Professional Documents
Culture Documents
بناء على الدستور وال سيما الفصلين 42 -و 50منه ،أصدرنا أمرنا الشريف بما يلي:
ينفذ وينشر بالجريدة الرسمية ،عقب ظهيرنا الشريف هذا ،القانون رقم 05.20المتعلق
باألمن السيبراني ،كما وافق عليه مجلس النواب ومجلس المستشارين.
وحرر بتطوان في 4ذي الحجة 1441 )25يوليو 2020 (.
وقعه بالعطف:
رئيس الحكومة،
اإلمضاء :سعد الدين العثماني.
*
* *
- 1الجريدة الرسمية عدد 6904بتاريخ 9ذو الحجة 30( 1441يوليو )2020؛ ص 4160
-2-
قانون رقم 05.20يتعلق باألمن السيبراني
المادة األولى
يحدد هذا القانون:
قواعد ومقتضيات األمن المطبقة على نظم معلومات إدارات الدولة والجماع--ات
الترابية والمؤسسات والمقاوالت العمومية وكل ش--خص اعتب--اري آخ--ر خاض--ع
للقانون العام ،يشار إليهم في هذا القانون؛
قواعد ومقتضيات األمن المطبقة على البنيات التحتية ذات األهمية الحيوية؛
قواع--د ومقتض--يات األمن المطبق--ة على مس--تغلي الش--بكات العام--ة للمواص--الت
ومزودي خدمات اإلنترنت ومقدمي خدمات األمن السيبراني ومق--دمي الخ--دمات
الرقمية وناشري منصات اإلنترنت ،يشار إليهم في هذا القانون ب» المتعهد «؛
اإلطار الوطني لحكامة األمن السيبراني؛
إطار التعاون وتبادل المعلومات بين السلطة الوطني--ة لألمن الس--يبراني المح--ددة
بنص تنظيمي ،والمشار إليها في هذا القانون ب» السلطة الوطني--ة « والمص--الح-
المختصة للدولة المكلفة بمعالجة الجرائم الماسة بنظم المعالجة اآللية للمعطيات؛
المساهمات ال--تي تق--دمها الس--لطة الوطني--ة للهيئ--ات الوطني--ة المختص--ة من أج--ل
تعزيز الثقة الرقمية ،وتطوير رقمنة الخدمات المقدمة من طرف الدولة ،وحماية
المعطيات ذات الطابع الشخصي
اختصاص--ات الس--لطة الوطني--ة ال س--يما في م--ا يتعل--ق بتط--وير الخ--برة الوطني--ة
والتحس--يس في مج--ال األمن الس--يبراني لفائ--دة الهيئ--ات والف--اعلين في القط--اع
الخاص واألفراد ،وتقوية التعاون مع المؤسسات الوطنية واألجنبية.
المادة 2
يقصد في مدلول هذا القانون بما يلي:
» األمن السيبراني « @:مجموعة من التدابير واإلجراءات ومفاهيم األمن وطرق
إدارة المخاطر واألعمال والتكوين-ات وأفض--ل الممارس--ات والتكنولوجي--ات ال-تي
تسمح لنظام معلومات أن يقاوم أحداثا مرتبطة بالفضاء الس--يبراني ،من ش--أنها أن
تمس بت--وافر وس--المة وس--رية المعطي--ات المخزن--ة أو المعالج--ة أو المرس--لة،
والخدمات ذات الصلة التي يقدمها هذا النظام أو تسمح بالولوج إليه؛
-3-
جرائم سيبرانية@ :مجموعة من األفع--ال المخالف--ة للتش--ريع الوط--ني أو االتفاقي--ات -
الدولي--ة ال--تي ص--ادقت عليه--ا المملك--ة المغربي--ة ،ال--تي تس--تهدف ش--بكات ونظم
المعلومات أو تستعملها كوسيلة الرتكاب جنحة أو جناية؛
تهديد سيبراني :كل عم--ل يه--دف إلى اإلخالل ب--أمن نظ--ام للمعلوم--ات من خالل -
المساس بتوافر النظام أو المعلومة التي يتضمنها أو بتماميتهما أو بسريتهما؛
أخالقيات سيبرانية@ :مجموعة من المعايير والقواعد التي تحدد السلوك المس--ؤول -
في الفضاء السيبراني؛
بني@@ات تحتي @ة@ ذات أهمي @ة@ حيوية :التجه--يزات والمنش--آت واألنظم--ة الض--رورية -
للحفاظ على اس-تمرارية الوظ-ائف الحيوي-ة للمجتم-ع والص-حة واألمن والس-المة
والتق--دم االقتص--ادي أو االجتم--اعي حيث إن أي ض--رر أو إتالف أو ض--ياع ق--د
