احدث القوانين

>

I. النصوص الجزائيـة

مقترح قانون عدد 2024/036 يتعلق بالأمن السيبراني

 

الباب الأول أحكام عامة

 

الفصل الأول – يضبط هذا القانون

  • قواعد ومقتضيات الأمن المنطبقة على النظم المعلوماتية للإدارة العمومية والجماعات المحلية والمؤسسات والمنشآت العمومية وكل شخص معنوي آخر خاضع للقانون العام، يشار إليهم في هذا القانون بـ “الهيئة
  • قواعد ومقتضيات الأمن المطبقة على البنية التحتية ذات الأهمية الحيوية؛ قواعد ومقتضيات الأمن المنطبقة على مستغلي الشبكات العمومية للموصلات ومسدي خدمات الإنترنت ومقدمي خدمات الأمن السيبراني ومقدمي الخدمات الرقمية وناشري منصات الإنترنات يشار إليهم في هذا القانون بـ “المتعهد
  • الإطار الوطني لحوكمة الأمن السيبراني
  • إطار التعاون وتبادل المعلومات بين السلطة الوطنية للأمن السيبراني المحددة بنص ترتيبي، والمشار إليها في القانون بـ “السلطة الوطنية” والمصالح المختصة للدولة المكلفة بمعالجة الجرائم التي تمس بنظم المعالجة الآلية للمعطيات. – المساهمات التي تقدمها السلطة الوطنية للهيئات المختصة من أجل تعزيز الثقة الرقمية، وتطوير رقمنة الخدمات المسداة من طرف الدولة، وحماية المعطيات الشخصية
  • اختصاصات السلطة الوطنية لا سيما فيما يتعلق بتطوير الخبرة الوطنية والتحسيس في مجال الأمن السيبراني لفائدة الهيئات والفاعلين في القطاع الخاص والأفراد، وتعزيز التعاون مع المؤسسات الوطنية والأجنبية.

الفصل 2 – يقصد بالعبارات التالية على معنى هذا القانون ما يلي:

  • الأمن السيبراني : مجموعة التدابير والإجراءات ومفاهيم الأمن وطرق إدارة المخاطر والأعمال وأفضل الممارسات والتكنولوجيات التي تسمح لنظام معلومات أن يقاوم أحداثا مرتبطة بالفضاء السيبراني، من شأنها أن تمس بسلامة وسرية المعطيات المخزنة أو المعالجة أو المرسلة والخدمات ذات الصلة التي يقدمها هذا النظام أو تسمح الولوج إليه
  • جرائم سيبرانية: مجموعة الأفعال المخالفة للتشريع الوطني أو الاتفاقيات الدولية التي صادقت عليها الجمهورية التونسية، التي تستهدف شبكات ونظم المعلومات أو تستعملها كوسيلة لارتكاب جنحة أو جناية
  • تهديد سيبراني: كل عمل يهدف إلى الإخلال بأمن نظام للمعلومات من خلال المساس بتوافر النظام أو المعلومة التي يتضمنها أو بسريتهما
  • أخلاقيات سيبرانية: مجموعة المعايير والقواعد التي تحدد السلوك المسؤول في الفضاء السيبراني
  • بنى تحتية ذات أهمية حيوية: التجهيزات والمنشآت والأنظمة الضرورية للحفاظ على استمرارية الوظائف الحيوية للمجتمع والصحة والأمن والدفاع والسلامة والتقدم الاقتصادي أو الاجتماعي حيث إن أي ضرر أو إتلاف أو ضياع قد يصيبهما يترتب عنه خلل في هذه الوظائف
  • قطاع الأنشطة ذات الأهمية الحيوية: مجموعة الأنشطة التي تقوم بها البنية التحتية ذات الأهمية الحيوية وتساهم في تحقيق نفس الهدف ولها علاقة إما بإنتاج وتوزيع السلع أو الخدمات الضرورية لتلبية الحاجات الأساسية لعيش المواطنين أو ممارسة الدولة لصلاحيتها أو بالحفاظ على قدراتها الأمنية والدفاعية او بسير النشاط الاقتصادي، على اعتبار أن هذه الأنشطة غير قابلة للاستبدال أو التعويض، أو بالنظر للخطر الجسيم الذي قد تشكله على المواطنين
  • نظام معلومات: مجموعة منظمة من الموارد كالمستخدمين والمعدات والبرامج والمعطيات والإجراءات التي تسمح بتجميع المعلومة في بيئة معينة وتصنيفها ومعالجتها ونشرها
  • نظام معلومات حساس: نظام معلومات يعالج معلومات أو معطيات حساسة من شأنها المساس بسريتها أو بسلامة محتواها أو بتوافرها أن يلحق ضررا بهيئة ما أو ببنية ذات أهمية حيوية
  • خدمة لأمن السيبراني” : كل خدمة أمن مقدمة من قبل مسدي خدمات الأمن السيبراني لفائدة هيئة ما أو بنية ذات أهمية حيوية تهم رصد وتشخيص حادث أمن سيبراني وتقوية أمن نظم معلوماتها
  • مسدي خدمات رقمية “ : كل شخص مادي أو معنوي يقدم عن بعد وبطريقة إلكترونية، وبناء على طلب مستفيد ما، إحدى الخدمات التالية:
  • خدمة رقمية تسمح لمستهلكين أو لمهنيين بإبرام عقود بيع أو خدمة عبر الإنترنت
  • خدمة رقمية تسمح للمستعملين القيام بأبحاث على مواقع الإنترنت
  • خدمة رقمية تسمح بالولوج إلى مجموعة مرنة ومتنوعة من الموارد التي يمكن تقاسمها، بما فيها مستضيفي المعطيات أو نظم المعلومات أو هما معا ومسدي الخدمات الرقمية السحابية
  • إيواء”: كل خدمة لتخزين إشارات أو كتابات أو صور أو أصوات أو رسائل بمختلف أنواعها، مقدمة بعوض أو بدون عوض من لدن مسدي الخدمات الرقمية
  • إسناد نظام المعلومات لجهة خارجية”: كل عملية تتمثل في الإسناد الجزئي أو الكلي لنظام معلومات هيئة ما إلى مقدم خدمات معين في إطار عقد يحدد بدقة خاصة في مستوى الخدمات ومدة الإسناد
  • حادث أمن سيبراني“: واقعة أو وقائع غير مرغوب أو غير متوقعة، مرتبطة بأمن نظم المعلومات، والتي يحتمل جدا أن تعرض للخطر أنشطة هيئة ما أو بنية ذات أهمية حيوية أو متعهد أو تهدد سلامة نظمهم المعلوماتية
  • “أزمة أمن سيبراني“: حالة ناتجة عن وقوع حدث أو عدة أحداث متعلقة بالأمن السيبراني، يمكن أن يكون لها وقع خطير على حياة الأفراد أو على ممارسة الدولة لسلطاتها أو سير الاقتصاد أو على المحافظة على القدرات الأمنية والدفاعية للبلاد
  • إدارة حوادث الأمن السيبراني“: عمليات رصد حوادث الأمن السيبراني والتبليغ عنها وتقييمها والتدابير المتخذة للتدخل والمعالجة المتعلقة بها.

