‫األمن السيبراني‬

‫ظهير شريف رقم ‪ 69. 1.20‬صادر في ‪ 4‬ذي الحجة ‪1441 )25‬يوليو (‬

‫‪1‬‬
‫‪ 2020‬بتنفيذ القانون رقم ‪ 05.20‬المتعلق باألمن السيبراني‪.‬‬

‫الحمد هلل وحده‪،‬‬

‫الطابع الشريف‪ -‬بداخله‪:‬‬
‫(محمد بن الحسن بن محمد بن يوسف هللا وليه)‬

‫يعلم من ظهيرنا الشريف هذا‪ ،‬أسماه هللا وأعز أمره أننا‪:‬‬

‫بناء على الدستور وال سيما الفصلين‪ 42 -‬و ‪50‬منه‪ ،‬أصدرنا أمرنا الشريف بما يلي‪:‬‬

‫ينفذ وينشر بالجريدة الرسمية‪ ،‬عقب ظهيرنا الشريف هذا‪ ،‬القانون رقم ‪ 05.20‬المتعلق‬
‫باألمن السيبراني‪ ،‬كما وافق عليه مجلس النواب ومجلس المستشارين‪.‬‬
‫وحرر بتطوان في ‪ 4‬ذي الحجة ‪1441 )25‬يوليو ‪2020 (.‬‬

‫وقعه بالعطف‪:‬‬

‫رئيس الحكومة‪،‬‬
‫اإلمضاء‪ :‬سعد الدين العثماني‪.‬‬

‫*‬
‫*‬ ‫*‬

‫‪ - 1‬الجريدة الرسمية عدد ‪ 6904‬بتاريخ ‪ 9‬ذو الحجة ‪ 30( 1441‬يوليو ‪ )2020‬؛ ص ‪4160‬‬

‫‪-2-‬‬
 ‫قانون رقم‪ 05.20‬يتعلق باألمن السيبراني‬

‫الفصل األول‪ :‬أحكام عامة‬

‫المادة األولى‬
‫يحدد هذا القانون‪:‬‬
‫قواعد ومقتضيات األمن المطبقة على نظم معلومات إدارات الدولة والجماع‪--‬ات‬ ‫‪‬‬
‫الترابية والمؤسسات والمقاوالت العمومية وكل ش‪--‬خص اعتب‪--‬اري آخ‪--‬ر خاض‪--‬ع‬
‫للقانون العام‪ ،‬يشار إليهم في هذا القانون؛‬
‫قواعد ومقتضيات األمن المطبقة على البنيات التحتية ذات األهمية الحيوية؛‬ ‫‪‬‬
‫قواع‪--‬د ومقتض‪--‬يات األمن المطبق‪--‬ة على مس‪--‬تغلي الش‪--‬بكات العام‪--‬ة للمواص‪--‬الت‬ ‫‪‬‬
‫ومزودي خدمات اإلنترنت ومقدمي خدمات األمن السيبراني ومق‪--‬دمي الخ‪--‬دمات‬
‫الرقمية وناشري منصات اإلنترنت‪ ،‬يشار إليهم في هذا القانون ب» المتعهد «؛‬
‫اإلطار الوطني لحكامة األمن السيبراني؛‬ ‫‪‬‬
‫إطار التعاون وتبادل المعلومات بين السلطة الوطني‪--‬ة لألمن الس‪--‬يبراني المح‪--‬ددة‬ ‫‪‬‬
‫بنص تنظيمي‪ ،‬والمشار إليها في هذا القانون ب» السلطة الوطني‪--‬ة « والمص‪--‬الح‪-‬‬
‫المختصة للدولة المكلفة بمعالجة الجرائم الماسة بنظم المعالجة اآللية للمعطيات؛‬
‫المساهمات ال‪--‬تي تق‪--‬دمها الس‪--‬لطة الوطني‪--‬ة للهيئ‪--‬ات الوطني‪--‬ة المختص‪--‬ة من أج‪--‬ل‬ ‫‪‬‬
‫تعزيز الثقة الرقمية‪ ،‬وتطوير رقمنة الخدمات المقدمة من طرف الدولة‪ ،‬وحماية‬
‫المعطيات ذات الطابع الشخصي‬
‫اختصاص‪--‬ات الس‪--‬لطة الوطني‪--‬ة ال س‪--‬يما في م‪--‬ا يتعل‪--‬ق بتط‪--‬وير الخ‪--‬برة الوطني‪--‬ة‬ ‫‪‬‬
‫والتحس‪--‬يس في مج‪--‬ال األمن الس‪--‬يبراني لفائ‪--‬دة الهيئ‪--‬ات والف‪--‬اعلين في القط‪--‬اع‬
‫الخاص واألفراد‪ ،‬وتقوية التعاون مع المؤسسات الوطنية واألجنبية‪.‬‬
‫المادة ‪2‬‬
‫يقصد في مدلول هذا القانون بما يلي‪:‬‬
‫» األمن السيبراني‪ « @:‬مجموعة من التدابير واإلجراءات ومفاهيم األمن وطرق‬ ‫‪‬‬
‫إدارة المخاطر واألعمال والتكوين‪-‬ات وأفض‪--‬ل الممارس‪--‬ات والتكنولوجي‪--‬ات ال‪-‬تي‬
‫تسمح لنظام معلومات أن يقاوم أحداثا مرتبطة بالفضاء الس‪--‬يبراني‪ ،‬من ش‪--‬أنها أن‬
‫تمس بت‪--‬وافر وس‪--‬المة وس‪--‬رية المعطي‪--‬ات المخزن‪--‬ة أو المعالج‪--‬ة أو المرس‪--‬لة‪،‬‬
‫والخدمات ذات الصلة التي يقدمها هذا النظام أو تسمح بالولوج إليه؛‬

