ديسمبر 5, 2025
آخر المقالات

السيادة الرقمية المفقودة: فجوة قانون التوقيع والمعاملات الإلكترونية العراقي أمام  eIDAS 2.0

admin02 mins

إعداد/ م. مصطفى كامل الشريف|
مستشار في أمن المعلومات والسيادة الرقمية|

المقدّمة

يُعدّ قانون التوقيع والمعاملات الإلكترونية العراقي رقم (78) لسنة 2012 نتاج مرحلة ما قبل التحول الرقمي الحقيقي في العراق، إذ صيغ في بيئة لم تكن تمتلك رؤية وطنية متكاملة للهوية الرقمية، ولا منظومة تشريعية متناسقة مع متطلبات عصر التواقيع الرقمية، ولا إطاراً حديثاً لحوكمة البيانات أو الأمن السيبراني. ورغم أنّ وزارة الاتصالات أطلقت لاحقًا ما يُعرف بالبنية الوطنية للمفاتيح العامة (National PKI) وبُنيت فيها Root CA وSubCAs، إلا أنّ هذه البنية بقيت محدودة من الناحية المعيارية والتنظيمية، ولم تصل إلى مستوى منظومات الثقة المعترف بها دوليًا أو المؤهّلة وفق معايير ETSI أو إطار eIDAS الأوروبي.

ومع دخول العالم عصر الهويات الرقمية والمحافظ السيادية وظهور eIDAS 2.0 كمرجع ذهبي عالمي للثقة الرقمية، تكشف قراءة القانون العراقي اليوم عن فجوات بنيوية وتنظيمية واضحة؛ فالقانون ما زال يتعامل مع “التوقيع الإلكتروني” كعلامة شخصية، دون أن يقدّم تصنيفًا لأنواع التواقيع (بسيط – متقدم – مؤهّل)، ودون معالجة منظومات إدارة المفاتيح، أو بيئة HSM، أو الطابع الزمني المؤهَّل، أو اعتماد مزوّدي الثقة (QTSP) وفق المعايير الدولية.

وتظهر المقارنة مع الأطر الأوروبية أنّ العراق يواجه فجوة تمتد لجيل تشريعي كامل على الأقل، وأن تحديث هذا القانون لم يعد خيارًا إداريًا أو تنظيميًا، بل ضرورة سيادية تمسّ حماية الهوية الوطنية، واستمرارية المعاملات الحكومية، وسلاسل الثقة في الاقتصاد الرقمي، والدفع الإلكتروني، والقضاء، والخدمات العامة.

ويقدّم هذا التحليل رؤية استراتيجية شاملة تُقسّم فجوات القانون الحالي إلى ثلاثة مسارات مترابطة:

  1. الثغرات البنيوية في القانون،
  2. القياس المعياري مع eIDAS 2.0 ومعايير ETSI EN،
  3. خريطة التعديل التشريعي المقترحة لعام 2026،
    بهدف وضع أساس تشريعي عراقي حديث يُمكّن الدولة من بناء ثقة رقمية سيادية معترف بها إقليميًا ودوليًا.

أولاً: التحليل الاستراتيجي والثغرات البنيوية في القانون الحالي

1)      قصور الإطار المؤسسي والحوكمي

  • القانون حصر سلطة الإشراف في وزارة الاتصالات والشركة العامة لخدمات الشبكة الدولية للمعلومات (ITPC)، دون وجود هيئة إشراف مستقلة (Supervisory Authority) كما يفرض eIDAS.
  • توجد بنية PKI وطنية، لكنها غير معتمدة وغير مكتملة ولا تتوافق مع معايير eIDAS/ETSI EN 319 411 أو إطار اعتماد جهات التصديق (Accreditation Framework) الخاص بـ QTSP.
  • غياب التنسيق مع البنك المركزي العراقي، مركز الأمن السيبراني الوطني (NCSC)، وهيئة النزاهة يجعل القانون مفصولًا عن المنظومة السيادية للأمن السيبراني والتحول الرقمي.

2)      تعريفات قديمة وغير دقيقة

  • تعريف “التوقيع الإلكتروني” في المادة (1/رابعًا) مبني على “العلامة الشخصية” دون أي ربط بالتوقيع الرقمي المؤهَّل (Qualified Digital Signature) أو بالبنية التحتية للمفاتيح العامة (PKI).
  • لا يوجد تمييز بين:
    • التوقيع البسيط (SES)
    • التوقيع المتقدم (AES)
    • التوقيع المؤهل (QES)
      وهي مستويات أساسية في eIDAS 2.0 وETSI EN 319 411-1/2.