الباب الثاني – إجراءات حماية أمن نظم المعلومات

الفرع الأول – أحكام خاصة بالهيئات

الفصل 3 – يتعين على كل هيئة أن تسهر على أن تكون نظم معلوماتها مطابقة للتوجيهات والقواعد والأنظمة والمراجع والتوصيات الصادرة عن السلطة الوطنية.

الفصل 4 – يتعين على كل هيئة أن تضع وتنفذ سياسة لأمن نظم معلوماتها وفق التوجيهات الصادرة عن السلطة الوطنية. يتعين على كل هيئة تحديد المخاطر التي تهدد أمن نظم معلوماتها واتخاد الإجراءات التقنية والتنظيمية اللازمة لإدارة هذه المخاطر، من أجل تجنب الحوادث.

يتعين أن يخضع كل نظام معلومات هيئة تقدم خدمات رقمية للغير لتدقيق أمني قبل الشروع في استغلاله.

يتعين على كل هيئة إجراء تدقيق لنظم معلوماتها بانتظام.

الفصل 5 – يتعين على كل هيئة أن تقوم بتصنيف أصولها المعلوماتية ونظم معلوماتها حسب مستوى حساسيتها من حيث السرية والجهوزية والتوافر، كما تكون تدابير حماية الأصول المعلوماتية ونظم المعلومات متناسبة مع التصنيف المخصص لها. كما يتعين على كل هيئة أن تحدد إجراءات تأهيل الأشخاص الذين يمكنهم الولوج إلى المعلومات المصنفة وشروط معالجة هذه المعلومات أو تبادلها ونظمها أو تخزينها أو نقلها.

ويضبط بأمر الدليل المرجعي لتصنيف أصول المعلومات ونظمها.

الفصل 6 –  على كل هيئة أن تعين مسؤولا عن أمن نظم المعلومات، يتولى السهر على تطبيق سياسة أمن نظم المعلومات. يعتبر المسؤول عن أمن نظم المعلومات مخاطب السلطة الوطنية للأمن السيبراني، ويتعين أن يتمتع بالاستقلالية اللازمة لممارسة مهامه.

الفصل 7 –  على كل هيئة أن توفر الوسائل المناسبة لمراقبة ورصد الأحداث التي قد تمس بأمن نظم معلوماتها ويكون لها وقع بالغ على استمرارية الخدمات التي تقدمها.