يصيبها يترتب عنه خلل في هذه الوظائف
قطاع األنشطة ذات األهمية الحيوية :مجموعة من األنشطة التي تقوم بها البنيات
التحتي--ة ذات األهمي--ة الحيوي--ة وتس--اهم في تحقي--ق نفس اله--دف وله--ا عالق--ة إم--ا
بإنتاج وتوزيع الس--لع أو الخ--دمات الض--رورية لتلبي--ة الحاجي--ات األساس--ية لعيش
المواطنين ،أو بممارس--ة الدول--ة لص--الحيتها أو بالحف-اظ على ق--دراتها األمني--ة أو
بسير النشاط االقتصادي ،على اعتبار أن ه-ذه األنش-طة غ-ير قابل-ة لالس-تبدال أو
التعويض ،أو نظرا للخطر الجسيم الذي قد تشكله على الساكنة؛
نظام معلومات» :مجموعة منظمة من الموارد كالمستخدمين والمعدات والبرامج
والمعطيات واإلجراءات التي تسمح بتجميع المعلوم--ة في بيئ--ة معين--ة وتص--نيفها
ومعالجتها ونشرها؛
نظام معلومات حساس» :نظام معلومات يعالج معلومات أو معطيات حساسة من -
شأن المساس بسريتها أو بسالمة محتواها أو بتوافرها أن يلحق ضررا بهيئ--ة م--ا
أو ببنية تحتية ذات أهمية حيوية؛
خدمة لألمن السيبراني» :ك-ل خدم-ة أمن مقدم-ة من ل-دن مق-دمي خ-دمات األمن
السيبراني لفائدة هيئة ما أو بني-ة تحتي-ة ذات أهمي-ة حيوي-ة تهم رص-د وتش-خيص
حادث أمن سيبراني وتقوية أمن نظم معلوماتها
مق@@دم خ@@دمات رقمي@@ة» @:ك--ل ش--خص ذاتي أو اعتب--اري يق--دم عن بع--د وبطريق--ة -
إلكترونية ،وبناء على طلب مستفيد ما ،إحدى الخدمات التالية:
خدمة رقمية تسمح لمستهلكين أو لمهن--يين ب--إبرام عق--ود بي--ع أو خدم--ة ع--بر
اإلنترنت؛
خدمة رقمية تسمح للمستعملين القيام بأبحاث على مواقع اإلنترنت؛
خدم--ة رقمي--ة تس--مح ب--الولوج إلى مجموع--ة مرن--ة ومتنوع--ة من الم--وارد
المعلوماتي--ة ال--تي يمكن تقاس--مها ،بم--ا فيه--ا مستض--يفي المعطي--ات أو نظم
المعلومات أو هما معا ومقدمي الخدمات الرقمية السحابية؛
-4-
إيواء :كل خدمة لتخ--زين إش--ارات أو كتاب--ات أو ص--ور أو أص--وات أو رس--ائل
بمختل--ف أنواعه--ا ،مقدم--ة بع--وض أو ب--دون ع--وض من ل--دن مق--دمي الخ--دمات
الرقمية؛
إسناد نظام المعلومات لجهة خارجية» :كل عملية تتمثل في اإلسناد الج--زئي أو
الكلي لنظام معلومات هيئة ما إلى مقدم خدمات معين في إط--ار عق--د يح--دد بدق--ة
على الخصوص مستوى الخدمات ومدة اإلسناد؛
المص@@ادقة على نظم المعلوم@@ات» :وثيقة يش--هد بواس--طتها المس--ؤول عن البني--ة
التحتي--ة ذات األهمي--ة الحيوي--ة على اطالع--ه على نظ--ام المعلوم--ات والت--دابير
األمنية التقنية أو التنظيمية أو القانونية المتخذة وعلى تحمله للمخاطر المتبقية؛
ح@@ادث أمن س@@يبراني@» :واقع--ة أو وق--ائع غ--ير مرغ--وب فيه--ا أو غ--ير متوقع--ة،
مرتبطة بأمن نظم المعلومات ،والتي يحتمل جدا أن تعرض للخطر أنشطة هيئ--ة
م---ا أو بني---ة تحتي---ة ذات أهمي---ة حيوي---ة أو متعه---د أو أن ته---دد س---المة نظمهم
المعلوماتية
أزمة أمن سيبراني@ :حالة ناتجة عن وقوع حدث أو ع--دة أح--داث متعلق--ة ب--األمن
السيبراني ،يمكن أن يكون له--ا وق--ع خط--ير على حي--اة األف--راد أو على ممارس--ة
الدول--ة لس--لطاتها أو س--ير االقتص--اد أو على المحافظ--ة على الق--درات األمني--ة
والدفاعية للبالد؛
إدارة حوادث األمن السيبراني @:عمليات رصد حوادث األمن السيبراني والتبليغ
عنها وتقييمها وكذا التدابير المتخذة للتدخل والمعالجة المتعلقة بها.