3)      ثغرات في الجوانب التقنية

  • القانون لا يذكر أي معايير تقنية مثل:
    • خوارزميات التشفير (RSA/ECC/PQC)
    • إدارة المفاتيح داخل أجهزة HSMs المعتمدة (ETSI EN 419 241-2)
    • اعتماد توقيت زمني مؤهل (Qualified Time Stamping Authority – TSA)
    • آليات التحقق عبر القوائم السوداء CRL/OCSP
  • لا يوجد نص يربط التوقيع الإلكتروني بآلية تحقق سيادية داخل الدولة أو بوثائق الهوية الرقمية الوطنية.

4)      ضعف منظومة الثقة (Trust Framework)

  • لا يوجد ما يسمى “Trusted List” أو “National Trusted Service List (TSL)” لتوثيق مزودي الخدمة الموثوقين.
  • الاعتماد الكامل على جهة حكومية واحدة (الشركة العامة) دون وجود آليات اعتماد وتدقيق مستقلة يفتح الباب أمام تضارب المصالح وضعف الموثوقية.

5)      قصور في التكامل مع الاقتصاد الرقمي

  • لم يُربط القانون بأنظمة الدفع الإلكتروني، ولا بالبنية المصرفية الحديثة (ISO 20022 / AML / PSD2).
  • لا يذكر أي دور للهوية الرقمية الوطنية (Digital ID) أو البنى السيادية للحكومة الإلكترونية (e-Gov Interoperability Framework).

6)      ثغرات سيادية وأمنية

  • لا يفرض القانون استضافة البيانات داخل العراق، ولا يمنع تخزين مفاتيح التوقيع في الخارج.
  • لا توجد مواد تلزم الجهات المرخصة باعتماد بنى سيادية (on-prem / air-gapped / local HSM) أو تمنع استخدام خدمات سحابية أجنبية.
  • غياب نصوص تتعلق بحماية البيانات وفق معايير الخصوصية الأوروبية (GDPR-level protection).

ثانياً: تشخيص النواقص مقارنة بـ eIDAS 2.0 وETSI EN

المحورالمعيار الأوروبيالنقص في القانون العراقي
الهيئة الإشرافيةوجود هيئة مستقلة معترف بها (Supervisory Body)خضوع الإشراف حصراً لوزارة الاتصالات
أنواع التواقيعتعريف SES / AES / QESتعريف واحد غامض
البنية التحتية للمفاتيح (PKI)Root CA + QTSP + QSCDلا يوجد أي ذكر للبنية الطبقية
التصديق المؤهل (Qualified Certificates)مواصفات ETSI EN 319 411-2غياب تام للمعايير
أجهزة QSCD/HSMمطابقة ETSI EN 419 241-2غير مذكورة
الطابع الزمني (TSA)ETSI EN 319 421غير موجود
قائمة الثقة الوطنية (TSL)واجب النشر من قبل الهيئةغير مذكور
الاعتراف المتبادل (Mutual Recognition)وفق آلية الاتحاد الأوروبيلا توجد آلية اعتراف متبادل
حماية البياناتالالتزام بـ GDPR / ISO 27701غير مغطاة
التحقق الإلكترونيآليات OCSP / Revocation Listsغير موجودة
الهوية الرقميةeID + Wallet (eIDAS 2.0)غير مدمجة
الأمن السيبرانيارتباط بـ NIS2 وCybersecurity Actغياب الربط المؤسسي

ثالثاً: التعديلات المقترحة لتحديث القانون (2025)

1)      تأسيس بنية مؤسسية سيادية

  • إنشاء الهيئة الوطنية للتوقيع والهوية الرقمية (National eID & Trust Authority)، مستقلة إدارياً وتخضع لرقابة مجلس الوزراء، تعمل بالتنسيق مع NCSC وITPC والبنك المركزي.

وتتولى الهيئة المهام الآتية:

  • إدارة الجذر الوطني للتصديق (National Root CA)
  • إصدار سياسات الشهادات (CP/CPS)
  • الاعتماد الفني لمقدّمي خدمات الثقة (QTSP Accreditation)
  • إدارة سجل الثقة الوطني (National Trusted Service List – TSL)

2)      إعادة تعريف أنواع التواقيع

  • التوقيع الإلكتروني البسيط (SES): لأي معاملة عامة.
  • التوقيع الإلكتروني المتقدم (AES): يعتمد على هوية رقمية موثقة وشهادات رقمية غير مؤهلة.
  • التوقيع الإلكتروني المؤهَّل (QES): يعتمد على شهادة مؤهَّلة صادرة من جهة QTSP معتمدة، ويعادل قانونياً التوقيع الخطي.