لا يمكن للسلطة الوطنية استغلال المعطيات التقنية المتحصل عليها بواسطة الوسائل المذكورة إلا لغرض تحديد ومعالجة الخطر الذي يمس بأمن نظم معلومات الهيئة المعنية.

الفصل 8 –  على كل هيئة فور علمها بأي حادث يؤثر على أمن أو سير نظم المعلومات الخاصة بها أن تقوم بإبلاغ السلطة الوطنية.

تقوم كل هيئة بإبلاغ السلطة الوطنية، بناء على طلب هذه الأخيرة، ودون تأخير، بالمعلومات الإضافية المتعلقة بالحوادث التي تؤثر على أمن أو سير معلوماتها.

تبين السلطة الوطنية المعطيات التقنية والمعلومات المتعلقة بالحوادث التي يجب إبلاغها، وكيفيات إرسالها.

ترسل السلطة الوطنية إلى الهيئة المعنية تقريرا مفصلا يتضمن التدابير والتوصيات لمعالجة الحادث.

الفصل 9 – تعد كل هيئة مخططا لضمان استمرارية أو استئناف الأنشطة يتضمن مجموع الحلول البديلة لإبطال مفعول انقطاعات الأنشطة وحماية الوظائف المهمة والحساسة من الآثار الناجمة عن الاختلالات الأساسية لنظم المعلومات أو عن الكوارث، وضمان استئناف عمل هذ الوظائف في أقرب الآجال.

يتعين اختبار مخطط ضمان استمرارية أو استئناف الأنشطة بصفة منتظمة من أجل تحيينه حسب التطورات الخاصة بالهيئة وتطور التهديدات.

الفصل 10 – في حالة إسناد نظام معلومات حساس لجهة خارجية، يتعين على هذه الجهة احترام القواعد والأنظمة والدلائل المرجعية التقنية المتعلقة بأمن نظم المعلومات والتي تضعها السلطة الوطنية.

الفصل 11 – إيواء المعطيات الحساسة، تتم حصريا داخل التراب الوطني.

الفصل 12 –  يتعين أن يكون كل إسناد خارجي لنظام معلومات حساس موضوع عقد خاضع للقانون التونسي يتضمن وجوبا الإلتزامات المتعلقة بحماية المعلومة وقابليتها للتدقيق واستعادتها، ومتطلبات الأمن ومستوى الخدمة المرغوب فيها.

الفصل 13 – تحدد السلطة الوطنية القواعد والدليل المرجعي التقني المنظم لشروط الأمن المتعلقة بالإسناد الخارجي لنظم المعلومات.

الفرع الثاني – أحكام خاصة بالبنية التحتية ذات الأهمية الحيوية المتوفرة على نظم معلومات حساسة

الفصل 14 – تسري أحكام الفرع الأول من هذا الباب على البنى التحتية ذات الأهمية الحيوية.

الفصل 15 – تضبط بأمر قائمة قطاعات الأنشطة ذات الأهمية الحيوية والسلطات الحكومية والمؤسسات العمومية وباقي الأشخاص المعنويين الخاضعين للقانون العام المشرفين على تنسيق هذه القطاعات.

الفصل 16 – يتم تحديد البنى التحتية ذات الأهمية الحيوية لكل قطاع أنشطة ذات أهمية حيوية، بعد أخذ رأي السلطة الوطنية، من طرف السلطة المعنية أو المؤسسة العمومية أو الشخص المعنوي الخاضع للقانون المشرف على تنسيق هذا القطاع.

تظل قائمة هذه البني التحتية سرية، ويتم تحيينها على فترات منتظمة لا تتعدى سنتين.

الفصل 17 –  يقوم المسؤول عن البنية التحتية ذات الأهمية الحيوية، بناء على نتائج تحليل المخاطر، بإعداد قائمة نظم المعلومات الحساسة، وإرسالها في صيغتها المحينه إلى السلطة الوطنية.

الفصل 18 – يمكن للسلطة الوطنية توجيه ملاحظات إلى المسؤول عن البنية التحتية ذات الأهمية الحيوية بخصوص لائحة نظم المعلومات الحساسة التي تمت موافاتها بها. وفي هذه الحالة يتعين على المسؤول عن البنية ذات الأهمية الحيوية تعديل القائمة وفقا لهذه الملاحظات وإرسال القائمة المعدلة إلى السلطة الوطنية في أجل شهرين من تاريخ التوصل بالملاحظات.

تظل قائمة نظم المعلومات الحساسة سرية.

الفصل 19 – يخضع أمن نظام معلومات حساس للمصادقة قبل الشروع في استغلاله وتحدد السلطة الوطنية دليل المصادقة على نظم المعلومات الحساسة.

الفصل 20 – على المسؤولين عن البنية التحتية ذات الأهمية الحيوية، بناء على طلب من السلطة الوطنية، إخضاع نظم المعلومات الحساسة الخاصة بها إلى تدقيق تقوم به السلطة أو متعهدي التدقيق المؤهلين من قبلها.

