إعادة التفكير في مرونة الأعمال في عام 2026: تنامي دور الأمن والحوكمة والمخاطر

إذا كان عام 2025 قد مثّل مرحلة تصاعد في المشهد التنظيمي، فإن عام 2026 هو عام دخول هذه المتطلبات حيز التنفيذ بقوة. فالجهات التنظيمية تسرّع وتيرة الإنفاذ، بدءًا من أطر الاتحاد الأوروبي مثل NIS2 وDORA وAI Act، مرورًا بمتطلبات الخصوصية الجديدة في أستراليا والهند والبرازيل، وصولًا إلى قواعد US SEC. والتوقع واضح: على الشركات أن تثبت فاعلية ضوابطها، وأن ترسخ الحوكمة، وأن تضع خططًا واضحة لتعزيز المرونة.

ولم تعد مجالات الأمن والحوكمة والمخاطر (SGR) مجرد متطلبات امتثال. بل أصبحت ركائز تنفيذية تؤثر في الوصول إلى السوق والتقييم والقدرة على الصمود.

يسلط تقرير المخاطر العالمية لعام 2025 الضوء على المعلومات المضللة والتجسس الإلكتروني والاضطرابات المدفوعة بالتقنية بوصفها من أشد المخاطر قصيرة الأجل. وهذا يشير إلى أن الرقمنة لم تعد مجرد عامل تقني، بل أصبحت متغيرًا اقتصاديًا كليًا يتعين على القادة إدارته بفاعلية.

تضيف رؤى الثقة الرقمية العالمية من PwC 2025 تذكيرا صارخا: فبينما تخطط 77% من المؤسسات لزيادة ميزانيات الأمن الإلكتروني، لا تفيد سوى 2% منها بوجود مرونة إلكترونية على مستوى المؤسسة بأكملها. وتكشف هذه الفجوة عن غياب هياكل الحوكمة، وغموض صلاحيات صناعة القرار، وضعف المساءلة على مستوى مجلس الإدارة.

وعلى صعيد أوروبا، انتقل توجيه NIS2 من مرحلة المواعيد النهائية إلى مرحلة الإنفاذ. ولا تزال الدول الأعضاء تستكمل مواءمته ضمن تشريعاتها الوطنية. وهو يرفع سقف المتطلبات المفروضة على الكيانات الأساسية والمهمة في مجالات إدارة المخاطر، والإبلاغ عن الحوادث، ومساءلة الإدارة. ومن المتوقع أن تتشدد الرقابة في مطلع عام 2026 مع دخول القوانين الوطنية حيز النفاذ، ومع دفع إجراءات المخالفة الجهات المتأخرة إلى الامتثال.

ومع اقتران ذلك بقانون المرونة التشغيلية الرقمية للاتحاد الأوروبي (DORA) الخاص بالخدمات المالية، وبمنظور أمن المنتجات في قانون المرونة الإلكترونية (Cyber Resilience Act)، أصبحت المنظومة التنظيمية الأوروبية تربط الحوكمة مباشرة بالاعتماد على الموردين. كما يعزز مسارات الاختبار والأدلة، ويحوّل البرامج الشكلية إلى برامج مرونة قابلة للتدقيق.

ولم يعد بُعد الذكاء الاصطناعي مجرد طرح نظري. وقد دخلت الالتزامات المرحلية في قانون الذكاء الاصطناعي في الاتحاد الأوروبي حيز التنفيذ بالفعل. فهي تفرض متطلبات للشفافية على الذكاء الاصطناعي للأغراض العامة (GPAI) ونماذج الأساس منذ أغسطس 2025، مع محطة رئيسية في أغسطس 2026 لأنظمة الذكاء الاصطناعي عالية المخاطر. ويتعين على المؤسسات التي تستخدم الذكاء الاصطناعي في الموارد البشرية أو الائتمان أو التشخيص الطبي أو البنية التحتية الحيوية أن تجهز أطرًا لإدارة المخاطر، وآليات للإشراف البشري، ووثائق قادرة على الصمود أمام مراجعة الجهات التنظيمية.

وفي الولايات المتحدة، وحَّدت قواعد الإفصاح السيبراني الصادرة عن لجنة الأوراق المالية والبورصات (SEC) متطلبات الإبلاغ عن الحوادث خلال 4 أيام عمل، إلى جانب الإفصاحات السنوية المتعلقة بالحوكمة. وهذا يدفع نحو مواءمة العمل بين فرق الأمن والشؤون المالية والشؤون القانونية. وأصبحت استثناءات الأهمية النسبية وتأخير الإبلاغ تخضع للاختبار العملي الآن. ويجب أن تكون لدى مجالس الإدارة والمديرين التنفيذيين لأمن المعلومات أطر جاهزة لصناعة القرار.