3)      تحديث المعايير التقنية الإلزامية

اعتماد المعايير الأوروبية الحديثة، ومنها:

  • ETSI EN 319 401 – Trust Service Framework
  • ETSI EN 319 411-1/2 – Certificate Policies
  • ETSI EN 319 421 – Timestamping
  • ETSI EN 419 241-2 – Secure Signature Creation Devices
  • ISO/IEC 19790 – Cryptographic Module Security
  • ISO/IEC 27001 / 27701 – إدارة أمن المعلومات والخصوصية

4)       ضمان السيادة الرقمية

  • إلزام جميع مزودي خدمات التوقيع والتصديق بتخزين البيانات والمفاتيح داخل العراق.
  • منع أي اتصال خارجي ببيئات التوقيع المؤهَّل دون ترخيص سيادي.
  • إنشاء “مراكز بيانات سيادية” و“بنى معزولة” لكل من Root CA وSubCAs.

5)        إدماج الهوية الرقمية الوطنية

  • ربط نظام التوقيع الإلكتروني بمنظومة الهوية الوطنية الرقمية (National eID) أو المحافظ السيادية (Digital Wallet) وفق نموذج eIDAS 2.0.
  • اعتماد بروتوكولات FIDO2 + eIDAS Wallet API.

6)        تفعيل الاعتراف المتبادل

  • فتح الباب أمام الاعتراف المتبادل بالتواقيع المؤهلة من دول الاتحاد الأوروبي والدول التي تطبق eIDAS 2.0، بعد تحقق سيادي.

7)        تضمين الحماية القانونية والجنائية

  • إضافة فصول حول:
    • إساءة استخدام التوقيع الإلكتروني
    • تزوير الشهادات الرقمية
    • خرق الأنظمة السيادية أو تسريب المفاتيح
    • عقوبات خاصة لحالات “Non-Qualified Trust Providers”

8)       تحديث المواد التشغيلية

  • إدراج فصل جديد بعنوان: حوكمة البنية التحتية للمفاتيح العامة (PKI Governance)”.
  • فرض نشر دوري لتقارير الامتثال الفني والأمني.
  • وضع إلزام قانوني لتدقيقات سنوية من جهات معترف بها (ISO/ETSI auditors).

رابعاً: المخرجات المقترحة للتعديل التشريعي

إصدار قانون جديد أو تعديل شامل بعنوان:
“قانون التوقيع والهوية الرقمية والمعاملات السيادية الإلكترونية لسنة 2025”

يرتكز على ثلاثة أركان رئيسية:

  • الإطار القانوني (Legislative Framework)
  • الإطار التقني والمعياري (ETSI / ISO / NIST alignment)
  • الإطار السيادي والحَوْكمي (Sovereignty & National Control)

الغاية:

تحويل العراق إلى دولة معترف بتواقيعها رقمياً وفق معايير eIDAS 2.0، وتوطين الثقة الرقمية داخل بنيتها الوطنية.

خامسًا: التوصيات المهنية — مستخلصة من التحليل ومن قراءة نص القانون الأصلي

  • إنشاء هيئة تنظيمية مستقلة بدلًا من حصر السلطة بوزارة الاتصالات والشركة العامة (ITPC)

تأسيس هيئة وطنية مستقلة للهوية والتوقيع والخدمات الرقمية.

تكون مسؤولة عن الاعتماد، والإشراف، وإدارة Root CA، وإنشاء TSL.

  • إعادة كتابة التعريفات القانونية بما يتوافق مع مستويات التوقيع الثلاثة

استبدال تعريف “العلامة الشخصية” بتعريفات دقيقة لكل من: SES / AES / QES.

ربط هذه التعريفات بمعايير ETSI EN 319 411 وeIDAS.

  • تبني بنية PKI طبقية (Root CA – SubCAs – QTSP)

إعادة هيكلة الـ PKI الوطني ليصبح متوافقًا مع الطبقات القياسية (Root–SubCA–QTSP) وفق ETSI EN 319 411.

اعتماد SubCAs للوزارات والقطاع المالي والقطاعات الحيوية.

وضع سياسة شهادات (CP / CPS) واضحة ومعلنة.

  • فرض استخدام HSMs معتمدة ومنع تخزين مفاتيح التوقيع خارج العراق

إلزام باستخدام أجهزة QSCD وفق ETSI EN 419 241-2.

استضافة المفاتيح داخل العراق حصراً وفق معايير FIPS 140-3 / ISO 19790 للمستوى الأمني العالي.

اعتماد بيئات معزولة (air-gapped) لتخزين مفاتيح Root CA.

  • إنشاء منظومة الطابع الزمني المؤهَّل (Qualified TSA)

إنشاء TSA وطني.

اعتماده وفق ETSI EN 319 421 لضمان قبول التواقيع خارجياً.

