إذ جاء فيه "مع مراعاة العقوبات الجزائية الأشد المنصوص عليها في التشريع الجاري به العمل، يعاقب بغرامة من 30 ألف دينار إلى 60 ألف دينار كل مسؤول عن بنية تحتية ذات أهمية حيوية تتوفر على نظام معلومات حساس شرع في استغلاله دون إخضاعه للمصادقة المنصوص عليها في الفصل 19، وكل مسؤول عن بنية تحتية ذات أهمية حيوية عهد إليه بتدقيق آمن نظم المعلومات الحساسة الخاصة ببنيته التحتية إلى متعهد تدقيق غير مؤهل خرقا لأحكام الفصل 20".
ويعاقب بهذه الخطية المالية "كل من قدم خدمات تدقيق أمن نظم المعلومات الحساسة للبنى التحتية ذات الأهمية الحيوية دون أن يكون مؤهلا من قبل السلطة الوطنية أو استمر في تقديم هذه الخدمات رغم سحب تأهيله من قبل السلطة"
ومعني بهذه العقوبة أيضا "كل من قدم خدمات الأمن السيبراني دون أن يكون مؤهلا من قبل السلطة الوطنية أو استمر في تقديم هذه الخدمات رغم سحب تأهيله من قبل السلطة".
تضمن أيضا الفصل 50 عقوبات من بينها العقوبة بغرامة من 20 ألف دينار إلى 40 ألف دينار كل من أخل بالالتزامات المتعلقة بإبلاغ السلطة الوطنية عن الحوادث..وكل من قام، بأي وسيلة كانت، بعرقلة أو بمنع إجراء عمليات تدقيق أمن نظم المعلومات الحساسة للبنية التحتية ذات الأهمية الحيوية.."
وأيضا "كل متعهد لشبكة عمومية للمواصلات أو مزود خدمات الأنترنيت أو مقدم خدمات الأمن السيبراني أو مقدم الخدمات الرقمية أو ناشر منصات الإنترنيت أخل بالالتزامات .." و"كل متعهد لشبكة عمومية للمواصلات أو مزود خدمات الانترنيت أو أعوانهم، عرقل أعمال السلطة الوطنية أو أعوانها .." بالإضافة إلى "كل مسدي خدمة رقمية امتنع عن اتخاذ التدابير المنصوص عليها بالفصل 32 المشار إليه أعلاه أو عرقل عمليات المراقبة المنصوص عليها بالفصل 34 .."
ويُعاقب "بالغرامة نفسها كل شخص استخدم نظام معلوماته دون علمه لنشر البرمجيات الخبيثة أو للقيام بأعمال مخالفة للقانون، امتنع عن تنفيذ توجيهات السلطة الوطنية بعد إخباره بها".
تونس – الصباح
قرّر مكتب مجلس نواب الشعب على إثر اجتماعه يوم الخميس 9 ماي 2024 إحالة مقترح مشروع قانون يتعلّق بالأمن السيبراني (عدد 36/2024) إلى لجنة تنظيم الإدارة وتطويرها والرقمنة والحوكمة ومكافحة الفساد مع التوصية بطلب رأي كل من لجنة التشريع العام ولجنة الحقوق والحريات.
إيمان عبد اللطيف
تقّدم كلّ من النواب أيمن البوغديري، النوري جريدي، علي زغدود، لطفي السعداوي، المختار عبد المولى، عادل البوسالمي، محمد ماجدي، عمار عيدودي ومحمد شعباني بمبادرة تشريعية تخصّ "الأمن السيبراني".
جاء في شرح الأسباب، بأنه "بالنظر للتطورات التي يشهدها مجال الأمن السيبراني، فقد أصبح ضروريا أكثر من أي وقت مضى، إدراك هذا الفراغ لدينا وضرورة إيجاد إطار قانوني شامل يمكن من تعزيز أمن نظم معلومات الدولة والبنى التحتية ذات الأهمية الحيوية، والقيام بعمليات التحسيس لفائدة هيئات القطاع الخاص والأفراد"
ويهدف هذا الإطار القانوني إلى "تعزيز حماية وصمود نظم المعلومات" و"مواجهة الهجمات السيبرانية وتعزيز الرقمنة وحماية المعطيات الشخصية والحساسة" و"تخويل اللجنة الاستراتيجية والسلطة الوطنية والسلطة الوطنية ووسائل الاضطلاع بمهمة حماية نظم المعلومات"و"تعزيز وتطوير البيئة الوطنية للأمن السيبراني".
ويضبط هذا القانون، وفق ما جاء في النسخة التي تم نشرها بالموقع الإلكتروني الرسمي لمجلس نواب الشعب، "قواعد ومقتضيات الأمن المنطبقة على النظم المعلوماتية للإدارة العمومية والجماعات المحلية والمؤسسات والمنشآت العمومية وكل شخص معنوي آخر خاضع للقانون العام، يشار إليهم هذا المقترح بـ"الهيئة".
إلى جانب ذلك، تضمن "قواعد ومقتضيات الأمن المطبقة على البنية التحتية ذات الأهمية الحيوية، قواعد ومقتضيات الأمن المنطبقة على مستغلي الشبكات العمومية للمواصلات ومسدي خدمات الإنترنت ومقدمي خدمات الأمن السيبراني ومقدمي الخدمات الرقمية وناشري منصات الانترنت، يُشار إليهم في هذا القانون بـ"المتعهدّ". بالإضافة إلى الإطار الوطني لحوكمة الأمن السيبراني".