وتواجه كندا حالة من عدم اليقين عقب تعثر مشروع القانون Bill C-27. ومع ذلك، فإن الأطر التنظيمية على مستوى المقاطعات، بقيادة قانون Québec’s Law 25 وتوجيهات الجهات التنظيمية، ترفع سقف التوقعات على المستوى الوطني، لا سيما في ما يتعلق بالعقوبات وبيانات الأطفال وشفافية القرارات الآلية. وينبغي للشركات متعددة الجنسيات أن تضع استراتيجية للتعامل مع مشهد تنظيمي متباين، على نحو يضمن المواءمة مع أكثر المعايير صرامة.

وفي آسيا، يجري تقنين نهج عملي للتعامل عبر الحدود، إذ توضح الصين مسارات نقل البيانات إلى الخارج، مثل تقييمات الأمان والعقود القياسية والشهادات، وتخفف بعض الحدود التنظيمية، مع الإبقاء على متطلبات صارمة لحوكمة البيانات. وتحافظ سنغافورة على نموذجها السريع في الإخطار بحوادث الاختراق، بمهلة 3 أيام إلى PDPC بمجرد تحديد أن الحادثة قابلة للإبلاغ، كما تواصل إنفاذًا واضحًا مرتبطًا بحوادث برامج الفدية من خلال التعهدات.

أقرت أستراليا أهم إصلاح تشريعي في مجال الخصوصية منذ عقود. وتشمل هذه التعديلات أسبابًا قانونية جديدة للمطالبة بالتعويض، وجرائم لمكافحة نشر البيانات الشخصية بقصد الإضرار، وتعزيز صلاحيات OAIC، وتدابير أمنية تقنية وتنظيمية، وشفافية في القرارات المؤتمتة، ومدونة لخصوصية الأطفال على الإنترنت ضمن مهلة تنفيذ تمتد 24 شهرًا. وقد دخل عدد من هذه الأحكام حيز التنفيذ بالفعل. ومع دخول بعض المتطلبات حيز التنفيذ بالفعل، واستمرار تطبيق متطلبات أخرى على مراحل حتى December 2026 وما بعده، بما في ذلك قانون خصوصية الأطفال على الإنترنت (Children’s Online Privacy Code)، يتعين على فرق الحوكمة إدارة هذا التطبيق المرحلي بفاعلية.

وفي أمريكا اللاتينية، نشرت السلطة الوطنية لحماية البيانات في البرازيل (ANPD) خريطة إنفاذ للفترة 2026–2027 تعطي الأولوية لحقوق أصحاب البيانات، وحوكمة القطاع العام، والذكاء الاصطناعي والتقنيات الناشئة، وبيانات الأطفال في إطار Digital ECA الجديد. وتنسق خريطة الإنفاذ هذه أعمال الرقابة والعقوبات بعد جولات الإرشاد التنظيمي.

وخلاصة الأمر أن عام 2026 هو العام الذي ستحدد فيه مجالات الأمن والحوكمة والمخاطر (SGR) أهليتك التشغيلية عبر تصميم المنتجات، ونشر الذكاء الاصطناعي، والإفصاح في أسواق رأس المال، والبيانات العابرة للحدود.

وتوضح الأولويات التالية كيف يمكن للمؤسسات تحويل الضغط التنظيمي إلى ميزة استراتيجية، مع الحد من الاحتكاك وإعادة العمل والمخاطر على مستوى المؤسسة.

• الانتقال من مجرد الامتثال إلى بناء القدرات. أنشئ أنظمة جاهزة للتدقيق، بما يشمل الضوابط والسجلات والاختبارات وتقييمات أثر حماية البيانات (DPIAs)، بحيث يمكن استخدامها أيضًا كمواد داعمة للمبيعات.
• وحّد آليات الإبلاغ عن الحوادث. واءم الجداول الزمنية الخاصة بما يلي: GDPR وNIS2 وDORA وSEC وPDPA وDPDP ضمن إطار موحد لتلقي البلاغات وصناعة القرار. واعتمد القوالب مسبقًا، وحدد مسارات تصعيد الاستشارات القانونية.
• حوّل حوكمة الذكاء الاصطناعي إلى ممارسة تشغيلية. احصر استخدامات الذكاء الاصطناعي، وصنف المخاطر، وطبّق أدلة الإشراف والامتثال، مثل متطلبات قانون الذكاء الاصطناعي في الاتحاد الأوروبي قبل أغسطس 2026.
• حافظ على الانضباط في إدارة البيانات عبر الحدود. واحتفظ بسجل محدَّث لعمليات نقل البيانات والآليات المستخدمة فيها، مثل SCCs والشهادات والتقييمات الأمنية. قيّم خيارات FTZ (مناطق التجارة الحرة) والبنية التحتية للموافقات في الهند.
• ارتقِ بهندسة الأمن إلى مستوى السياسات. اربط السياسات بضوابط قابلة للإثبات، مثل التشفير، وإدارة الوصول، والتسجيل، وBCP، واحتفظ بالمستندات جاهزة لإجراءات العناية الواجبة.
• وحّد المعايير وفق أكثر الأنظمة صرامة. قلّل إعادة العمل والاحتكاك التعاقدي من خلال المواءمة مع أعلى المتطلبات، مثل Law 25 في كندا أو NIS2/DORA في الاتحاد الأوروبي.

