في مقابلة أُجريت في يونيو 2026 مع المنصة التقنية الفرنسية Clubic، وصف المدير العام لـ ANSSI فينسنت ستروبيل (Vincent Strubel) أجندة حوكمة سيبرانية لافتة للنظر ليس بسبب أي بند بعينه فيها بقدر ما هي لافتة بسبب كثرة البنود المتطلبة القائمة عليها في آن واحد (Belfiore 2026). وفي المحادثة نفسها تناول مستقبل التشفير والنفاذ القانوني، وتأهيل مزودي الحوسبة السحابية، وهجرة إلى ما بعد الحوسبة الكمومية تمتد سنوات إلى العقد المقبل، وهيئة تنسيق منشأة حديثاً للحوكمة الرقمية، وتوجيهاً سيضاعف جمهور الكيانات الخاضعة للتنظيم بعامل عشرين أو أكثر. وعند قراءتها بعناية، تبدو المقابلة أقرب إلى صورة لموقف صعب يُحتفظ به برباطة جأش منها إلى تقرير حالة، وهي تشير إلى شيء بنيوي بشأن الدفاع السيبراني يستحق أن يُقال بوضوح. الإنفاذ والمعالجة، بحكم طبيعتهما، يتحركان بعد وقوع الأمر. يمكنهما تشكيل ما يأتي لاحقاً، لكنهما لا يستطيعان محو الحادث الذي استدعاهما. تلك الملاحظة الواحدة تعيد تأطير السؤال بأكمله عن الكيفية التي سيُدافَع بها فعلاً عن جمهور خاضع للتنظيم أكبر بكثير، وهي توحي بأن الاستجابة المفيدة من القدرة الخاصة ليست الانتظار حتى يُطلب منها التدخل، بل بناء القدرة قبل الحاجة إليها نحو هدف يتقاسمه بالفعل الجميع في هذا المجال.
المشهد التنظيمي، ومن يحمل فعلاً كل تفويض
باتت الحوكمة السيبرانية الفرنسية والأوروبية تمتد الآن عبر أربعة أدوات قانونية متداخلة، والأهم أنه لا توجد سلطة واحدة تحمل الأربعة جميعاً. يقع كل من LPM (loi de programmation militaire) و NIS 2 (توجيه أمن الشبكات والمعلومات الثاني) ضمن التفويض المباشر لـ ANSSI نفسها. أما الإشراف على DORA (قانون المرونة التشغيلية الرقمية) في فرنسا فيقع على عاتق ACPR (Autorité de Contrôle Prudentiel et de Résolution) بالنسبة للبنوك وشركات التأمين، و AMF (Autorité des Marchés Financiers) بالنسبة لمديري الأصول والبنى التحتية للأسواق (Autorité de contrôle prudentiel et de résolution 2026؛ Autorité des marchés financiers 2026). وتقع مراقبة السوق بموجب CRA (Cyber Resilience Act) على عاتق ANFR (Agence Nationale des Fréquences)، بينما تعمل ANSSI فقط بوصفها السلطة المُبلِّغة المسؤولة عن اعتماد هيئات تقييم المطابقة، وهو دور متمايز عن مراقبة السوق ذاتها (ANFR 2026؛ ANSSI 2026a). وبوصفه الأساس التشغيلي للامتثال لـ NIS 2، نشرت ANSSI مرجع ReCyF (Référentiel Cyber France، الإصدار 2.5) في 17 مارس 2026، محددةً عشرين هدفاً أمنياً إلزامياً (Ledieu-Avocats 2026).
هذا التخطيط مهم لسبب عملي وآخر عادل. عملياً، يحتاج القارئ الذي ينتقل بين أربعة أطر إلى معرفة أي سلطة يقصد لأي سؤال. وعدلاً، يثبت أن ANSSI تنسّق موقفاً وطنياً عبر أنظمة لا تتحكم فيها منفردة، وهو جزء مما يجعل موقفها صعباً لا قاصراً.
شكل تفويض صعب متعدد الجبهات
الطريقة الأدق لقراءة مقابلة ستروبيل هي بوصفها وصفاً للتزامن. فعدة برامج متطلبة قائمة في اللحظة نفسها، كل منها على ساعته الخاصة. مسألة التشفير والنفاذ القانوني هي مسألة يصفها ستروبيل نفسه بأنها في نهاية المطاف سياسية لا تقنية، ما يضع حلها خارج السيطرة الهندسية لأي وكالة، وداخل الآلية الأبطأ للتشريع والنقاش العام (Belfiore 2026). والهجرة إلى ما بعد الحوسبة الكمومية هي انتقال تشفيري متعدد السنوات يمس كل مؤسسة تحتفظ ببيانات سرية طويلة الأمد. وإنشاء هيئة تنسيق جديدة يشير إلى محاولة لتوحيد الحوكمة الرقمية بدلاً من تركها تتشظى أكثر. ويجري تحت كل ذلك توسيع نطاق NIS 2، الذي يقدّره ستروبيل بأنه انتقال من نحو 500 كيان خاضع للتنظيم إلى ما يُقدَّر بـ 10,000 إلى 15,000 (Belfiore 2026).