تضبط بأمر معايير تأهيل متعهدي التدقيق وطرق إجراء التدقيق.

الفصل 21 – على السؤولين عن البنى التحتية ذات الأهمية الحيوية مد السلطة الوطنية أو متعهد التدقيق المؤهل بالمعلومات والعناصر اللازمة لإجراء التدقيق، بما في ذلك الوثائق المتعلقة بسياستها الأمنية، وعند الاقتضاء، نتائج التدقيق الأمني السابقة، والسماح لهم بالولوج إلى الشبكات ونظم المعلومات موضوع المراقبة قصد إجراء التحليلات واستخراج بيانات المعلومات التقنية.

يجب أن يلتزم متعهدو التدقيق المؤهلون ومستخدموهم تحت طائلة العقوبات المنصوص عليها في المجلة الجزائية باحترام السر المهني طيلة مدة مهمة التدقيق وبعد الانتهاء منها، بشأن المعلومات والوثائق التي تم تجميعها أو اطلعوا عليها أثناء القيام بهذه المهمة.

الفصل 22 – في حالة إجراء التدقيق من طرف متعهد تدقيق مؤهل يقوم المسؤول عن البنية التحتية ذات الأهمية الحيوية بإرسال تقرير التدقيق إلى السلطة الوطنية.

يجب على متعهد التدقيق المؤهل أن يسهر على ضمان سرية تقرير التدقيق.

الفصل 23  – عند إجراء عمليات التدقيق من طرف متعهدي التدقيق المؤهلين، يتحمل المسؤول عن البنية التحتية ذات الأهمية الحيوية المعنية مصاريف هذه العمليات.

الفصل 24 – على كل مسؤول عن بنية ذات أهمية حيوية تم تدقيقها وضع برنامج عمل لتنفيذ التوصيات الواردة في تقارير التدقيق وإرساله إلى السلطة الوطنية قصد متابعة تنفيذه.

الفصل 25 – يتعين أن يلجأ المسؤولون عن البنى التحتية ذات الأهمية الحيوية إلى الخدمات أو المنتوجات أو الحلول التي تسمح بتعزيز الوظائف الأمنية، والتي تحددها السلطة الوطنية.

في حالة إسناد خدمات الأمن السيبراني لجهة خارجية، يتعين على المسؤولين عن البنية التحتية ذات الأهمية الحيوية اللجوء إلى مسدي خدمات مؤهلين من طرف السلطة الوطنية.

تضبط بأمر معايير تأهيل مسدي خدمات الأمن السيبراني.

الفرع الثالث – أحكام خاصة بالمتعهدين

الفصل 26 – على مستغلي الشبكات العمومية للمواصلات ومزودي خدمات الإنترنت ومقدمي خدمات الأمن السيبراني ومقدمي الخدمات الرقمية وناشري منصات الإنترنات التقيد بتوجيهات السلطة الوطنية، لا سيما تلك المتعلقة بالمحافظة على المعطيات التقنية اللازمة لتحديد أي حادث أمن سيبراني.

تتضمن هذه المعطيات التقنية على الخصوص، بيانات الربط والنشرات المعلوماتية وآثار أحداث الأمن الحاصلة عليها بواسطة نظم الاستغلال والتطبيقات ومنتوجات الأمن.

تحدد مدة الاحتفاظ بالمعطيات التقنية اللازمة لتحديد وتحليل الحادث في سنة واحدة، ويمكن تغيير المدة بمقتضى أمر.

الفصل 27 – يخطر مستغلو الشبكات العامة للمواصلات ومزود و خدمات الإنترنت خدمات الأمن السيبراني ومقدمو الخدمات الرقمية وناشرو منصات ومقدمين الإنترنت حرفائهم بهشاشة نظم معلوماتهم أو الاختراق الذي قد تتعرض له.

الفصل 28 – لضمان أمن نظم المعلومات الخاصة بالهيئات والبيات التحتية ذات الأهمية الحيوية، يسمح لأعوان السلطة الوطنية المعتمدين حصريا بهدف الوقاية وتحديد خصائص التهديد السيبراني، بتجميع وتحليل المعطيات التقنية، دون أي استغلال آخر، لدى مستغلي الشبكات العامة للمواصلات ومزودي خدمات الإنترنت ومسدي خدمات الأمن السيبراني ومسدي الخدمات الرقمية وناشري منصات الإنترنت. تؤهل السلطة الوطنية لوضع أجهزة تقنية على الشبكات العامة للمواصلات وشبكات مزودي خدمات الإنترنت حصريا بهدف رصد الأحداث التي قد تؤثر على أمن نظم معلومات الهيئات والبنى التحتية ذات الأهمية الحيوية.