-5-
للغير ال فتحاص أمني قبل الشروع في اس-تغالله .يجب على ك--ل هيئ-ة إج--راء افتح-اص لنظم
معلوماتها بانتظام.
المادة 5
يجب على ك--ل هيئ--ة أن تق--وم بتص--نيف أص--ولها المعلوماتي--ة ونظم معلوماته--ا حس--ب
مستوى حساسيتها من حيث الس--رية والتمامي--ة والت--وافر ،كم--ا يتعين أن تك--ون ت--دابير حماي--ة
األصول المعلوماتية ونظم المعلومات متناسبة م--ع مس--توى التص--نيف المخص--ص له--ا .يجب
على ك--ل هيئ--ة أن تح--دد إج--راءات تأهي--ل األش--خاص ال--ذين يمكنهم الول--وج إلى المعلوم--ات
المصنفة وشروط معالجة هذه المعلومات أو تبادلها أو تخزينها أو نقله--ا .يح--دد بنص تنظيمي
الدليل المرجعي لتصنيف أصول المعلومات ونظم المعلومات.
المادة 6
يجب على ك--ل هيئ--ة أن تعين مس--ؤوال عن أمن نظم المعلوم--ات ،يت--ولى الس--هر على
تطبيق سياسة أمن نظم المعلومات .يعتبر المسؤول عن أمن نظم المعلومات مخاطب الس--لطة
الوطنية لألمن السيبراني ،ويتعين أن يتمتع باالستقاللية الالزمة لممارسة مهامه.
المادة 7
يجب على كل هيئة أن توفر الوسائل المناسبة لمراقب--ة ورص--د األح--داث ال--تي ق--د تمس
بأمن نظم معلوماته--ا ويك-ون له--ا وق-ع ب-الغ على اس--تمرارية الخ--دمات ال-تي تق--دمها .ال يمكن
للسلطة الوطنية اس--تغالل المعطي-ات التقني-ة المحص--ل عليه--ا بواس-طة الوس-ائل الم-ذكورة إال
لغرض تحديد ومعالجة الخطر الذي يمس بأمن نظم معلومات الهيئة المعنية.
المادة 8
يجب على ك--ل هيئ--ة ف--ور علمه--ا ب--أي ح--ادث ي--ؤثر على أمن أو س--ير نظم المعلوم--ات
الخاصة بها أن تقوم بإبالغ السلطة الوطنية .تقوم كل هيئة بإبالغ السلطة الوطني--ة ،بن--اء على
طلب هذه األخيرة ،ودون تأخير ،بالمعلوم--ات اإلض--افية المتعلق--ة ب--الحوادث ال--تي ت--ؤثر على
أمن أو س-ير نظم معلوماته--ا .ت--بين الس--لطة الوطني--ة المعطي--ات التقني--ة والمعلوم-ات المتعلق--ة
بالحوادث ،التي يجب إبالغها ،وكذا كيفيات إرسالها ترسل السلطة الوطنية إلى الهيئة المعني--ة
تقريرا تركيبيا يتضمن التدابير والتوصيات لمعالجة الحادث.
المادة 9
تعد كل هيئة مخططا لضمان استمرارية أو استئناف األنشطة يتض--من مجم--وع الحل--ول
البديلة إلبط--ال مفع-ول انقطاع-ات األنش--طة وحماي-ة الوظ--ائف المهم-ة والحساس--ة من اآلث--ار
الناجمة عن االختالالت األساسية لنظم المعلومات أو عن الكوارث ،وض--مان اس--تئناف عم--ل
هذه الوظائف في أقرب اآلجال .يتعين اختبار مخطط ضمان استمرارية أو استئناف األنش--طة
بصفة منتظمة من أجل تحيينه حسب التطورات الخاصة بالهيئة وتطور التهديدات.
-6-
المادة 10
في حالة إسناد نظ--ام معلوم--ات حس--اس لجه--ة خارجي--ة ،يجب على ه--ذه الجه--ة اح--ترام
القواعد واألنظمة والدالئل المرجعي--ة التقني--ة المتعلق--ة ب--أمن نظم المعلوم--ات ،وال--تي تض--عها
السلطة الوطنية.