‫‪-3-‬‬
‫جرائم سيبرانية@‪ :‬مجموعة من األفع‪--‬ال المخالف‪--‬ة للتش‪--‬ريع الوط‪--‬ني أو االتفاقي‪--‬ات‬ ‫‪-‬‬
‫الدولي‪--‬ة ال‪--‬تي ص‪--‬ادقت عليه‪--‬ا المملك‪--‬ة المغربي‪--‬ة‪ ،‬ال‪--‬تي تس‪--‬تهدف ش‪--‬بكات ونظم‬
‫المعلومات أو تستعملها كوسيلة الرتكاب جنحة أو جناية؛‬
‫تهديد سيبراني‪ :‬كل عم‪--‬ل يه‪--‬دف إلى اإلخالل ب‪--‬أمن نظ‪--‬ام للمعلوم‪--‬ات من خالل‬ ‫‪-‬‬
‫المساس بتوافر النظام أو المعلومة التي يتضمنها أو بتماميتهما أو بسريتهما؛‬
‫أخالقيات سيبرانية@‪ :‬مجموعة من المعايير والقواعد التي تحدد السلوك المس‪--‬ؤول‬ ‫‪-‬‬
‫في الفضاء السيبراني؛‬
‫بني@@ات تحتي @ة@ ذات أهمي @ة@ حيوية‪ :‬التجه‪--‬يزات والمنش‪--‬آت واألنظم‪--‬ة الض‪--‬رورية‬ ‫‪-‬‬
‫للحفاظ على اس‪-‬تمرارية الوظ‪-‬ائف الحيوي‪-‬ة للمجتم‪-‬ع والص‪-‬حة واألمن والس‪-‬المة‬
‫والتق‪--‬دم االقتص‪--‬ادي أو االجتم‪--‬اعي حيث إن أي ض‪--‬رر أو إتالف أو ض‪--‬ياع ق‪--‬د‬
‫يصيبها يترتب عنه خلل في هذه الوظائف‬
‫قطاع األنشطة ذات األهمية الحيوية‪ :‬مجموعة من األنشطة التي تقوم بها البنيات‬ ‫‪‬‬
‫التحتي‪--‬ة ذات األهمي‪--‬ة الحيوي‪--‬ة وتس‪--‬اهم في تحقي‪--‬ق نفس اله‪--‬دف وله‪--‬ا عالق‪--‬ة إم‪--‬ا‬
‫بإنتاج وتوزيع الس‪--‬لع أو الخ‪--‬دمات الض‪--‬رورية لتلبي‪--‬ة الحاجي‪--‬ات األساس‪--‬ية لعيش‬
‫المواطنين‪ ،‬أو بممارس‪--‬ة الدول‪--‬ة لص‪--‬الحيتها أو بالحف‪-‬اظ على ق‪--‬دراتها األمني‪--‬ة أو‬
‫بسير النشاط االقتصادي‪ ،‬على اعتبار أن ه‪-‬ذه األنش‪-‬طة غ‪-‬ير قابل‪-‬ة لالس‪-‬تبدال أو‬
‫التعويض‪ ،‬أو نظرا للخطر الجسيم الذي قد تشكله على الساكنة؛‬
‫نظام معلومات»‪ :‬مجموعة منظمة من الموارد كالمستخدمين والمعدات والبرامج‬ ‫‪‬‬
‫والمعطيات واإلجراءات التي تسمح بتجميع المعلوم‪--‬ة في بيئ‪--‬ة معين‪--‬ة وتص‪--‬نيفها‬
‫ومعالجتها ونشرها؛‬
‫نظام معلومات حساس»‪ :‬نظام معلومات يعالج معلومات أو معطيات حساسة من‬ ‫‪-‬‬
‫شأن المساس بسريتها أو بسالمة محتواها أو بتوافرها أن يلحق ضررا بهيئ‪--‬ة م‪--‬ا‬
‫أو ببنية تحتية ذات أهمية حيوية؛‬
‫خدمة لألمن السيبراني»‪ :‬ك‪-‬ل خدم‪-‬ة أمن مقدم‪-‬ة من ل‪-‬دن مق‪-‬دمي خ‪-‬دمات األمن‬ ‫‪‬‬
‫السيبراني لفائدة هيئة ما أو بني‪-‬ة تحتي‪-‬ة ذات أهمي‪-‬ة حيوي‪-‬ة تهم رص‪-‬د وتش‪-‬خيص‬
‫حادث أمن سيبراني وتقوية أمن نظم معلوماتها‬
‫مق@@دم خ@@دمات رقمي@@ة»‪ @:‬ك‪--‬ل ش‪--‬خص ذاتي أو اعتب‪--‬اري يق‪--‬دم عن بع‪--‬د وبطريق‪--‬ة‬ ‫‪-‬‬
‫إلكترونية‪ ،‬وبناء على طلب مستفيد ما‪ ،‬إحدى الخدمات التالية‪:‬‬
‫خدمة رقمية تسمح لمستهلكين أو لمهن‪--‬يين ب‪--‬إبرام عق‪--‬ود بي‪--‬ع أو خدم‪--‬ة ع‪--‬بر‬ ‫‪‬‬
‫اإلنترنت؛‬
‫خدمة رقمية تسمح للمستعملين القيام بأبحاث على مواقع اإلنترنت؛‬ ‫‪‬‬
‫خدم‪--‬ة رقمي‪--‬ة تس‪--‬مح ب‪--‬الولوج إلى مجموع‪--‬ة مرن‪--‬ة ومتنوع‪--‬ة من الم‪--‬وارد‬ ‫‪‬‬
‫المعلوماتي‪--‬ة ال‪--‬تي يمكن تقاس‪--‬مها‪ ،‬بم‪--‬ا فيه‪--‬ا مستض‪--‬يفي المعطي‪--‬ات أو نظم‬
‫المعلومات أو هما معا ومقدمي الخدمات الرقمية السحابية؛‬