توضع هذه الأجهزة حصريا خلال المدة وفي الحدود التي يتطلبها تحديد خصائص التهديد.

الفصل 29 – على مستغلي الشبكات العمومية للمواصلات ومزودي خدمات الإنترنت ومقدمي خدمات الأمن السيبراني ومقدمي الخدمات الرقمية وناشري الإنترنت في إطار توجيهات السلطة الوطنية، اتخاذ التدابير الحمائية اللازمة للوقاية وإبطال مفعول التهديدات أو الإخترقات التي تمس نظم معلومات حرفائهم.

الفصل 30 – يتعين على مستغلي الشبكات العمومية للمواصلات ومزودو خدمات الإنترنت ومقدمو خدمات الأمن السيبراني ومقدمو الخدمات الرقمية وناشرو منصات الإنترنت حال رصد أحداث قد تؤثر على أمن نظم معلومات حرفائهم إخبار السلطة  الوطنية فورا بذلك.

الفصل 31 – على مستغلي الشبكات العمومية للمواصلات ومزودي خدمات الإنترنت أن يستعملوا، في شبكات الاتصالات الإلكترونية التي يستغلونها ، أجهزة للرصد تشتغل بعلامات تقنية توفرها السلطة الوطنية، وذلك فقط بهدف رصد الأحداث التي قد تؤثر على أمن نظم معلومات مشتركيها.

الفصل 32 – على مسدي الخدمات الرقمية تحديد المخاطر التي تهدد نظم معلوماتهم، واتخاذ التدابير التقنية والتنظيمية اللازمة لإدارة هذه المخاطر، وذلك لمنع وقوع الحوادث التي قد تؤثر سلبا على هذه الشبكات ونظم المعلومات، والتقليل إلى أدني حد ممكن من أثر هذه المخاطر ضمانا لاستمرارية هذه الخدمات.

الفصل 33 – على مسدي الخدمات الرقمية فور علمهم بأي حوادث تؤثر على الشبكات ونظم المعلومات اللازمة لتوفير خدماتهم، أن يقوموا بإبلاغ السلطة الوطنية بها، وذلك حينما يتبين من المعلومات المتوفرة لديهم أن لهذه الحوادث وقع بالغ يؤثر على تقديم هذه الخدمات.

الفصل 34 – إذا تم، بأي وسيلة كانت إخبار السلطة الوطنية بأن أحد مسدي الخدمات الرقمية لا يفي بأحد الالتزامات المنصوص عليها في هذا القانون، يمكن لهذه السلطة أن تخضعه للمراقبة من أجل التحقق من تقيده بهذه الالتزامات و من مستوى أمن الشبكات ونظم المعلومات اللازمة لتقديم خدماته.

تتم المراقبة من قبل السلطة الوطنية أو من قبل متعهدي التدقيق المؤهلين من قبل هذه السلطة، وفي هذه الحالة الأخيرة، يتحمل مقدم الخدمات الرقمية مصاريف عمليات المراقبة.

إذا تبين أثناء إجراء المراقبة وجود إخلال بالالتزامات الملقاة على عاتق مقدم الخدمات بموجب هذا الفرع ، يمكن للسلطة الوطنية التنبيه على مسيري مقدم الخدمات المعني بالتقيد بهذه الالتزامات، وذلك في أجل تحدده هذه السلطة.

الباب الثالث  – حوكمة الأمن السيبراني

الفرع الأول  – اللجنة الاستراتيجية للأمن السيبراني

الفصل 35 – تحدث “لجنة استراتيجية للأمن السيبراني” ، يعهد إليها القيام بالمهام التالية:

  • ضبط التوجهات الاستراتيجية للدولة في مجال الأمن السيبراني والسهر على ضمان صمود نظم معلومات الهيئات والبنى التحتية ذات الأهمية الحيوية والمتعهدين المشار إليهم في الفرع الثالث من الباب الثاني من هذا القانون؛
  • التقييم السنوي لأنشطة السلطة الوطنية؛
  • تقييم عمل اللجنة الوطنية لإدارة الأزمات والأحداث السيبرانية الجسيمة، المنصوص عليها بالفصل 36 وما بعده؛
  • حصر نطاق تدقيقات أمن نظم المعلومات التي تنجزها السلطة الوطنية؛
  • تشجيع البحث والتطوير في مجال الأمن السيبراني؛
  • تشجيع برامج وأنشطة التحسيس وتعزيز القدرات في مجال الأمن السيبراني لفائدة الهيئات والبنى التحتية ذات الأهمية الحيوية؛
  • إبداء الرأي في مشاريع القوانين والنصوص الترتيبية المتعلقة بمجال الأمن السيبراني.

وتضبط بأمر تركيبة وطرق سير اللجنة الاستراتيجية للأمن السيبراني.