المادة 11
يجب أن يتم إيواء المعطيات الحساسة ،حصريا ،داخل التراب الوطني.
المادة 12
يجب أن يكون كل إسناد خارجي لنظام معلومات حساس موضوع عقد خاضع للق--انون
المغ--ربي ،يتض--من وجوب--ا االلتزام--ات المتعلق--ة بحماي--ة المعلوم--ة وقابليته--ا لالفتح--اص
واستعادتها ،وكذا متطلبات األمن ومستوى الخدمة المرغوب فيها.
المادة 13
تحدد السلطة الوطنية القواعد وال--دليل الم--رجعي التق--ني المنظم لش--روط األمن المتعلق--ة
باإلسناد الخارجي لنظم المعلومات.
تسري أحكام الفرع األول من هذا الفصل على البنيات التحتية ذات األهمية الحيوية.
المادة 15
تح--دد بنص تنظيمي الئح--ة قطاع--ات األنش--طة ذات األهمي--ة الحيوي--ة وك--ذا الس--لطات
الحكومي--ة والمؤسس--ات العمومي--ة وب--اقي األش--خاص االعتب--اريين الخاض--عين للق--انون الع--ام
المشرفين على تنسيق هذه القطاعات.
المادة 16
يتم تحديد البنيات التحتية ذات األهمية الحيوية لكل قطاع أنشطة ذات أهمية حيوية ،بع--د
اس--تطالع رأي الس--لطة الوطني--ة ،من ط--رف الس--لطة الحكومي--ة أو المؤسس--ة العمومي--ة أو
الشخص االعتباري الخاضع للقانون العام المشرف على تنسيق هذا القطاع تظ--ل الئح--ة ه--ذه
البنيات التحتية سرية ،ويتم تحيينها على فترات منتظمة ال تتعدى سنتين.
-7-
المادة 17
يقوم المسؤول عن البنية التحتية ذات األهمية الحيوية ،بناء على نتائج تحليل المخ--اطر،
بإعداد الئحة نظم المعلومات الحساسة ،وإرسالها في صيغتها المحينة إلى السلطة الوطنية.
المادة 18
يمكن للسلطة الوطنية توجيه مالحظ--ات إلى المس--ؤول عن البني--ة التحتي--ة ذات األهمي--ة
الحيوية بخصوص الئحة نظم المعلومات الحساسة ال--تي تمت موافاته--ا به--ا .في ه--ذه الحال--ة،
يتعين على المس--ؤول عن البني--ة التحتي--ة ذات األهمي--ة الحيوي--ة تع--ديل الئحته--ا وفق--ا له--ذه
المالحظ-ات ،وإرس-ال الالئح-ة المعدل-ة إلى الس-لطة الوطني-ة داخ-ل أج-ل ش-هرين من ت-اريخ
التوصل بالمالحظات .تظل الئحة نظم المعلومات الحساسة سرية.
المادة 19
يجب أن يخضع أمن كل نظام معلومات حساس للمص--ادقة قب--ل الش--روع في اس--تغالله.
تحدد السلطة الوطنية دليل المصادقة على نظم المعلومات الحساسة.
المادة 20
يجب على المس--ؤولين عن البني--ات التحتي--ة ذات األهمي--ة الحيوي--ة ،بن--اء على طلب من
السلطة الوطنية ،إخضاع نظم المعلومات الحساس--ة الخاص--ة به--ا إلى افتح--اص تق--وم ب--ه ه--ذه
السلطة أو متعهدي االفتحاص المؤهلين من قبلها .تحدد بنص تنظيمي معايير تأهي--ل متعه--دي
االفتحاص وكذا كيفيات إجراء االفتحاص.
المادة 21
يجب على المسؤولين عن البنيات التحتية ذات األهمية الحيوي--ة م--د الس--لطة الوطني--ة أو
متعهد االفتحاص المؤهل بالمعلوم--ات والعناص--ر الالزم--ة إلج--راء االفتح--اص ،بم--ا في ذل--ك
الوثائق المتعلقة بسياستها األمنية ،وعند االقتضاء ،نتائج االفتحاص األمني السابقة ،والس--ماح
لهم ب---الولوج إلى الش---بكات ونظم المعلوم---ات موض---وع المراقب---ة قص---د إج---راء التحليالت
واس---تخراج بيان---ات المعلوم---ات التقني---ة .يجب أن يل---تزم متعه---دو االفتح---اص المؤهل---ون
ومستخدموهم ،تحت طائلة العقوبات المنصوص عليها في مجموعة القانون الجنائي ،باحترام
السر المهني طيلة مدة مهمة االفتحاص وبعد االنتهاء منها ،بشأن المعلومات والوثائق التي تم
تجميعها أو اطلعوا عليها أثناء القيام بهذه المهمة.