بالإضافة إلى ذلك، احتوى مقترح مشروع القانون "إطار التعاون وتبادل المعلومات بين السلطة الوطنية للأمن السيبراني المحددة بنص ترتيبي، والمشار إليها في القانون بـ "السلطة الوطنية" والمصالح المختصة للدولة المكلفة بمعالجة الجرائم التي تمس بنظم المعالجة الآلية للمعطيات".
كما يضبط المقترح "المساهمات التي تقدمها السلطة الوطنية للهيئات المختصة من أجل تعزيز الثقة الرقمية، وتطوير رقمنة الخدمات المسداة من طرف الدولة، وحماية المعطيات الشخصية".
بالإضافة إلى ذلك، تضمن مشروع القانون "اختصاصات السلطة الوطنية لا سيما فيما يتعلق بتطوير الخبرة الوطنية والتحسيس في مجال الأمن السيبراني لفائدة الهيئات والفاعلين في القطاع الخاص والأفراد، وتعزيز التعاون مع المؤسسات الوطنية والأجنبية".
وقد تضمن مشروع قانون "الأمن السيبراني" 54 فصلا موزعة على 6 أبواب، وهي "الأحكام العامة" الواردة بالباب الأول، "إجراءات حماية أمن نظم المعلومات" بالباب الثاني ويتفرع إلى ثلاث فروع وهي أحكام خاصة بالهيئات، أحكام خاصة بالبنية التحتية ذات الأهمية الحيوية المتوفرة على نظم معلومات حساسة، وأحكام خاصة بالمتعهدين".
ثمّ "حوكمة الأمن السيبراني" بالباب الثالث ويتضمن 3 فروع "اللجنة الاستراتيجية للأمن السيبراني" و"السلطة الوطنية للأمن السيبراني". يلي ذلك الباب الرابع "التكوين والتحسيس والتعاون" ثم الباب الخامس "معاينة المخالفات والعقوبات" وأخيرا الباب السادس "أحكام ختامية".
العديد من التفاصيل التقنية تضمنها مشروع القانون بما في ذلك ما يتعلّق بالجهة التي ستتولى حوكمة الأمن السيبراني، إذ نصّ على إحداث "لجنة استراتيجية للأمن السيبراني" إلى جانب تفاصيل "معاينة المخالفات والعقوبات".
فنصّ الفصل 49 على جملة من العقوبات إذ جاء فيه "مع مراعاة العقوبات الجزائية الأشد المنصوص عليها في التشريع الجاري به العمل، يعاقب بغرامة من 30 ألف دينار إلى 60 ألف دينار كل مسؤول عن بنية تحتية ذات أهمية حيوية تتوفر على نظام معلومات حساس شرع في استغلاله دون إخضاعه للمصادقة المنصوص عليها في الفصل 19، وكل مسؤول عن بنية تحتية ذات أهمية حيوية عهد إليه بتدقيق آمن نظم المعلومات الحساسة الخاصة ببنيته التحتية إلى متعهد تدقيق غير مؤهل خرقا لأحكام الفصل 20".
ويعاقب بهذه الخطية المالية "كل من قدم خدمات تدقيق أمن نظم المعلومات الحساسة للبنى التحتية ذات الأهمية الحيوية دون أن يكون مؤهلا من قبل السلطة الوطنية أو استمر في تقديم هذه الخدمات رغم سحب تأهيله من قبل السلطة"
ومعني بهذه العقوبة أيضا "كل من قدم خدمات الأمن السيبراني دون أن يكون مؤهلا من قبل السلطة الوطنية أو استمر في تقديم هذه الخدمات رغم سحب تأهيله من قبل السلطة".
تضمن أيضا الفصل 50 عقوبات من بينها العقوبة بغرامة من 20 ألف دينار إلى 40 ألف دينار كل من أخل بالالتزامات المتعلقة بإبلاغ السلطة الوطنية عن الحوادث..وكل من قام، بأي وسيلة كانت، بعرقلة أو بمنع إجراء عمليات تدقيق أمن نظم المعلومات الحساسة للبنية التحتية ذات الأهمية الحيوية.."
وأيضا "كل متعهد لشبكة عمومية للمواصلات أو مزود خدمات الأنترنيت أو مقدم خدمات الأمن السيبراني أو مقدم الخدمات الرقمية أو ناشر منصات الإنترنيت أخل بالالتزامات .." و"كل متعهد لشبكة عمومية للمواصلات أو مزود خدمات الانترنيت أو أعوانهم، عرقل أعمال السلطة الوطنية أو أعوانها .." بالإضافة إلى "كل مسدي خدمة رقمية امتنع عن اتخاذ التدابير المنصوص عليها بالفصل 32 المشار إليه أعلاه أو عرقل عمليات المراقبة المنصوص عليها بالفصل 34 .."
ويُعاقب "بالغرامة نفسها كل شخص استخدم نظام معلوماته دون علمه لنشر البرمجيات الخبيثة أو للقيام بأعمال مخالفة للقانون، امتنع عن تنفيذ توجيهات السلطة الوطنية بعد إخباره بها".