الفصل 36 – تحدث لدى اللجنة الاستراتيجية للأمن السيبراني، لجنة لإدارة الأزمات والأحداث السيبرانية الجسيمة تكلف بضمان التدخل والتنسيق في مجال الوقاية وإدارة الأزمات على إثر وقوع حوادث أمن سيبراني.

ولهذا الغرض، يتعين على مستغلي الشبكات العمومية للمواصلات ومزودي خدمات الإنترنت ومقدمي خدمات الأمن السيبراني ومقدمي الخدمات الرقمية الامتثال للأوامر الصادرة عن لجنة إدارة الأزمات والأحداث السيبرانية والاستجابة لطلباتها المتعلقة بالدعم والمساعدة التقنية.

وتضبط بأمر تركيبة اللجنة وطرق سيرها ومجال تدخل كل عضو من أعضائها.

الفصل 37 – يمكن للجنة إدارة الأزمات والأحداث السيبرانية الجسيمة، من أجل التصدي الحوادث الأمن السيبراني الجسيمة ان تحدد التدابير التي يتوجب على مسؤولي الهيئات والبنى التحتية ذات الأهمية الحيوية تنفيذها وأن تقدم توصيات ونصائح إلى متعهدي القطاع الخاص والأفراد.

الفرع الثالث – السلطة الوطنية للأمن السيبراني

الفصل 38 – يعهد إلى السلطة الوطنية مهمة تنفيذ استراتيجية الدولة في مجال الأمن السيبراني.

ولهذا الغرض، تتولى السلطة الوطنية، علاوة على المهام الأخرى المسندة إليهما بمقتضى هذا القانون القيام بالمهام التالية:

  • تنسيق الأعمال المتعلقة بإعداد وتنفيذ استراتيجية الدولة في مجال الأمن السيبراني والسهر على ضمان تطبيق توجيهات اللجنة الاستراتيجية للأمن السيبراني؛
  • ضبط تدابير حماية نظم المعلومات والسهر على ضمان تطبيقها؛
  • تقديم اقتراحات إلى اللجنة الاستراتيجية للأمن السيبراني بخصوص تدابير التصدي للأزمات التي تمس أو تهدد أمن نظم معلومات الهيئات والبنى التحتية ذات الأهمية الحيوية؛ – تأهيل مقدمي خدمات تدقيق نظم المعلومات الحساسة للبنى التحتية ذات الأهمية الحيوية ومقدمي خدمات الأمن السيبراني؛
  • وضع تصور للوسائل اللازمة لضمان أمن الاتصالات الإلكترونية بين الوزارات وتنسيق تفعيلها؛
  • القيام بأعمال المراقبة المنصوص عليها في هذا القانون؛
  • السهر على ضمان إجراء عمليات تدقيق أمن نظم معلومات الهيئات والبنى التحتية ذات الأهمية الحيوية؛
  • تدقيق متعهدي خدمات الأمن السيبراني ومقدمي الخدمات الرقمية الذين يقدمون خدمات للبنى التحتية ذات الأهمية الحيوية المتوفرة على نظم معلومات حساسة
  • تقديم المساعدة والنصائح إلى الهيئات والبنى التحتية ذات الأهمية الحيوية قصد تعزيز أمن نظم معلومتها؛
  • مساعدة مرافقة الهيئات والبنى التحتية ذات الأهمية الحيوية لوضع أجهزة لرصد أحداث مست أوقد تمس بأمن نظم معلوماتها و تنسيق إجراءات التصدي لهذه الأحداث؛
  • التعاون مع الهيئات والبنى التحتية ذات الأهمية الحيوية، من خلال إعداد نظام خارجي لليقظة والرصد والإنذار بأحداث مست أو قد تمس بأمن نظم معلوماتها وتنسيق إجراءات التصدي لهذه الأحداث؛
  • القيام بأنشطة البحث العلمي والتقني في مجال الأمن السيبراني وتشجيعها.

الفصل 39 – يتعين على السلطة الوطنية ضمان سرية المعلومات الحساسة التي تجمعها في إطار القانون.

الفصل 40 – تحدد السلطة الوطنية قواعد الأمن اللازمة لحماية نظم معلومات الهيئات والبنى التحتية ذات الأهمية الحيوية والمتعهدين المشار إليهم في الفصل الأول من هذا القانون.

تحدد السلطة الوطنية قواعد أمن خاصة بقطاع أنشطة ذي أهمية حيوية معين.

وتقوم بتبليغ هذه القواعد وطرق وأجال تطبيقها إلى مسؤولي البنية التحتية ذات الأهمية الحيوية التابعين للقطاع المعني.

على المسؤولين سالفي الذكر تطبيق هذه القواعد على نفقتهم.

الفصل 41  – من أجل التصدي لأي هجوم إلكتروني يستهدف نظم المعلومات ويمس بالوظائف الحيوية للمجتمع أو الصحة أو السلامة أو الأمن أو الدفاع أو التقدم الاقتصادي والاجتماعي، يقوم أعوان السلطة الوطنية بالتحريات التقنية اللازمة لتحديد خصائص الهجوم ويسهرون على ضمان تنفيذ التدابير والتوصيات المتعلقة بها.