المادة 22
في حالة إجراء االفتحاص من طرف متعهد افتحاص مؤهل ،يق-وم المس-ؤول عن البني--ة
التحتية ذات األهمية الحيوية بإرسال تقرير االفتحاص إلى السلطة الوطني--ة يجب على متعه--د
االفتحاص المؤهل أن يسهر على ضمان سرية تقرير االفتحاص.
-8-
المادة 23
يجب على كل مسؤول عن بنية تحتي--ة ذات أهمي--ة حيوي--ة تم افتحاص--ها وض--ع برن--امج
عمل لتنفيذ التوصيات الواردة في تقارير االفتحاص ،وإرساله إلى السلطة الوطنية قصد تتب--ع
تنفيذه.
المادة 25
يجب أن يلج--أ المس--ؤولون -عن البني--ات التحتي--ة ذات األهمي--ة الحيوي--ة إلى الخ--دمات أو
المنتوجات أو الحلول التي تسمح بتعزيز الوظائف األمنية ،والتي تحددها السلطة الوطنية .في
حالة إسناد خدمات األمن السيبراني لجهة خارجية ،يجب على المسؤولين عن البنيات التحتي--ة
ذات األهمية الحيوية اللجوء إلى مقدمي خ--دمات م--ؤهلين من ط--رف الس--لطة الوطني--ة .تح--دد
بنص تنظيمي معايير تأهيل مقدمي خدمات األمن السيبراني.
-9-
الشبكات العامة للمواصالت -وم--زودي خ--دمات اإلن--ترنت ومق--دمي خ--دمات األمن الس--يبراني
ومقدمي الخدمات الرقمية وناشري منصات اإلنترنت تؤه--ل الس--لطة الوطني--ة لوض--ع أجه--زة
تقنية على الشبكات العامة للمواصالت -وش--بكات م--زودي خ--دمات اإلن--ترنت حص--ريا به--دف
رصد األحداث التي قد تؤثر على أمن نظم معلومات الهيئ--ات والبني--ات التحتي--ة ذات األهمي--ة
الحيوية .توضع هذه األجهزة حصريا خالل المدة وفي الحدود التي يتطلبها تحدي--د خص--ائص
التهديد.
المادة 29
يجب على مستغلي الشبكات العامة للمواص--الت وم--زودي خ--دمات اإلن--ترنت ومق--دمي
خدمات األمن السيبراني ومقدمي الخ--دمات الرقمي--ة وناش--ري منص--ات اإلن--ترنت ،في إط--ار
توجيهات الس--لطة الوطني--ة ،اتخ--اذ الت--دابير الحمائي--ة الالزم--ة ألج--ل الوقاي--ة وإبط--ال مفع--ول
التهديدات أو االنتهاكات التي تمس نظم معلومات زبنائهم.
المادة 30
عندما يقوم مستغلو الش--بكات العام--ة للمواص--الت -وم--زودو خ--دمات اإلن--ترنت ومق--دمو
خدمات األمن السيبراني ومقدمو الخدمات الرقمية وناشرو منصات اإلنترنت برص--د أح--داث
قد تؤثر على أمن نظم بذلك .معلومات زبنائهم ،وجب عليهم إخطار السلطة الوطنية فورا
المادة 31
يجب على مس--تغلي الش--بكات العام--ة للمواص--الت وم--زودي خ--دمات اإلن--ترنت أن
يستعملوا ،في شبكات االتصاالت اإللكترونية التي يستغلونها ،أجهزة للرصد تشتغل بعالم--ات
تقنية توفرها السلطة الوطنية ،وذلك فقط بهدف رص--د األح--داث ال--تي ق--د ت--ؤثر على أمن نظم
معلومات مشتركيها.
المادة 32
يجب على مق--دمي الخ--دمات الرقمي--ة تحدي--د المخ--اطر ال--تي ته--دد أمن نظم معلوم--اتهم،
واتخاذ التدابير التقنية والتنظيمية الالزمة إلدارة هذه المخ--اطر ،وذل--ك لمن--ع وق--وع الح--وادث
التي قد تؤثر سلبا على هذه الشبكات ونظم المعلوم--ات ،والتقلي--ل إلى أدنى ح--د ممكن من أث--ر
هذه المخاطر ضمانا الستمرارية هذه الخدمات.