أي واحد من هذه البرامج سيكون برنامجاً جوهرياً بمفرده. أما وقد اجتمعت معاً، عبر أنظمة لا تتحكم ANSSI مباشرة إلا في اثنين منها، فإنها ترسم تفويضاً يصعب حقاً الاضطلاع به على نحو جيد. وقد كانت ANSSI صريحة ومتسقة بشأن كيفية اضطلاعها به: عبر موقف قائم على المواكبة أولاً، بقيادة التوجيه، بدلاً من وهم وجود عميل متمركز خلف كل خادم. وذلك خيار عقلاني في ظل قيود واقعية، ويأخذه هذا المقال على أنه ذلك بالضبط، استراتيجية مشروعة لمهمة صعبة، لا دليلاً على أن شيئاً ما ينقص.
الإنفاذ رد فعل بحكم البناء
من ذلك التفويض تنبع ملاحظة بنيوية لا تقييمية. الإنفاذ والمعالجة، بحكم طبيعتهما، أمران يحدثان لاحقاً. تسجيل نتيجة التدقيق يوثّق حالة قائمة بالفعل. والعقوبة استجابة لخرق وقع بالفعل. وأمر المعالجة يستعيد نظاماً فشل بالفعل. كل أداة من هذه الأدوات قيّمة، وكل منها يشكّل السلوك المستقبلي، لكن لا واحدة منها تستطيع أن تمتد إلى الوراء وتمنع الحدث الذي استدعاها. وهذه ليست خاصية لـ ANSSI أو لأي جهة تنظيمية بعينها. إنها خاصية للإنفاذ نفسه.
النتيجة المترتبة تستحق أن تُقال مباشرة، لأنه من السهل إغفالها. ANSSI ليست، ولا يمكنها بنيوياً أن تكون، وكالة معالجة بمعنى جهة تدافع عن الأنظمة في اللحظة التي يجري فيها هجوم. لا يمكن لأي سلطة إنفاذ أن تكون كذلك. الدفاع السيبراني في الزمن الحقيقي، أي الكشف والاحتواء والتعافي الفعلي الذي يحدث بينما الحادث حي، يُنفَّذ داخل المؤسسات المتضررة، وعلى يد الممارسين والأدوات المتوفرة لديها في تلك اللحظة. الإنفاذ يضع المعيار الذي تُساءل تلك المؤسسات إزاءه. لكنه لا يحل، ولا يمكنه أن يحل، محل القدرة التي تحتاجها حين يُختبر المعيار. وإدراك هذا ليس نقداً لمقدار ما يُنفِّذه أحد. إنه توضيح لما يُقصد بالإنفاذ.
ما يتطلبه الدفاع عن منظومة أكبر بعشرين ضعفاً
اجمع النقطتين السابقتين. جمهور الكيانات المتوقع منها أن تدافع عن نفسها ينمو بعامل عشرين أو أكثر، والأداة الأساسية التي تستطيع الدولة توظيفها، أي الإنفاذ، عاجزة بحكم البناء عن القيام بالدفاع نفسه. ولذا يتوقف الدفاع في الممارسة على شيء لا يستطيع الإنفاذ تصنيعه عند الطلب: القدرة. أشخاص قادرون على تنفيذ الضوابط وتشغيلها. أدوات تجعل الأدلة مستمرة بدلاً من تجميعها في هرولة قبل التدقيق. تدريب يصل إلى المؤسسة قبل أن تجد نفسها في النطاق لا بعده. وكل ذلك يجب أن يكون موجوداً قبل الحاجة إليه، لأن القدرة التي تُبنى بعد الحادث تُبنى، بحكم التعريف، متأخرة أكثر من اللازم بالنسبة لذلك الحادث.