الفصل 42 – تتعاون السلطة الوطنية مع السلطات المختصة في الدولة من خلال تبادل أي معطيات أو معلومات قد تساعدها على معالجة الجرائم التي تخل بسير نظم المعالجة الآلية للمعطيات.

إذا تبين للسلطة الوطنية، أثناء ممارسة مهامها وجود فعل يشتبه في مخالفته،

يتعين عليها إحالة الأمر إلى السلطات المختصة.

يتعين على السلطات المختصة إعلام السلطة الوطنية بمآل الإحالة

الباب الرابع  – التكوين والتحسيس والتعاون

الفصل 43 – تقوم السلطة الوطنية، بالتعاون مع المتدخلين والمهنيين في مجال الأمن السيبراني، بتنظيم دورات تكوينية وتمارين لفائدة مستخدمي الهيئات والبنى التحتية ذات الأهمية الحيوية من أجل تطوير وتعزيز القدرات الوطنية في هذا المجال.

وتحدث لهذا الغرض مدرسة عليا للأمن السيبراني.

الفصل 44 –  تقوم السلطة الوطنية بضبط وتنفيذ برامج تحسيسية بشأن الأخلاقيات السيبرانية والتحديات المتعلقة بتهديدات ومخاطر الأمن السيبراني لفائدة مستخدمي الهيئات والبنى التحتية ذات الأهمية الحيوية والقطاع الخاص والأفراد.

تنشر بانتظام على الموقع الإلكتروني للسلطة الوطنية الإرشادات والتوصيات الوقائية المتعلقة بالأمن السيبراني لفائدة مستخدمي الهيئات والبنى التحتية ذات الأهمية الحيوية والقطاع الخاص والأفراد.

الفصل 45 – تسهم السلطة الوطنية في دعم البرامج التي تعدها الهيئات المختصة في الدولة من أجل تعزيز الثقة الرقمية وتطوير رقمنة الخدمات وحماية المعطيات الشخصية

الفصل 46 – تقوم السلطة الوطنية، بعد التشاور مع الوزارات المعنية، بتطوير علاقات التعاون مع المنظمات الوطنية والأجنبية في مجال الأمن السيبراني وتنسيقها.

الفصل 47 – تقوم السلطة الوطنية بربط علاقات التعاون على الصعيدين الوطني والدولي لمعالجة حوادث الأمن السيبراني وتطوير تبادل التجارب والخبرات في هذا المجال.

الباب الخامس – معاينة المخالفات والعقوبات

الفصل 48 – يؤهل للبحث عن المخالفات لأحكام هذا القانون والنصوص المتخذة لتطبيقه ومعاينتها بواسطة محاضر، علاوة على أعوان الضابطة العدلية، أعوان السلطة الوطنية المنتدبون لهذا الغرض والمحلفون وفق التشريع الجاري به العمل.

توجه محاضر معاينة المخالفات إلى النيابة العمومية المختصة.

الفصل 49 – مع مراعاة العقوبات الجزائية الأشد المنصوص عليها في التشريع الجاري به العمل، يعاقب بغرامة من 30 ألف دينار إلى 60 ألف دينار؛

  • كل مسؤول عن هيئة أو بنية تحتية ذات أهمية حيوية قام بإيواء المعطيات الحساسة خارج التراب الوطني، خرقا لأحكام الفصل 11 المشار إليه أعلاه،
  • كل مسؤول عن بنية تحتية ذات أهمية حيوية تتوفر على نظام معلومات حساس شرع في استغلاله دون إخضاعه للمصادقة المنصوص عليها في الفصل 19 المشار غليه أعلاه،
  • كل مسؤول عن بنية تحتية ذات أهمية حيوية عهد إليه بتدقيق أمن نظم المعلومات الحساسة الخاصة ببنيته تحتية إلى متعهد تدقيق غير مؤهل خرقا لأحكام الفصل 20 المشار إليه أعلاه،
  • كل من قدم خدمات تدقيق أمن نظم المعلومات الحساسة للبنى التحتية ذات الأهمية الحيوية دون أن يكون مؤهلا من قبل السلطة الوطنية أو استمر في تقديم هذه الخدمات رغم سحب تأهيله من قبل السلطة.
  • كل مسؤول عن بنية تحتية ذات أهمية حيوية أسند خدمات الأمن السيبراني إلى مسدي خدمات غير مؤهل خرقا لأحكام الفصل 25 المشار إليه أعلاه
  • كل من قدم خدمات الأمن السيبراني دون أن يكون مؤهلا من قبل السلطة الوطنية أو استمر في تقديم هذه الخدمات رغم سحب تأهيله من قبل هذه السلطة.