المادة 33
يجب على مقدمي الخدمات الرقمية ،فور علمهم بأي حوادث تؤثر على الشبكات ونظم
المعلومات الالزمة لتوفير خدماتهم ،أن يقوموا بإبالغ السلطة الوطنية بها ،وذلك حينما يت--بين
من المعلومات المتوفرة لديهم أن لهذه الحوادث وقع بالغ يؤثر على تقديم هذه الخدمات.
المادة 34
إذا تم ،بأي وسيلة كانت ،إخبار السلطة الوطنية بأن أحد مقدمي الخدمات الرقمية ال يفي
بأحد االلتزامات المنصوص عليها في هذا الق--انون ،أمكن له--ذه الس--لطة أن تخض--عه للمراقب--ة
- 10 -
من أجل التحقق من تقيده بهذه االلتزامات ،وك-ذا من مس-توى أمن الش-بكات ونظم المعلوم-ات
الالزمة لتقديم خدماته .تتم المراقبة من قبل الس--لطة الوطني--ة أو من قب--ل متعه--دي االفتح--اص
الم--ؤهلين من قب--ل ه--ذه الس--لطة .وفي ه--ذه الحال--ة األخ--يرة ،يتحم--ل مق--دم الخ--دمات الرقمي--ة
مصاريف عمليات المراقبة .إذا تبين أثناء إجراء المراقبة وجود أي إخالل بااللتزامات الملقاة
على عاتق مقدم الخدمات بم--وجب ه--ذا الف--رع ،أمكن للس--لطة الوطني--ة إع--ذار مس--يري مق--دم
الخدمات المعني بالتقيد بهذه االلتزامات ،وذلك داخل أجل تحدده هذه السلطة.
- 11 -
لطلباتها المتعلقة بالدعم والمساعدة التقنية .يحدد بنص تنظيمي تأليف اللجنة وكيفيات اشتغالها
ومجال تدخل كل عضو من أعضائها.
المادة 37
يمكن للجنة إدارة األزمات واألحداث السيبرانية الجس--يمة ،من أج--ل التص--دي لح--وادث
األمن السيبراني الجس--يمة ،أن تح--دد الت--دابير ال--تي يت--وجب على مس--ؤولي الهيئ--ات والبني--ات
التحتية ذات األهمية الحيوية تنفيذها وأن تقدم توصيات ونصائح إلى متعهدي القطاع الخ--اص
واألفراد.
- 12 -
مساعدة ومواكبة الهيئات والبنيات التحتية ذات األهمي--ة الحيوي--ة لوض--ع أجه--زة
لرص--د أح--داث مس--ت أو ق--د تمس ب--أمن نظم معلوماته--ا وك-ذا تنس-يق إج--راءات
التصدي لهذه األحداث؛
القيام ،بتعاون مع الهيئات والبنيات التحتية ذات األهمي--ة الحيوي--ة ،بإع--داد نظ--ام
خارجي لليقظة والرصد واإلنذار بأحداث مست أو قد تمس بأمن نظم معلوماته--ا
وكذا تنسيق إجراءات التصدي لهذه األحداث؛
القيام بأنشطة البحث العلمي والتقني في مجال األمن السيبراني وتشجيعها.
المادة 39
يتعين على السلطة الوطنية ضمان سرية المعلوم--ات الحساس--ة ال--تي تجمعه--ا في إط--ار
هذا القانون.
المادة 40
تحدد الس--لطة الوطني--ة قواع--د األمن الالزم--ة لحماي--ة نظم معلوم--ات الهيئ--ات والبني--ات
التحتية ذات األهمية الحيوية والمتعهدين المشار إليهم في المادة األولى من هذا القانون.
تحدد السلطة الوطنية قواعد أمن خاصة بقط-اع أنش--طة ذي أهمي--ة حيوي-ة معين .وتق--وم
بتبليغ هذه القواعد وك--ذا كيفي--ات وآج-ال تطبيقه--ا إلى مس--ؤولي البني-ات التحتي-ة ذات األهمي-ة
الحيوية التابعين للقطاع المعني .يجب على المسؤولين سالفي الذكر تطبيق ه--ذه القواع--د على
نفقتهم.
المادة 41
ألجل التصدي ألي هجوم إلكتروني يستهدف نظم المعلومات ويمس بالوظائف الحيوي--ة
للمجتم-ع أو الص-حة أو الس-المة أو األمن أو التق-دم االقتص-ادي أو االجتم-اعي ،يق-وم أع-وان
السلطة الوطنية بالتحريات التقنية الالزمة لتحديد خص--ائص الهج--وم ويس--هرون على ض--مان
تنفيذ التدابير والتوصيات المتعلقة بها.