‫‪-4-‬‬
‫إيواء‪ :‬كل خدمة لتخ‪--‬زين إش‪--‬ارات أو كتاب‪--‬ات أو ص‪--‬ور أو أص‪--‬وات أو رس‪--‬ائل‬ ‫‪‬‬
‫بمختل‪--‬ف أنواعه‪--‬ا‪ ،‬مقدم‪--‬ة بع‪--‬وض أو ب‪--‬دون ع‪--‬وض من ل‪--‬دن مق‪--‬دمي الخ‪--‬دمات‬
‫الرقمية؛‬
‫إسناد نظام المعلومات لجهة خارجية»‪ :‬كل عملية تتمثل في اإلسناد الج‪--‬زئي أو‬ ‫‪‬‬
‫الكلي لنظام معلومات هيئة ما إلى مقدم خدمات معين في إط‪--‬ار عق‪--‬د يح‪--‬دد بدق‪--‬ة‬
‫على الخصوص مستوى الخدمات ومدة اإلسناد؛‬
‫المص@@ادقة على نظم المعلوم@@ات»‪ :‬وثيقة يش‪--‬هد بواس‪--‬طتها المس‪--‬ؤول عن البني‪--‬ة‬ ‫‪‬‬
‫التحتي‪--‬ة ذات األهمي‪--‬ة الحيوي‪--‬ة على اطالع‪--‬ه على نظ‪--‬ام المعلوم‪--‬ات والت‪--‬دابير‬
‫األمنية التقنية أو التنظيمية أو القانونية المتخذة وعلى تحمله للمخاطر المتبقية؛‬
‫ح@@ادث أمن س@@يبراني@»‪ :‬واقع‪--‬ة أو وق‪--‬ائع غ‪--‬ير مرغ‪--‬وب فيه‪--‬ا أو غ‪--‬ير متوقع‪--‬ة‪،‬‬ ‫‪‬‬
‫مرتبطة بأمن نظم المعلومات‪ ،‬والتي يحتمل جدا أن تعرض للخطر أنشطة هيئ‪--‬ة‬
‫م‪---‬ا أو بني‪---‬ة تحتي‪---‬ة ذات أهمي‪---‬ة حيوي‪---‬ة أو متعه‪---‬د أو أن ته‪---‬دد س‪---‬المة نظمهم‬
‫المعلوماتية‬
‫أزمة أمن سيبراني@‪ :‬حالة ناتجة عن وقوع حدث أو ع‪--‬دة أح‪--‬داث متعلق‪--‬ة ب‪--‬األمن‬ ‫‪‬‬
‫السيبراني‪ ،‬يمكن أن يكون له‪--‬ا وق‪--‬ع خط‪--‬ير على حي‪--‬اة األف‪--‬راد أو على ممارس‪--‬ة‬
‫الدول‪--‬ة لس‪--‬لطاتها أو س‪--‬ير االقتص‪--‬اد أو على المحافظ‪--‬ة على الق‪--‬درات األمني‪--‬ة‬
‫والدفاعية للبالد؛‬
‫إدارة حوادث األمن السيبراني‪ @:‬عمليات رصد حوادث األمن السيبراني والتبليغ‬ ‫‪‬‬
‫عنها وتقييمها وكذا التدابير المتخذة للتدخل والمعالجة المتعلقة بها‪.‬‬

‫الفصل الثاني‪ :‬إجراءات حماية أمن نظم المعلومات‬

‫الفرع األول‪ :‬أحكام خاص بالهيئات‬

‫المادة ‪3‬‬
‫يجب على كل هيئة أن تسهر على أن تكون نظم معلوماتها مطابقة للتوجيهات والقواع‪--‬د‬
‫واألنظمة والمراجع والتوصيات الصادرة عن السلطة الوطنية‪.‬‬
‫المادة ‪4‬‬
‫يجب على ك‪--‬ل هيئ‪--‬ة أن تض‪--‬ع وتنف‪--‬ذ سياس‪--‬ة ألمن نظم معلوماته‪--‬ا وف‪--‬ق التوجيه‪--‬ات‬
‫الص‪--‬ادرة عن الس‪--‬لطة الوطني‪--‬ة‪ .‬يجب على ك‪--‬ل هيئ‪--‬ة تحدي‪--‬د المخ‪--‬اطر ال‪--‬تي ته‪--‬دد أمن نظم‬
‫معلوماتها واتخاذ اإلجراءات التقنية والتنظيمية الالزمة إلدارة هذه المخاطر‪ ،‬من أج‪--‬ل تجنب‬
‫الحوادث التي من شأنها المساس بنظم المعلومات وكذا التقليل إلى أدنى ح‪--‬د ممكن من اآلث‪--‬ار‬
‫التي قد تنجم عن هذه الحوادث‪ .‬يجب أن يخضع كل نظام معلومات هيئة تقدم خ‪--‬دمات رقمي‪--‬ة‬