التوجيه العام جزء حقيقي من هذه الاستجابة وينبغي الاعتراف به بذلك. فمواد المواكبة الخاصة بـ ANSSI بموجب ReCyF، بما فيها وثائق التوجيه والندوات عبر الإنترنت والتزام تدريبي منصوص عليه في المرجع، موجّهة مباشرة نحو مساعدة المؤسسات على بناء القدرة قبل حلول مواعيد الإنفاذ (ANSSI 2026b). لكن حساب توسّع بعامل عشرين لا يرحم، ولا تستطيع مؤسسة واحدة، مهما حسُنت إدارتها، أن توفّر منحنى التدريب والأدوات والكوادر بأكمله لمنظومة بهذا الحجم ضمن الجدول الزمني الذي يحدده التنظيم. وذلك ليس قصور أحد. إنها مشكلة مشتركة، ومن الأفضل التعامل معها بوصفها كذلك.
وراء مشكلة التوقيت هذه رصيد راسخ من علوم الإدارة. فبالعمل ضمن تقليد ديناميكا النظم (Sterman 2000)، صاغ John Sterman و Nelson Repenning في Massachusetts Institute of Technology ما يسميانه فخ القدرة: المؤسسة التي تستثمر في بناء القدرة ترى أداءها يهبط قبل أن يتحسن، وهو مسار الأسوأ قبل الأفضل، بينما المؤسسة التي تكتفي بالعمل بجهد أكبر تكسب راحة قصيرة الأمد قبل أن يتآكل أداؤها، وهو مسار الأفضل قبل الأسوأ، وهو تباعد يرسمه نموذجهما بوصفه منحنيَي قدرة يفترقان مع مرور الوقت (Repenning and Sterman 2002). وتذكر دراستهما الأسبق العائق الإنساني في عنوانها ذاته: لا أحد ينال أبداً تقديراً لإصلاح مشكلات لم تقع قط (Repenning and Sterman 2001). وبمقابلة ذلك بتوسيع نطاق NIS 2 المرتقب، تكون الدلالة مباشرة. فالقدرة على الدفاع عن منظومة أكبر بعشرين ضعفاً يجب أن تُبنى على مسار الأسوأ قبل الأفضل، سابقةً للحوادث التي تمنعها، وتحديداً حين لا تكون هناك بعد أزمة ظاهرة تبرر الإنفاق. والقراء الراغبون في رؤية هذه الديناميكا بأنفسهم يمكنهم دراستها تفاعلياً في الوحدة 13 من دورة ديناميكا النظم لدى CCI، عن فخ القدرة.
الشريك الخيّر: بناء القدرة دون انتظار الطلب
هنا يكون للقدرة الخاصة دور لا يتوقف على أن يُتعاقد معها لتؤديه. فالشركة التي تملك محتوى تدريبياً، أو أدوات، أو ممارسين مهرة، لديها سبب للاستثمار في بناء تلك القدرة ومشاركتها الآن، بمعزل عن أي عقد بعينه أو مهمة تدقيق أو مُطلِق تنظيمي، لسبب بسيط: الهدف المشترك، أي دفاع سيبراني يعمل فعلاً عبر منظومة أكبر بعشرين مرة مما كانت عليه، يُخدَم بذلك الاستثمار بصرف النظر عمّن يدفع في النهاية مقابل ماذا. والشريك الذي يتصرف بناءً على هذا التفكير، مسهماً بالقدرة لأن المشكلة حقيقية لا لأن صفقة مطروحة، هو ما يعنيه هذا المقال بالشريك الخيّر. والكلمة مقصودة حرفياً لا زخرفياً. ومحكّها هو ما إذا كان الإسهام مفيداً لمؤسسة ما، سواء أصبحت تلك المؤسسة عميلاً أم لم تصبح.
تعتزم Cambridge Cyber International (CCI) أن تتصرف بوصفها أحد هؤلاء الشركاء، وهي صريحة في أنها مساهم واحد بين كثيرين يمكنهم وينبغي لهم ذلك. وموقفها بسيط عن قصد: ثقّف ودرّب وزوّد بالأدوات، بدلاً من إسناد اللوم. وفي الممارسة يتحول ذلك إلى أمرين بنَتهما بالفعل. الأول هو أكاديميتها Academy، التي يفيد تدريبها أي مؤسسة تبني المهارات السيبرانية التي ستحتاجها فرقها، بصرف النظر عن المكان الذي تحصّل منه تلك المؤسسة لاحقاً بقية قدرتها. والثاني هو مجموعة CySSURANCE، التي تحمل الفكرة نفسها إلى جانب الأدوات عبر جمع طائفة من وظائف الجاهزية في مكان واحد: جمع الأدلة الآلي، ونمذجة معمارية المؤسسة، وحساب المرونة، وتقييم الخسارة المالية، وتقييم الكوادر، وتمارين تكنولوجيا المعلومات والاتصالات (ICT)، والمعالجة المرتّبة حسب الأولوية، وإدارة المورّدين، والإعداد للتدقيق، ولوحات المعلومات على مستوى مجلس الإدارة. ومجتمعة، فإن التثقيف والتدريب والأدوات تجيب على أعباء الجاهزية للتدقيق والقوى العاملة التي يضاعفها توسّع النطاق، وهو تحديداً العمل الذي يجب إنجازه قبل الحاجة إليه لا بعد الحادث. وتُذكَر هذه هنا بوصفها مثالاً على الحجة، لا غرضاً منها. فالحجة قائمة سواء تعامل القارئ مع CCI، أو مع أحد أقرانها، أو بنى القدرة داخلياً بالكامل.