ومن الضروري إثبات الجاهزية في عام 2026 - قبل أن تفرض الجهات التنظيمية أو الحوادث أو عمليات تدقيق الذكاء الاصطناعي هذا الأمر. وتحدد خارطة الطريق الممتدة 90 يومًا الإجراءات الأكثر أهمية:

1. المجلس والسياسات: اعتماد ميثاق موحد لمجالات الأمن والحوكمة والمخاطر (SGR) يدمج حدود تقبّل المخاطر، ومعايير الأهمية النسبية للحوادث وفق SEC، ومتطلبات الإبلاغ عن الحوادث في الاتحاد الأوروبي، وحوكمة الذكاء الاصطناعي، ضمن إطار عمل واحد، مع إسناد المساءلة التنفيذية بوضوح إلى مسؤولين محددين بالاسم.
2. الضوابط والأدلة: حافظ على مكتبات للضوابط تشير إلى DORA وNIS2 وDPDP وPDPA، مع أدلة الاختبار ذات الصلة، مثل السجلات، والتذاكر، وTLPT، وDPIAs.
3. جاهزية الذكاء الاصطناعي: بحلول الربع الثاني من عام 2026، استكمل حصر استخدامات الذكاء الاصطناعي، وصنّف حالات الاستخدام عالية المخاطر، وأعد ملفات المطابقة، مثل إدارة المخاطر، والإشراف، والتوثيق، قبل أغسطس 2026.
4. توحيد إدارة الحوادث: ادمج الأدوات القانونية والمالية والأمنية لتفعيل SEC 8-K، والمتطلبات التنظيمية القطاعية في الاتحاد الأوروبي، وإخطارات PDPC عند تحقق الحدود المعتمدة، بما في ذلك الرسائل المعتمدة مسبقًا.
5. الأطفال والإعلانات: طبّق آليات التحقق من العمر، وقلّل التنميط، وقيّد استخدام البيانات الحساسة. وأجرِ عمليات تدقيق لممارسات الإعلانات الموجّهة، بما في ذلك ما يتعلق بالبرازيل والمدونة الأسترالية.
6. البيانات العابرة للحدود: احتفظ بسجل محدّث لتدفقات البيانات الصادرة. واختر الآليات المناسبة، مثل SCC أو الشهادات أو التقييمات، وفقًا للنظام المعمول به في الصين. ووثّق الضرورة وحدود النطاق.

ستكون المؤسسات الأقدر على الازدهار هي تلك التي تدرك هذا التحول الجوهري: فقد أصبحت مجالات الأمن والحوكمة والمخاطر ركائز للميزة الاستراتيجية.

فهي تحدد مدى سرعة الشركة في الابتكار، ومدى ثقتها في دخول أسواق ومناطق جديدة، وكيف يمكنها أن تثبت للعملاء والشركاء والمستثمرين أنها جاهزة للمستقبل.

وفي مشهد تشكله تقنيات الذكاء الاصطناعي، وتدفقات البيانات العابرة للحدود، وتسارع الإنفاذ التنظيمي، أصبحت مجالات الأمن والحوكمة والمخاطر (SGR) تحدد الوتيرة التي يمكن للمؤسسات أن تنمو بها بأمان وعلى نحو مسؤول.

أما الشركات التي تستثمر مبكرًا، من خلال بناء حوكمة قابلة للتوسع، وأمن يثبت المرونة، ونماذج مخاطر تدعم القرارات الفعلية، فستتميز عن غيرها. وستتعامل مع القواعد الجديدة بمرونة، وتستجيب لعمليات التدقيق بثقة، وتكسب الثقة بطرق يصعب على المنافسين تكرارها.

ولم تعد مجالات الأمن والحوكمة والمخاطر (SGR) مجرد تكلفة من تكاليف مزاولة الأعمال. بل أصبحت مؤشرًا على الجاهزية والنضج والطموح. وفي عام 2026، قد تكون مجالات الأمن والحوكمة والمخاطر (SGR) المؤشر الأقوى على المؤسسات التي ستقود قطاعاتها خلال العقد المقبل.

توقّع المخاطر وحددها وخفف من حدتها