‫‪-5-‬‬
‫للغير ال فتحاص أمني قبل الشروع في اس‪-‬تغالله‪ .‬يجب على ك‪--‬ل هيئ‪-‬ة إج‪--‬راء افتح‪-‬اص لنظم‬
‫معلوماتها بانتظام‪.‬‬
‫المادة ‪5‬‬
‫يجب على ك‪--‬ل هيئ‪--‬ة أن تق‪--‬وم بتص‪--‬نيف أص‪--‬ولها المعلوماتي‪--‬ة ونظم معلوماته‪--‬ا حس‪--‬ب‬
‫مستوى حساسيتها من حيث الس‪--‬رية والتمامي‪--‬ة والت‪--‬وافر‪ ،‬كم‪--‬ا يتعين أن تك‪--‬ون ت‪--‬دابير حماي‪--‬ة‬
‫األصول المعلوماتية ونظم المعلومات متناسبة م‪--‬ع مس‪--‬توى التص‪--‬نيف المخص‪--‬ص له‪--‬ا‪ .‬يجب‬
‫على ك‪--‬ل هيئ‪--‬ة أن تح‪--‬دد إج‪--‬راءات تأهي‪--‬ل األش‪--‬خاص ال‪--‬ذين يمكنهم الول‪--‬وج إلى المعلوم‪--‬ات‬
‫المصنفة وشروط معالجة هذه المعلومات أو تبادلها أو تخزينها أو نقله‪--‬ا‪ .‬يح‪--‬دد بنص تنظيمي‬
‫الدليل المرجعي لتصنيف أصول المعلومات ونظم المعلومات‪.‬‬
‫المادة ‪6‬‬
‫يجب على ك‪--‬ل هيئ‪--‬ة أن تعين مس‪--‬ؤوال عن أمن نظم المعلوم‪--‬ات‪ ،‬يت‪--‬ولى الس‪--‬هر على‬
‫تطبيق سياسة أمن نظم المعلومات‪ .‬يعتبر المسؤول عن أمن نظم المعلومات مخاطب الس‪--‬لطة‬
‫الوطنية لألمن السيبراني‪ ،‬ويتعين أن يتمتع باالستقاللية الالزمة لممارسة مهامه‪.‬‬
‫المادة ‪7‬‬
‫يجب على كل هيئة أن توفر الوسائل المناسبة لمراقب‪--‬ة ورص‪--‬د األح‪--‬داث ال‪--‬تي ق‪--‬د تمس‬
‫بأمن نظم معلوماته‪--‬ا ويك‪-‬ون له‪--‬ا وق‪-‬ع ب‪-‬الغ على اس‪--‬تمرارية الخ‪--‬دمات ال‪-‬تي تق‪--‬دمها‪ .‬ال يمكن‬
‫للسلطة الوطنية اس‪--‬تغالل المعطي‪-‬ات التقني‪-‬ة المحص‪--‬ل عليه‪--‬ا بواس‪-‬طة الوس‪-‬ائل الم‪-‬ذكورة إال‬
‫لغرض تحديد ومعالجة الخطر الذي يمس بأمن نظم معلومات الهيئة المعنية‪.‬‬
‫المادة ‪8‬‬
‫يجب على ك‪--‬ل هيئ‪--‬ة ف‪--‬ور علمه‪--‬ا ب‪--‬أي ح‪--‬ادث ي‪--‬ؤثر على أمن أو س‪--‬ير نظم المعلوم‪--‬ات‬
‫الخاصة بها أن تقوم بإبالغ السلطة الوطنية‪ .‬تقوم كل هيئة بإبالغ السلطة الوطني‪--‬ة‪ ،‬بن‪--‬اء على‬
‫طلب هذه األخيرة‪ ،‬ودون تأخير‪ ،‬بالمعلوم‪--‬ات اإلض‪--‬افية المتعلق‪--‬ة ب‪--‬الحوادث ال‪--‬تي ت‪--‬ؤثر على‬
‫أمن أو س‪-‬ير نظم معلوماته‪--‬ا‪ .‬ت‪--‬بين الس‪--‬لطة الوطني‪--‬ة المعطي‪--‬ات التقني‪--‬ة والمعلوم‪-‬ات المتعلق‪--‬ة‬
‫بالحوادث‪ ،‬التي يجب إبالغها‪ ،‬وكذا كيفيات إرسالها ترسل السلطة الوطنية إلى الهيئة المعني‪--‬ة‬
‫تقريرا تركيبيا يتضمن التدابير والتوصيات لمعالجة الحادث‪.‬‬
‫المادة ‪9‬‬
‫تعد كل هيئة مخططا لضمان استمرارية أو استئناف األنشطة يتض‪--‬من مجم‪--‬وع الحل‪--‬ول‬
‫البديلة إلبط‪--‬ال مفع‪-‬ول انقطاع‪-‬ات األنش‪--‬طة وحماي‪-‬ة الوظ‪--‬ائف المهم‪-‬ة والحساس‪--‬ة من اآلث‪--‬ار‬
‫الناجمة عن االختالالت األساسية لنظم المعلومات أو عن الكوارث‪ ،‬وض‪--‬مان اس‪--‬تئناف عم‪--‬ل‬
‫هذه الوظائف في أقرب اآلجال‪ .‬يتعين اختبار مخطط ضمان استمرارية أو استئناف األنش‪--‬طة‬
‫بصفة منتظمة من أجل تحيينه حسب التطورات الخاصة بالهيئة وتطور التهديدات‪.‬‬