الحجج المضادة والقيود
الاعتراض البديهي هو أن شركة تصف عروضها الخاصة بأنها إسهام خيّر إنما تمارس إعلاناً بأخلاق أرقّ. وهذا الاعتراض يستحق جواباً حقيقياً لا طمأنة. والجواب هو محكّ يستطيع القارئ تطبيقه: هل يساعد الإسهام مؤسسة لا تشتري شيئاً أبداً؟ التدريب الذي يرفع جاهزية فريق سواء أفضى إلى عقد أم لا، والتوجيه الدقيق سواء جرى تربيحه أم لا، والصدق بشأن متى يكون منافس أو بناء داخلي هو الأنسب، كلها تجتاز ذلك المحك؛ أما المورد الذي لا نفع فيه ما لم يُشترَ فيسقط فيه. وللقراء الحق في محاسبة هذا المقال، ومحاسبة CCI، وفق ذلك المعيار.
الاعتراض الثاني هو أن القدرة الخاصة لا يمكن أن تحل محل السلطة العامة، ولا ينبغي لها أن تحاول. وهذا صحيح، ولا شيء هنا يقترحه. الحجة تكميلية لا بديلة. فتفويض ANSSI ووضع المعايير والتنسيق هي بالضبط الأمور التي لا يستطيع الفاعلون من القطاع الخاص ولا ينبغي لهم تقديمها. والادعاء أضيق: أن الدفاع في الزمن الحقيقي الذي يعجز الإنفاذ عن أدائه يُبنى من القدرة، وأن هذه القدرة يمكن وينبغي أن تُسهَم بها من أكثر من اتجاه.
القيد الثالث والأكثر واقعية يتعلق بالمصدر. فالمقابلة ليست أداة قانونية، والأرقام والتواريخ المحددة، بما فيها أرقام النطاق الدقيقة ووضع قانون نقل NIS 2، ينبغي التحقق منها في مقابل النصوص الأولية بمجرد أن تصبح نهائية. وجدول النقل على وجه الخصوص يقع بيد البرلمان الفرنسي لا بيد أي وكالة تنفيذية. لا شيء من هذا يغيّر الحجة البنيوية، التي لا تستند إلى أي تاريخ بعينه، لكنه سبب للتحقق من التفاصيل قبل التصرف بناءً عليها.
آثار على الممارسة أو السياسة
بالنسبة لمجلس إدارة أو مدير أمن المعلومات، فإن النتيجة العملية لمعاملة الدفاع بوصفه شيئاً يُبنى قبل الحاجة إليه لا يُفرض بعد وقوع الأمر هي تغيّر في التسلسل. فقرارات القدرة، من يُدرَّب، وأي أدوات تجعل الأدلة مستمرة، وكيف تتوسع الكوادر، تتقدم زمنياً، قبل موعد الإنفاذ لا استجابة له. وعملياً يعني ذلك بدء جاهزية القوى العاملة قبل تأكيد الإدراج في النطاق، ومعاملة جمع الأدلة المستمر بوصفه قدرة قائمة لا هرولة سابقة للتدقيق، والتخطيط للكوادر في مواجهة سوق عمل سيكون في أشد حالات الضيق تحديداً حين تمد أكبر مجموعة من الكيانات المنظَّمة حديثاً يدها نحو المهارات نفسها.
بالنسبة للفاعلين من القطاع الخاص ذوي القدرة ذات الصلة، فالأثر دعوة للإسهام قبل الطلب: أن يجعلوا التثقيف والتدريب والأدوات مفيدة بمعزل عن أي بيع، وأن يكونوا صريحين بشأن ذلك. وتُقدَّم أكاديمية CCI ومجموعتها CySSURANCE بهذه الروح، بوصفها خيارات ضمن عدة خيارات لا بوصفها المسار الوحيد، واختيار المزود يهم أقل بكثير من حقيقة بناء القدرة قبل الحاجة إليها.