  • ربط التوقيع الإلكتروني بالهوية الرقمية الوطنية (National eID)

ربط الشهادة الإلكترونية بمصدر الهوية (البطاقة الوطنية الموحّدة).

التمهيد لمحفظة رقمية عراقية (Digital Identity Wallet) وفق eIDAS 2.0، متوافقة مع معايير Verifiable Credentials (VC) وVerifiable Presentations (VP).

  • إدراج حماية البيانات وخصوصية المستخدمين ضمن الإطار القانوني

استحداث مواد مستندة إلى: ISO 27701 ومبادئ GDPR.

اعتماد مبادئ: Data Minimization وPurpose Limitation وغيرها.

  • إدراج عقوبات مشددة على تزوير الشهادات أو إساءة استخدام التوقيع

تجريم إساءة استخدام التوقيع الإلكتروني.

تجريم العبث بالمفاتيح أو أنظمة PKI.

فرض عقوبات على الجهات غير المرخّصة التي تقدم “خدمات توقيع”.

  • تحديد دور البنك المركزي العراقي في التوقيع المالي المؤهَّل

إشراك البنك المركزي في ضبط التوقيع الرقمي في المدفوعات والتحويلات. وضبط التواقيع المؤهَّلة ذات العلاقة بالمدفوعات والتحويلات المالية عالية القيمة (High-Value Transactions).

مواءمة القانون مع ISO 20022 وPSD2.

  • اعتماد نظام تدقيق سنوي إلزامي لمزوّدي خدمات الثقة (QTSP)

إلزام مزوّدي خدمات الثقة بتدقيق سنوي وفق معايير ETSI / ISO.

نشر تقارير الامتثال لتعزيز الشفافية.

إدارة سياسات رموز التعريف (OID Governance) الخاصة بالسياسات الوطنية (CP/CPS) وبطبقات الشهادات (Root/SubCA/QTSP)

سادسًا: توصيات الكاتب

استنادًا إلى التحليل التفصيلي الوارد أعلاه، وبدافع الخبرة العملية في أمن المعلومات والسيادة الرقمية، فإني أؤكد استعدادي الكامل لإعداد مشروع قانون متكامل يُقدَّم إلى البرلمان العراقي بعنوان:

«قانون التوقيع والهوية الرقمية والمعاملات السيادية الإلكترونية – نسخة 2026»

وذلك بصياغة قانونية وتقنية متوافقة بشكل كامل مع:

  • متطلبات eIDAS 2.0 الأوروبية،
  • مواصفات ETSI EN الخاصة بخدمات الثقة،
  • متطلبات السيادة الرقمية العراقية،
  • المعايير الحديثة لحوكمة الهويات والبنى المفتاحية (PKI Governance).

ويهدف المشروع إلى تقديم:

  • إطار تشريعي حديث وواضح ينظم الهوية الرقمية والتوقيع المؤهَّل.
  • بنية PKI سيادية كاملة تشمل Root CA وSubCAs وQTSP.
  • نموذج حوكمة وطني لإدارة الهوية الرقمية والمحافظ الإلكترونية.
  • نظام عقوبات وحماية لمعالجة الجرائم الرقمية وتزوير الشهادات.
  • ملحق CP/CPS وطني متكامل وفق ETSI وRFC.
  • خطة تطبيق مؤسسية على مدى 24 – 48 شهرًا تشمل بناء القدرات والتدقيق والاعتماد.

وختامًا، فإن تطوير هذا القانون يمثل خطوة جوهرية نحو بناء منظومة ثقة رقمية سيادية تجعل العراق جزءًا من الاقتصاد الرقمي العالمي، وتمنحه القدرة على إصدار تواقيع رقمية معترف بها دوليًا، بما ينعكس مباشرة على الأمن الوطني والخدمات الحكومية والتحول الرقمي الشامل.

  المصادر

  1. اللائحة الأوروبية رقم 910 لسنة 2014 – eIDAS
  2. اللائحة الأوروبية رقم 1183 لسنة 2024 – التعديل الجديد eIDAS 2.0
  3. مواصفات ETSI EN 319 401 / 411-1 / 411-2 / 421 / 419 241-2
  4. المعيار الدولي ISO/IEC 19790 – أمن الوحدات التشفيرية
  5. المعياران ISO/IEC 27001 و ISO/IEC 27701 – أمن المعلومات والخصوصية
  6. دليل الهوية الرقمية NIST SP 800-63-3 الصادر عن المعهد الوطني للمعايير والتقنية
  7. توصية ITU-T X.509 – الإطار العام للبنية التحتية للمفاتيح العامة (PKI)
  8. القانون العراقي رقم (78) لسنة 2012 – قانون التوقيع والمعاملات الإلكترونية

أخبار ذات صلة