‫‪-6-‬‬
 ‫المادة ‪10‬‬
‫في حالة إسناد نظ‪--‬ام معلوم‪--‬ات حس‪--‬اس لجه‪--‬ة خارجي‪--‬ة‪ ،‬يجب على ه‪--‬ذه الجه‪--‬ة اح‪--‬ترام‬
‫القواعد واألنظمة والدالئل المرجعي‪--‬ة التقني‪--‬ة المتعلق‪--‬ة ب‪--‬أمن نظم المعلوم‪--‬ات‪ ،‬وال‪--‬تي تض‪--‬عها‬
‫السلطة الوطنية‪.‬‬
‫المادة ‪11‬‬
‫يجب أن يتم إيواء المعطيات الحساسة‪ ،‬حصريا‪ ،‬داخل التراب الوطني‪.‬‬
‫المادة ‪12‬‬
‫يجب أن يكون كل إسناد خارجي لنظام معلومات حساس موضوع عقد خاضع للق‪--‬انون‬
‫المغ‪--‬ربي‪ ،‬يتض‪--‬من وجوب‪--‬ا االلتزام‪--‬ات المتعلق‪--‬ة بحماي‪--‬ة المعلوم‪--‬ة وقابليته‪--‬ا لالفتح‪--‬اص‬
‫واستعادتها‪ ،‬وكذا متطلبات األمن ومستوى الخدمة المرغوب فيها‪.‬‬
‫المادة ‪13‬‬
‫تحدد السلطة الوطنية القواعد وال‪--‬دليل الم‪--‬رجعي التق‪--‬ني المنظم لش‪--‬روط األمن المتعلق‪--‬ة‬
‫باإلسناد الخارجي لنظم المعلومات‪.‬‬

‫الفرع الثاني‪ :‬أحكام خاصة بالبنيات التحتية ذ ات األهم المتوفرة على‬

‫نظم معلومات حساسة‬
‫المادة ‪14‬‬

‫تسري أحكام الفرع األول من هذا الفصل على البنيات التحتية ذات األهمية الحيوية‪.‬‬
‫المادة ‪15‬‬

‫تح‪--‬دد بنص تنظيمي الئح‪--‬ة قطاع‪--‬ات األنش‪--‬طة ذات األهمي‪--‬ة الحيوي‪--‬ة وك‪--‬ذا الس‪--‬لطات‬
‫الحكومي‪--‬ة والمؤسس‪--‬ات العمومي‪--‬ة وب‪--‬اقي األش‪--‬خاص االعتب‪--‬اريين الخاض‪--‬عين للق‪--‬انون الع‪--‬ام‬
‫المشرفين على تنسيق هذه القطاعات‪.‬‬
‫المادة ‪16‬‬

‫يتم تحديد البنيات التحتية ذات األهمية الحيوية لكل قطاع أنشطة ذات أهمية حيوية‪ ،‬بع‪--‬د‬
‫اس‪--‬تطالع رأي الس‪--‬لطة الوطني‪--‬ة‪ ،‬من ط‪--‬رف الس‪--‬لطة الحكومي‪--‬ة أو المؤسس‪--‬ة العمومي‪--‬ة أو‬
‫الشخص االعتباري الخاضع للقانون العام المشرف على تنسيق هذا القطاع تظ‪--‬ل الئح‪--‬ة ه‪--‬ذه‬
‫البنيات التحتية سرية‪ ،‬ويتم تحيينها على فترات منتظمة ال تتعدى سنتين‪.‬‬

‫‪-7-‬‬
 ‫المادة ‪17‬‬

‫يقوم المسؤول عن البنية التحتية ذات األهمية الحيوية‪ ،‬بناء على نتائج تحليل المخ‪--‬اطر‪،‬‬
‫بإعداد الئحة نظم المعلومات الحساسة‪ ،‬وإرسالها في صيغتها المحينة إلى السلطة الوطنية‪.‬‬
‫المادة ‪18‬‬

‫يمكن للسلطة الوطنية توجيه مالحظ‪--‬ات إلى المس‪--‬ؤول عن البني‪--‬ة التحتي‪--‬ة ذات األهمي‪--‬ة‬
‫الحيوية بخصوص الئحة نظم المعلومات الحساسة ال‪--‬تي تمت موافاته‪--‬ا به‪--‬ا‪ .‬في ه‪--‬ذه الحال‪--‬ة‪،‬‬
‫يتعين على المس‪--‬ؤول عن البني‪--‬ة التحتي‪--‬ة ذات األهمي‪--‬ة الحيوي‪--‬ة تع‪--‬ديل الئحته‪--‬ا وفق‪--‬ا له‪--‬ذه‬
‫المالحظ‪-‬ات‪ ،‬وإرس‪-‬ال الالئح‪-‬ة المعدل‪-‬ة إلى الس‪-‬لطة الوطني‪-‬ة داخ‪-‬ل أج‪-‬ل ش‪-‬هرين من ت‪-‬اريخ‬
‫التوصل بالمالحظات‪ .‬تظل الئحة نظم المعلومات الحساسة سرية‪.‬‬
‫المادة ‪19‬‬

‫يجب أن يخضع أمن كل نظام معلومات حساس للمص‪--‬ادقة قب‪--‬ل الش‪--‬روع في اس‪--‬تغالله‪.‬‬
‫تحدد السلطة الوطنية دليل المصادقة على نظم المعلومات الحساسة‪.‬‬
‫المادة ‪20‬‬

‫يجب على المس‪--‬ؤولين عن البني‪--‬ات التحتي‪--‬ة ذات األهمي‪--‬ة الحيوي‪--‬ة‪ ،‬بن‪--‬اء على طلب من‬
‫السلطة الوطنية‪ ،‬إخضاع نظم المعلومات الحساس‪--‬ة الخاص‪--‬ة به‪--‬ا إلى افتح‪--‬اص تق‪--‬وم ب‪--‬ه ه‪--‬ذه‬
‫السلطة أو متعهدي االفتحاص المؤهلين من قبلها‪ .‬تحدد بنص تنظيمي معايير تأهي‪--‬ل متعه‪--‬دي‬
‫االفتحاص وكذا كيفيات إجراء االفتحاص‪.‬‬
‫المادة ‪21‬‬