المادة 42
تتعاون السلطة الوطنية مع المصالح المختصة في الدول--ة من خالل تب--ادل أي معطي--ات
أو معلومات قد تساعدها على معالجة الجرائم التي تخل بسير نظم المعالجة اآللية للمعطيات.
إذا تبين للسلطة الوطنية ،أثناء ممارسة مهامها ،وجود فعل يش--تبه في مخالفت--ه للق--انون،
فإنه--ا تحي--ل األم--ر إلى الس--لطات المختص--ة .يتعين على الس--لطات المختص--ة إخب--ار الس--لطة
الوطنية بالمآل المخصص لإلحالة
- 13 -
الفصل الرابع :التكوين والتحسيس والتعاون
المادة 43
تقوم السلطة الوطنية ،بتعاون مع الفاعلين والمهنيين في مجال األمن الس--يبراني ،بتنظيم
دورات تكوينية وتمارين لفائدة مستخدمي الهيئات والبنيات التحتي--ة ذات األهمي--ة الحيوي--ة من
أجل تطوير وتعزيز القدرات الوطنية في هذا المجال.
المادة 44
تق--وم الس--لطة الوطني--ة بتحدي--د وتنفي--ذ ب--رامج تحسيس--ية بش--أن األخالقي--ات الس--يبرانية
والتحديات المتعلقة بتهديدات ومخ--اطر األمن الس--يبراني لفائ--دة مس--تخدمي الهيئ--ات والبني--ات
التحتية ذات األهمية الحيوية والقطاع الخاص واألفراد .تنشر بانتظام على الموقع اإللكتروني
للسلطة الوطنية النص-ائح والتوص-يات الوقائي-ة المتعلق-ة ب-األمن الس-يبراني لفائ-دة مس-تخدمي
الهيئات والبنيات التحتية ذات األهمية الحيوية والقطاع الخاص واألفراد.
المادة 45
تسهم السلطة الوطنية في دعم البرامج التي تعدها الهيئات المختصة في الدولة من أجل
تعزيز الثقة الرقمية وتطوير رقمنة الخدمات وحماية المعطيات ذات الطابع الشخصي.
المادة 46
تق--وم الس--لطة الوطني--ة ،بتش--اور م--ع اإلدارات المعني--ة ،بتط--وير عالق--ات التع--اون م--ع
المنظمات الوطنية واألجنبية في مجال األمن السيبراني وتنسيقها.
المادة 47
تقوم السلطة الوطنية بربط عالقات التعاون على الص--عيدين الوط--ني وال--دولي لمعالج--ة
حوادث األمن السيبراني وتطوير تبادل التجارب والخبرات في هذا المجال.
المادة 48
يؤهل للبحث عن المخالفات ألحكام هذا القانون والنصوص المتخ--ذة لتطبيق--ه ومعاينته--ا
بواسطة محاضر ،عالوة على ضباط الشرطة القض--ائية ،أع--وان الس--لطة الوطني--ة المنت--دبون
لهذا الغرض والمحلفون وفق التشريع الجاري به العمل توجه محاضر معاينة المخالف--ات إلى
النيابة العامة المختصة.
- 14 -
المادة 49
دون اإلخالل بالعقوبات الجنائية األشد المنصوص عليها في التشريع الجاري به العمل،
يعاقب بغرامة من 200.000إلى 400.000درهم -كل مسؤول عن هيئة أو بنية تحتي--ة ذات
أهمية حيوية قام بإيواء:
ك--ل مس--ؤول عن بني--ة تحتي--ة ذات أهمي--ة حيوي--ة تت--وفر على نظ--ام المعطي--ات
الحساسة خارج التراب الوطني ،خرقا ألحكام المادة 11أعاله؛
معلومات حساس شرع في استغالله دون إخضاعه للمصادقة المنصوص عليه--ا
في المادة 19أعاله؛
كل مسؤول عن بنية تحتية ذات أهمية حيوية عهد بافتحاص أمن نظم المعلومات
الحساسة الخاصة ببنيته التحتية إلى متعهد افتحاص غ--ير مؤه--ل ،خرق--ا ألحك--ام
المادة 20أعاله؛
كل من قدم خدمات افتحاص أمن نظم المعلومات الحساسة للبني--ات التحتي--ة ذات
األهمي-ة الحيوي-ة دون أن يك-ون م-ؤهال من قب-ل الس-لطة الوطني-ة أو اس-تمر في
تقديم هذه الخدمات رغم سحب تأهيله من قبل هذه السلطة؛
كل مسؤول عن بنية تحتية ذات أهمية حيوية أسند خ-دمات األمن الس-يبراني إلى
مقدم خدمات غير مؤهل ،خرقا ألحكام المادة 25أعاله؛
ك--ل من ق--دم خ--دمات األمن الس--يبراني دون أن يك--ون م--ؤهال من قب--ل الس--لطة
الوطنية أو استمر في تقديم هذه الخدمات رغم سحب تأهيله من قبل هذه السلطة.