بالنسبة للعلاقة بين القطاعين العام والخاص ككل، فالأثر تغيّر في المقام. الإطار المثمر هو هدف مشترك، دفاع سيبراني يعمل في الممارسة، لا سجل لمن فعل أو لم يفعل ما يكفي. وتعبيره العملي مباشر: ثقّف ودرّب وزوّد بالأدوات قبل الحاجة، بدلاً من توزيع اللوم بعد وقوع الأمر. الإنفاذ والإسهام ليسا متنافسين. إنهما جزآن مختلفان من المسعى نفسه.
الخاتمة
تتولى ANSSI مهمة صعبة بحق، أربعة أنظمة قانونية، ونقاش سياسي لا تستطيع حسمه وحدها، وهجرة تشفيرية متعددة السنوات، وهيئة تنسيق جديدة، وجمهور خاضع للتنظيم ينمو بعشرين ضعفاً، وهي تتولى تلك المهمة باستراتيجية متماسكة قائمة على التوجيه أولاً اختيرت في ظل قيود واقعية. وقراءة موقفها بأمانة تفضي إلى استنتاج بنيوي لا نقدي: لأن الإنفاذ لا يمكنه التحرك إلا بعد الحادث، فإن الدفاع الذي يهم في اللحظة يُبنى مسبقاً، من قدرة يجب أن تكون موجودة قبل الحاجة إليها. تلك القدرة مشكلة مشتركة، أكبر من أي مؤسسة واحدة، ومن الأفضل مواجهتها من قبل كل قادر على الإسهام فيها، من أكثر من اتجاه، في خدمة هدف يحمله المجال كله بالفعل معاً. والموقف المفيد للقدرة الخاصة إذن ليس انتظار التكليف، بل البناء والمشاركة قبل الطلب، دون توقع شيء بعينه في المقابل، لأن منظومة أفضل دفاعاً هي المقابل. الدفاع السيبراني يُبنى قبل الحادث. والعمل الجدير بالقيام هو البناء.
من أين تبدأ
إذا كانت فرقك تبني الجاهزية السيبرانية لما هو آتٍ، فإن CCI Academy نقطة انطلاق مفتوحة، سواء عملت مع CCI أكثر من ذلك أم لا. تدريبها مفيد بحد ذاته. اعتبره باباً مفتوحاً لا وجهة نهائية.
References
Agence Nationale des Fréquences (2026). Cyber Resilience Act. https://www.anfr.fr/proteger/equipements-radio-electriques/cyber-resilient-act
ANSSI, cyber.gouv.fr (2026a). Cyber Resilience Act. https://cyber.gouv.fr/reglementation/cybersecurite-des-produits/cyber-resilience-act/
ANSSI, cyber.gouv.fr (2026b). NIS 2: l'ANSSI poursuit et renforce sa dynamique d'accompagnement. https://cyber.gouv.fr/actualites/nis-2-lanssi-poursuit-et-renforce-sa-dynamique-daccompagnement/
Autorité de contrôle prudentiel et de résolution (2026). FAQ sur la directive et le règlement DORA. https://acpr.banque-france.fr/fr/reglementation/focus-sur-la-reglementation/transverse/digital-operational-resilience-act-dora/faq-sur-la-directive-et-le-reglement-dora
Autorité des marchés financiers (2026). The Regulation on Digital Operational Resilience in the Financial Sector (DORA). https://www.amf-france.org/en/news-publications/depth/dora
Belfiore, G. (2026). Chiffrement vs Police: "Le choix sera politique", prévient le patron de l'ANSSI. Clubic. https://www.clubic.com/dossier-618682-interview-anssi.html
Ledieu-Avocats (2026). ANSSI, projet de décret NIS2 "mesures techniques" v2.5, ReCyF du 17 mars 2026. https://ledieu-avocats.fr/anssi-projet-decret-nis2-mesures-techniques-v2-5-recyf-du-17-mars-2026/
Repenning, N. P., and Sterman, J. D. (2001). Nobody ever gets credit for fixing problems that never happened: creating and sustaining process improvement. California Management Review, 43(4), 64 to 88. https://doi.org/10.2307/41166101
Repenning, N. P., and Sterman, J. D. (2002). Capability traps and self-confirming attribution errors in the dynamics of process improvement. Administrative Science Quarterly, 47(2), 265 to 295. https://doi.org/10.2307/3094806
Sterman, J. D. (2000). Business Dynamics: Systems Thinking and Modeling for a Complex World. Boston: Irwin McGraw-Hill. https://systemdynamics.org/product/business-dynamics-systems-thinking-and-modeling-for-a-complex-world/