الفصل 50 – مع مراعاة العقوبات الجزائية الأشد المنصوص عليها في التشريع الجاري به العمل، يعاقب بغرامة من 20 آلاف إلى 40 ألف دينار

  • كل من أخل بالالتزامات المتعلقة بإبلاغ السلطة الوطنية عن الحوادث، خرقا لأحكام الفصول 8 و 30 و 33 المشار إليهم أعلاه
  • كل من قام بأي وسيلة كانت بعرقلة أو بمنع إجراء عمليات تدقيق أمن نظم المعلومات الحساسة للبنية التحتية ذات الأهمية الحيوية، المنصوص عليها بالفصل 20 المشار إليه أعلاه
  • كل متعهد لشبكة عمومية للمواصلات أو مزود خدمات الإنترنت أو مقدم خدمات الأمن السيبراني أو مقدم الخدمات الرقمية أو ناشر منصات الإنترنت أخل بالالتزامات المنصوص عليها بالفصل 26 المشار إليه أعلاه
  • كل متعهد لشبكة عمومية للمواصلات أو مزود خدمات الإنترنت أو أعوانهم، عرقل أعمال السلطة الوطنية أو أعوانها المنصوص عليها في الفصل 28 المشار إليه أعلاه؛
  • كل مسدي خدمة رقمية امتنع عن اتخاذ التدابير المنصوص عليها بالفصل 32 المشار إليه أعلاه أو عرقل عمليات المراقبة المنصوص عليها بالفصل 34 المشار إليه أعلاه.

ويعاقب بالغرامة نفسها كل شخص استخدم نظام معلوماته دون علمه لنشر البرمجيات الخبيثة أو للقيام بأعمال مخالفة للقانون، امتنع عن تنفيذ توجيهات السلطة الوطنية بعد إخباره بها.

الفصل 51 – يمكن للمحكمة أن تحكم بمصادرة المواد والوسائل التي أستعملت لإرتكاب أفعال مخالفة لأحكام هذا القانون.

الفصل 52 – في حالة العود، تضاعف العقوبات المنصوص عليها في هذا القانون. ويعتبر في حالة عود كل من سبق الحكم عليه بعقوبة من اجل ارتكاب إحدى المخالفات المنصوص عليها في هذا القانون بحكم قضائي بات ثم ارتكب نفس المخالفة قبل مضي أربع سنوات من تمام تنفيذ تلك العقوبة أو تقادمها.

الباب السادس – أحكام ختامية

الفصل 53 – يدخل هذا القانون حيز التنفيذ ابتداء من تاريخ نشر النصوص المتخذة لتطبيقه.

الفصل 54 – ينشر هذا القانون بالرائد الرسمي للجمهورية التونسية وينفذ كقانون من قوانين الدولة.

  • معلومات متعلقة بالنص
صنف النص:مشروع قانون
عدد النص:36
تاريخ النص:2024-04-30
رابط الرائد الرسمي
  • المرفقات
مقترح-قانون-عدد-36-لسنة-2024-يتعلق-بالأمن-السيبراني.docx
مقترح-قانون-عدد-36-لسنة-2024-يتعلق-بالأمن-السيبراني.pdf
  • قوانين ذات صلة

لا يوجد نصوص مرتبطة بهذا النص

  • فهرس قاعدة البيانات

  -الجزء V – تنظيم القضــاء ودوره في رقـابة قطـــاعي الأمن والدفاع

   –2. الرقابة القضائية لقطاع الأمن

    —أ. القضــاء الجزائــي

       —-I. النصوص الجزائيـة

اشترك في النشرة الإخبارية

الأخبار الجيدة فقط ، لن تصل أي رسائل غير مرغوب فيها إلى صندوق البريد الخاص بك!

مواقع أخرى لمركز جنيف لحوكمة قطاع الأمن

مركز جنيف لحوكمة قطاع الأمن

تواصل معنا

يُدار هذا الموقع الإلكتروني من قبل مركز جنيف لحوكمة قطاع الأمن (DCAF)

حقوق النشر © 2023 DCAF. كل الحقوق محفوظة.

إعلان هام! إطلاق تصميم جديد لقواعد البيانات القانونية لدى DCAF.

يسرنا أن نُعلن عن إطلاق تصميمنا الجديد لقواعد بياناتنا القانونية كجزء من التزامنا بخدمة مستخدمينا الكرام. يأتي هذا التحديث بتحسينات متعددة، تتضمن واجهة سلسة وسهلة الاستخدام وتحسينات في الوظائف لجعل الوصول إلى المعلومات أمراً سهلاً.

نحن مسرورون لنقدم هذا التحسين الجديد، ونؤكد التزامنا بتقديم أفضل خدمة لكم. نعبر عن شكرنا العميق لثقتكم المستمرة بنا.

تم