‫يجب على المسؤولين عن البنيات التحتية ذات األهمية الحيوي‪--‬ة م‪--‬د الس‪--‬لطة الوطني‪--‬ة أو‬
‫متعهد االفتحاص المؤهل بالمعلوم‪--‬ات والعناص‪--‬ر الالزم‪--‬ة إلج‪--‬راء االفتح‪--‬اص‪ ،‬بم‪--‬ا في ذل‪--‬ك‬
‫الوثائق المتعلقة بسياستها األمنية‪ ،‬وعند االقتضاء‪ ،‬نتائج االفتحاص األمني السابقة‪ ،‬والس‪--‬ماح‬
‫لهم ب‪---‬الولوج إلى الش‪---‬بكات ونظم المعلوم‪---‬ات موض‪---‬وع المراقب‪---‬ة قص‪---‬د إج‪---‬راء التحليالت‬
‫واس‪---‬تخراج بيان‪---‬ات المعلوم‪---‬ات التقني‪---‬ة‪ .‬يجب أن يل‪---‬تزم متعه‪---‬دو االفتح‪---‬اص المؤهل‪---‬ون‬
‫ومستخدموهم‪ ،‬تحت طائلة العقوبات المنصوص عليها في مجموعة القانون الجنائي‪ ،‬باحترام‬
‫السر المهني طيلة مدة مهمة االفتحاص وبعد االنتهاء منها‪ ،‬بشأن المعلومات والوثائق التي تم‬
‫تجميعها أو اطلعوا عليها أثناء القيام بهذه المهمة‪.‬‬
‫المادة ‪22‬‬

‫في حالة إجراء االفتحاص من طرف متعهد افتحاص مؤهل‪ ،‬يق‪-‬وم المس‪-‬ؤول عن البني‪--‬ة‬
‫التحتية ذات األهمية الحيوية بإرسال تقرير االفتحاص إلى السلطة الوطني‪--‬ة يجب على متعه‪--‬د‬
‫االفتحاص المؤهل أن يسهر على ضمان سرية تقرير االفتحاص‪.‬‬

‫‪-8-‬‬
 ‫المادة ‪23‬‬

‫عن‪--‬د إج‪--‬راء عملي‪--‬ات االفتح‪--‬اص من ط‪--‬رف متعه‪--‬دي االفتح‪--‬اص الم‪--‬ؤهلين‪ ،‬يتحم‪--‬ل‬

‫المسؤول عن البنية التحتية ذات األهمية الحيوية المعنية مصاريف هذه العمليات‪.‬‬
‫المادة ‪24‬‬

‫يجب على كل مسؤول عن بنية تحتي‪--‬ة ذات أهمي‪--‬ة حيوي‪--‬ة تم افتحاص‪--‬ها وض‪--‬ع برن‪--‬امج‬
‫عمل لتنفيذ التوصيات الواردة في تقارير االفتحاص‪ ،‬وإرساله إلى السلطة الوطنية قصد تتب‪--‬ع‬
‫تنفيذه‪.‬‬
‫المادة ‪25‬‬

‫يجب أن يلج‪--‬أ المس‪--‬ؤولون‪ -‬عن البني‪--‬ات التحتي‪--‬ة ذات األهمي‪--‬ة الحيوي‪--‬ة إلى الخ‪--‬دمات أو‬
‫المنتوجات أو الحلول التي تسمح بتعزيز الوظائف األمنية‪ ،‬والتي تحددها السلطة الوطنية‪ .‬في‬
‫حالة إسناد خدمات األمن السيبراني لجهة خارجية‪ ،‬يجب على المسؤولين عن البنيات التحتي‪--‬ة‬
‫ذات األهمية الحيوية اللجوء إلى مقدمي خ‪--‬دمات م‪--‬ؤهلين من ط‪--‬رف الس‪--‬لطة الوطني‪--‬ة‪ .‬تح‪--‬دد‬
‫بنص تنظيمي معايير تأهيل مقدمي خدمات األمن السيبراني‪.‬‬

‫الفرع الثالث‪ :‬أحكام خاص بالمتعهدين‬

‫المادة ‪26‬‬
‫يجب على مستغلي الشبكات العامة للمواص‪--‬الت وم‪--‬زودي خ‪--‬دمات اإلن‪--‬ترنت ومق‪--‬دمي‬
‫خ‪--‬دمات األمن الس‪--‬يبراني ومق‪--‬دمي الخ‪--‬دمات الرقمي‪--‬ة وناش‪--‬ري منص‪--‬ات اإلن‪--‬ترنت التقي‪--‬د‬
‫بتوجيهات السلطة الوطنية‪ ،‬ال سيما تلك المتعلق‪--‬ة بالمحافظ‪--‬ة على المعطي‪--‬ات التقني‪--‬ة الالزم‪--‬ة‬
‫لتحديد أي حادث أمن سيبراني‪ .‬تتضمن هذه المعطيات التقنية على الخصوص‪ ،‬بيانات الربط‬
‫والنش‪---‬رات المعلوماتي‪---‬ة وآث‪---‬ار أح‪---‬داث األمن المحص‪---‬ل عليه‪---‬ا بواس‪---‬طة نظم االس‪---‬تغالل‬
‫والتطبيقات ومنتوجات األمن‪ .‬تحدد مدة االحتفاظ بالمعطيات التقني‪--‬ة الالزم‪--‬ة لتحدي‪--‬د وتحلي‪--‬ل‬
‫الحادث في سنة واحدة‪ ،‬ويمكن تغيير هذه المدة بنص تنظيمي‪.‬‬
‫المادة ‪27‬‬
‫يخطر مستغلو الشبكات العامة للمواصالت‪ -‬ومزودو خدمات اإلنترنت ومق‪--‬دمو خ‪--‬دمات‬
‫األمن السيبراني ومقدمو الخدمات الرقمي‪--‬ة وناش‪--‬رو منص‪--‬ات اإلن‪--‬ترنت بن‪--‬اءهم بهشاش‪--‬ة نظم‬
‫معلوماتهم أو االنتهاك الذي قد يطالها‪.‬‬
‫المادة ‪28‬‬
‫من أجل ضمان أمن نظم المعلوم‪-‬ات الخاص‪-‬ة بالهيئ‪-‬ات والبني‪-‬ات التحتي‪-‬ة ذات األهمي‪-‬ة‬
‫الحيوية‪ ،‬يسمح ألعوان السلطة الوطنية المعتمدين حصريا به‪--‬دف الوقاي‪--‬ة وتحدي‪--‬د خص‪--‬ائص‬
‫التهديد السيبراني‪ ،‬بتجميع وتحليل المعطي‪--‬ات التقني‪--‬ة‪ ،‬دون أي اس‪--‬تغالل آخ‪--‬ر‪ ،‬ل‪--‬دى مس‪--‬تغلي‬

