1) لماذا هذا النقاش مهم؟

في العالم المعاصر، لم يعد الأمن السيبراني شأنًا تقنيًا محضًا، بل جزءًا مباشرًا من إدارة الدولة: من حماية البنى التحتية الحرجة، إلى حماية سلاسل التوريد، إلى إدارة بيانات المواطنين والخدمات الحكومية. لذلك فإن “الاستراتيجية الوطنية للأمن السيبراني” ليست وثيقة علاقات عامة، بل أداة دولة تُحوّل المخاطر إلى برنامج عمل، والنية إلى تمويل، والعناوين إلى نتائج قابلة للقياس.

2) المشكلة الجوهرية: استراتيجية بلا قياس = سياسة بلا نتائج

كثير من الوثائق الوطنية تُحسن في تسمية المحاور (توعية/تشريعات/جاهزية/بناء قدرات)، لكن معيار الجدية ليس عدد المحاور، بل وجود أدوات الإدارة العامة التالية:

• KPIs واضحة (ماذا سنقيس؟)
• Baseline (أين نحن الآن؟)
• Target (أين نريد أن نصل؟ ومتى؟)
• حوكمة قرار وتمويل ومسؤوليات (من يقود؟ من ينفذ؟ من يراجع؟ من يموّل؟)

3) ما المقصود بـ KPIs ولماذا هي قلب السيادة التنفيذية؟

KPIs (Key Performance Indicators) هي مؤشرات أداء رئيسية رقمية/قابلة للقياس، تُستخدم لتحديد إن كان الأداء يتحسن فعليًا أم لا، وبأي سرعة، وفي أي جهة، وبأي كلفة.

في الأمن السيبراني، لا تُقاس النتائج بالخطاب، بل بأرقام مثل: زمن الاكتشاف والاستجابة، نسبة الامتثال، تغطية تقييمات المخاطر، عدد الحوادث الجوهرية، وتطور مستويات الجاهزية.

4) فجوة الحوكمة: من يملك القرار في بيئة متعددة الجهات؟

واحدة من أعقد مشكلات الأمن السيبراني في الدول ذات البنية المؤسسية المتشعبة هي تعدد الجهات ذات الصلة (تنفيذ/رقابة/اتصالات/أمن/استخبارات/قطاع خاص). هنا تظهر قيمة الحوكمة بوصفها “هندسة قرار” لا مجرد فقرة.

• هيكل قيادة واضح (منسّق وطني/لجنة/جهة تنفيذية).
• مصفوفة مسؤوليات تمنع تداخل الصلاحيات وتحدد “من يفعل ماذا”.
• ميزانية مرحلية مرتبطة بمؤشرات.
• نظام تقارير يرفع للمستوى السيادي دوريًا.

5) فجوة السيادة الرقمية: الأمن ليس فقط دفاعًا تقنيًا

السيادة الرقمية لا تعني الانغلاق، لكنها تعني امتلاك الدولة لمفاتيحها التشغيلية في ثلاث طبقات:

1. طبقة البيانات: أين تُخزن؟ من يطلع؟ ما سياسة الإقامة/التصنيف؟
2. طبقة البنى التحتية: مراكز بيانات موثوقة، وسحابة سيادية/هجينة بضوابط تعاقدية واضحة.
3. طبقة الثقة والهوية: PKI وهوية رقمية وآليات تحقق وطنية تقلل الارتهان الخارجي.

6) الاستراتيجية ثابتة بينما العالم يتغير

حتى لو كانت وثيقة 2022 خطوة في وقتها، فإن الأمن السيبراني لا يعمل بمنطق الوثائق الجامدة. خلال 2022–2025 تغيّرت أنماط الهجمات وسلاسل التوريد وتحديات السحابة والامتثال، كما تتطور الأطر والمعايير بشكل دوري.

7) ماذا نحتاج فورًا؟ (شروط الحدّ الأدنى للتنفيذ)

بدل إغراق الملخص بالتفاصيل التشغيلية، يمكن اختزال “المطلوب فورًا” في خمسة شروط حاكمة؛ أي استراتيجية لا تحققها ستظل أقرب إلى إطار نوايا منها إلى برنامج دولة:

• شرط القياس: لا معنى لاستراتيجية بلا خط أساس وأهداف قابلة للقياس ودورية قياس تُنشر نتائجها كمؤشرات تقدم.
• شرط الحوكمة: مرجعية واحدة تُمسك القرار والتنسيق وتمنع تشتت المسؤوليات وتضارب الصلاحيات.
• شرط المخاطر: منهجية تشغيلية موحّدة لإدارة المخاطر على القطاعات الحرجة، لا عناوين عامة بلا مصفوفات وأولويات.
• شرط الامتثال: حدّ أدنى إلزامي من الضوابط يُدقَّق دوريًا، مع آلية تصحيح ومساءلة واضحة.
• شرط التمويل: ربط الأولويات بميزانية مرحلية ومصادر تمويل وآليات صرف، لأن “الاستراتيجية غير المموّلة” تبقى إعلان نوايا.

8) الخلاصة

الاستراتيجية الوطنية للأمن السيبراني ليست عنوانًا تنظيميًا، بل عقد أداء سيادي بين الدولة ومؤسساتها: قياس، مسؤولية، تمويل، ومساءلة. وإذا لم تُستكمل بأدوات التنفيذ (KPIs/حوكمة/تحديث دوري)، فإنها ستبقى وثيقة “صحيحة في العناوين” لكنها ضعيفة في النتائج.

ولمشاهدة وثيقة الاستراتيجية الوطنية للأمن السيبراني العراقية (PDF) ضمن مستودع ITU الرسمي اضغط هنا: لمشاهدة الخطة الوطنية للأمن السيبراني اضغط هنا

9) المصادر

• ITU – وثيقة استراتيجية الأمن السيبراني العراقي (PDF):
  https://www.itu.int/en/ITU-D/Cybersecurity/Documents/National_Strategies_Repository/00056_06_iraqi-cybersecurity-strategy.pdf
• ITU – National Cybersecurity Strategies Repository (صفحة المستودع):
  https://www.itu.int/en/ITU-D/Cybersecurity/pages/national-strategies-repository.aspx
• EUAM Iraq – خبر ورشة أربيل لدعم مسار استراتيجية الأمن الوطني (فبراير 2022):
  https://www.euam-iraq.eu/en/news/93/iraqi-national-security-strategy-20222027-%E2%80%93-workshop-held-in-support-of-the-process
• GCSCC (Oxford) – Iraq CMM review in progress:
  https://gcscc.ox.ac.uk/article/iraq-cmm-review-progress