المادة 50
دون اإلخالل بالعقوبات الجنائية األشد المنصوص عليها في التشريع الجاري به العمل،
يعاقب بغرامة من 100.000إلى 200.000درهم:
كل من أخل بااللتزامات المتعلقة ب--إبالغ الس--لطة الوطني--ة عن الح--وادث ،خرق--ا
ألحكام المواد 8و 30و 33أعاله؛
كل من قام ،بأي وسيلة كانت ،بعرقلة أو بمنع إجراء عمليات افتح--اص أمن نظم
المعلومات الحساسة للبنيات التحتية ذات األهمية الحيوية ،المنصوص عليه--ا في
المادة 20أعاله؛
كل متعهد لشبكة عامة للمواصالت أو مزود خدمات اإلن--ترنت أو مق--دم خ--دمات
األمن الس--يبراني أو مق--دم الخ--دمات الرقمي--ة أو ناش--ر منص--ات اإلن--ترنت أخ--ل
بااللتزامات المنصوص عليها في المادة 26أعاله؛
كل متعه--د لش--بكة عام--ة للمواص--الت أو م--زود خ--دمات اإلن--ترنت أو أع--وانهم،
عرقل أعمال السلطة الوطنية أو أعوانها المنصوص عليها في المادة 28أعاله؛
- 15 -
كل مقدم خدمة رقمية امتنع عن اتخاذ التدابير المنص--وص عليه--ا في الم--ادة 32
أعاله أو عرقل عمليات المراقبة المنصوص عليه--ا في الم--ادة 34أعاله يع--اقب
بالغرامة نفسها كل شخص ا ْستُ ْخ ِدم نظام معلوماته دون علم--ه لنش--ر البرمجي--ات
الخبيث--ة أو للقي--ام بأعم--ال مخالف--ة للق--انون ،امتن--ع عن تنفي--ذ توجيه--ات الس--لطة
الوطنية بعد إخباره بها.
المادة 51
يج--وز للمحكم--ة أن تحكم بمص--ادرة الم--واد والوس--ائل ال--تي اس--تعملت الرتك--اب أفع--ال
مخالفة ألحكام هذا القانون.
المادة 52
في حالة العود ،ترفع العقوبات المنصوص عليه-ا في ه-ذا الق-انون إلى الض-عف .يعت-بر
في حالة العود كل من سبق الحكم عليه بعقوبة من أجل ارتكاب إحدى المخالفات المنص--وص
عليها في هذا القانون بمقرر قضائي مكتسب لقوة الشيء المقضي به ،ثم ارتكب نفس المخالفة
قبل مضي أربع سنوات من تمام تنفيذ تلك العقوبة أو تقادمها.
المادة 53
يدخل هذا القانون حيز التنفيذ ابتداء من تاريخ نشر النصوص المتخذة لتطبيقه بالجري--دة
الرسمية.
- 16 -
فهرس
قانون رقم 05.20يتعلق باألمن السيبراني3........................................................................... -
الفصل األول :أحكام عامة3............................................................................................
الفصل الثاني :إجراءات حماية أمن نظم المعلومات5..............................................................
الفرع األول :أحكام خاص بالهيئات5..............................................................................
الفرع الثاني :أحكام خاصة بالبنيات التحتية ذ ات األهم المتوفرة على نظم معلومات حساسة7.........
الفرع الثالث :أحكام خاص بالمتعهدين 9..........................................................................
الفصل الثالث :حكامة األمن السيبراني11...........................................................................-
الفرع األول :اللجنة االستراتيجية لألمن السيبراني11..........................................................
الفرع الثاني :السلطة الوطنية لألمن السيبراني 12..............................................................
الفصل الرابع :التكوين والتحسيس والتعاون14.....................................................................
الفصل الخامس :معاينة المخالفات والعقوبات 14...................................................................
الفصل السادس :أحكام ختامية 16.....................................................................................
فهرس17............................................................................................................
- 17 -