‫‪-9-‬‬
‫الشبكات العامة للمواصالت‪ -‬وم‪--‬زودي خ‪--‬دمات اإلن‪--‬ترنت ومق‪--‬دمي خ‪--‬دمات األمن الس‪--‬يبراني‬
‫ومقدمي الخدمات الرقمية وناشري منصات اإلنترنت تؤه‪--‬ل الس‪--‬لطة الوطني‪--‬ة لوض‪--‬ع أجه‪--‬زة‬
‫تقنية على الشبكات العامة للمواصالت‪ -‬وش‪--‬بكات م‪--‬زودي خ‪--‬دمات اإلن‪--‬ترنت حص‪--‬ريا به‪--‬دف‬
‫رصد األحداث التي قد تؤثر على أمن نظم معلومات الهيئ‪--‬ات والبني‪--‬ات التحتي‪--‬ة ذات األهمي‪--‬ة‬
‫الحيوية‪ .‬توضع هذه األجهزة حصريا خالل المدة وفي الحدود التي يتطلبها تحدي‪--‬د خص‪--‬ائص‬
‫التهديد‪.‬‬
‫المادة ‪29‬‬
‫يجب على مستغلي الشبكات العامة للمواص‪--‬الت وم‪--‬زودي خ‪--‬دمات اإلن‪--‬ترنت ومق‪--‬دمي‬
‫خدمات األمن السيبراني ومقدمي الخ‪--‬دمات الرقمي‪--‬ة وناش‪--‬ري منص‪--‬ات اإلن‪--‬ترنت‪ ،‬في إط‪--‬ار‬
‫توجيهات الس‪--‬لطة الوطني‪--‬ة‪ ،‬اتخ‪--‬اذ الت‪--‬دابير الحمائي‪--‬ة الالزم‪--‬ة ألج‪--‬ل الوقاي‪--‬ة وإبط‪--‬ال مفع‪--‬ول‬
‫التهديدات أو االنتهاكات التي تمس نظم معلومات زبنائهم‪.‬‬
‫المادة ‪30‬‬
‫عندما يقوم مستغلو الش‪--‬بكات العام‪--‬ة للمواص‪--‬الت‪ -‬وم‪--‬زودو خ‪--‬دمات اإلن‪--‬ترنت ومق‪--‬دمو‬
‫خدمات األمن السيبراني ومقدمو الخدمات الرقمية وناشرو منصات اإلنترنت برص‪--‬د أح‪--‬داث‬
‫قد تؤثر على أمن نظم بذلك‪ .‬معلومات زبنائهم‪ ،‬وجب عليهم إخطار السلطة الوطنية فورا‬
‫المادة ‪31‬‬
‫يجب على مس‪--‬تغلي الش‪--‬بكات العام‪--‬ة للمواص‪--‬الت وم‪--‬زودي خ‪--‬دمات اإلن‪--‬ترنت أن‬
‫يستعملوا‪ ،‬في شبكات االتصاالت اإللكترونية التي يستغلونها‪ ،‬أجهزة للرصد تشتغل بعالم‪--‬ات‬
‫تقنية توفرها السلطة الوطنية‪ ،‬وذلك فقط بهدف رص‪--‬د األح‪--‬داث ال‪--‬تي ق‪--‬د ت‪--‬ؤثر على أمن نظم‬
‫معلومات مشتركيها‪.‬‬
‫المادة ‪32‬‬
‫يجب على مق‪--‬دمي الخ‪--‬دمات الرقمي‪--‬ة تحدي‪--‬د المخ‪--‬اطر ال‪--‬تي ته‪--‬دد أمن نظم معلوم‪--‬اتهم‪،‬‬
‫واتخاذ التدابير التقنية والتنظيمية الالزمة إلدارة هذه المخ‪--‬اطر‪ ،‬وذل‪--‬ك لمن‪--‬ع وق‪--‬وع الح‪--‬وادث‬
‫التي قد تؤثر سلبا على هذه الشبكات ونظم المعلوم‪--‬ات‪ ،‬والتقلي‪--‬ل إلى أدنى ح‪--‬د ممكن من أث‪--‬ر‬
‫هذه المخاطر ضمانا الستمرارية هذه الخدمات‪.‬‬
‫المادة ‪33‬‬
‫يجب على مقدمي الخدمات الرقمية‪ ،‬فور علمهم بأي حوادث تؤثر على الشبكات ونظم‬
‫المعلومات الالزمة لتوفير خدماتهم‪ ،‬أن يقوموا بإبالغ السلطة الوطنية بها‪ ،‬وذلك حينما يت‪--‬بين‬
‫من المعلومات المتوفرة لديهم أن لهذه الحوادث وقع بالغ يؤثر على تقديم هذه الخدمات‪.‬‬
‫المادة ‪34‬‬
‫إذا تم‪ ،‬بأي وسيلة كانت‪ ،‬إخبار السلطة الوطنية بأن أحد مقدمي الخدمات الرقمية ال يفي‬
‫بأحد االلتزامات المنصوص عليها في هذا الق‪--‬انون‪ ،‬أمكن له‪--‬ذه الس‪--‬لطة أن تخض‪--‬عه للمراقب‪--‬ة‬

‫‪- 10 -‬‬
‫من أجل التحقق من تقيده بهذه االلتزامات‪ ،‬وك‪-‬ذا من مس‪-‬توى أمن الش‪-‬بكات ونظم المعلوم‪-‬ات‬
‫الالزمة لتقديم خدماته‪ .‬تتم المراقبة من قبل الس‪--‬لطة الوطني‪--‬ة أو من قب‪--‬ل متعه‪--‬دي االفتح‪--‬اص‬
‫الم‪--‬ؤهلين من قب‪--‬ل ه‪--‬ذه الس‪--‬لطة‪ .‬وفي ه‪--‬ذه الحال‪--‬ة األخ‪--‬يرة‪ ،‬يتحم‪--‬ل مق‪--‬دم الخ‪--‬دمات الرقمي‪--‬ة‬
‫مصاريف عمليات المراقبة‪ .‬إذا تبين أثناء إجراء المراقبة وجود أي إخالل بااللتزامات الملقاة‬
‫على عاتق مقدم الخدمات بم‪--‬وجب ه‪--‬ذا الف‪--‬رع‪ ،‬أمكن للس‪--‬لطة الوطني‪--‬ة إع‪--‬ذار مس‪--‬يري مق‪--‬دم‬
‫الخدمات المعني بالتقيد بهذه االلتزامات‪ ،‬وذلك داخل أجل تحدده هذه السلطة‪.‬‬

‫الفصل الثالث‪ :‬حكامة األمن السيبراني‬

‫الفرع األول‪ :‬اللجنة االستراتيجية لألمن السيبراني‬

‫المادة ‪35‬‬
‫تحدث لجنة استراتيجية لألمن السيبراني‪ ،‬يعهد إليها بالقيام بما يلي‪:‬‬
‫إعداد التوجهات االس‪--‬تراتيجية للدول‪--‬ة في مج‪--‬ال األمن الس‪--‬يبراني والس‪--‬هر على‬ ‫‪‬‬
‫ضمان ص‪--‬مود نظم معلوم‪--‬ات الهيئ‪--‬ات والبني‪--‬ات التحتي‪--‬ة ذات األهمي‪--‬ة الحيوي‪--‬ة‬
‫والمتعهدين المشار إليهم في الفرع الثالث من الفصل الثاني من هذا القانون؛‬
‫التقييم السنوي ألنشطة السلطة الوطنية؛‬ ‫‪‬‬
‫تق‪--‬ييم عم‪--‬ل اللجن‪--‬ة الوطني‪--‬ة إلدارة األزم‪--‬ات واألح‪--‬داث الس‪--‬يبرانية الجس‪--‬يمة‪،‬‬ ‫‪‬‬
‫المنصوص عليها في المادة ‪ 36‬بعده؛‬
‫حصر نطاق افتحاصات أمن نظم المعلومات التي تنجزها السلطة الوطنية؛‬ ‫‪‬‬
‫تشجيع البحث والتطوير‪ -‬في مجال األمن السيبراني؛‬ ‫‪‬‬
‫تشجيع برامج وأنشطة التحس‪--‬يس وتعزي‪--‬ز الق‪--‬درات في مج‪--‬ال األمن الس‪--‬يبراني‬ ‫‪‬‬
‫لفائدة الهيئات والبنيات التحتية ذات األهمية الحيوية؛‬
‫إبداء الرأي في مش‪--‬اريع الق‪--‬وانين والنص‪--‬وص التنظيمي‪--‬ة المتعلق‪--‬ة بمج‪--‬ال األمن‬ ‫‪‬‬
‫السيبراني‪.‬‬
‫يحدد بنص تنظيمي تأليف وكيفيات سير اللجنة االستراتيجية لألمن السيبراني‪.‬‬
‫المادة ‪36‬‬
‫تح‪--‬دث ل‪--‬دى اللجن‪--‬ة االس‪--‬تراتيجية لألمن الس‪--‬يبراني‪ ،‬لجن‪--‬ة إلدارة األزم‪--‬ات واألح‪--‬داث‬
‫السيبرانية الجسيمة‪ ،‬تكلف بضمان تدخل منسق في مجال الوقاي‪--‬ة وت‪--‬دبير األزم‪--‬ات على إث‪--‬ر‬
‫وقوع حوادث أمن سيبراني‪ .‬ولهذا الغرض‪ ،‬يتعين على مستغلي الشبكات العامة للمواصالت‬
‫وم‪--‬زودي خ‪--‬دمات اإلن‪--‬ترنت ومق‪--‬دمي خ‪--‬دمات األمن الس‪--‬يبراني ومق‪--‬دمي الخ‪--‬دمات الرقمي‪--‬ة‬
‫االمتثال لألوامر الصادرة عن لجنة إدارة األزمات واألحداث السيبرانية الجسيمة واالس‪--‬تجابة‬

‫‪- 11 -‬‬
‫لطلباتها المتعلقة بالدعم والمساعدة التقنية‪ .‬يحدد بنص تنظيمي تأليف اللجنة وكيفيات اشتغالها‬
‫ومجال تدخل كل عضو من أعضائها‪.‬‬
‫المادة ‪37‬‬
‫يمكن للجنة إدارة األزمات واألحداث السيبرانية الجس‪--‬يمة‪ ،‬من أج‪--‬ل التص‪--‬دي لح‪--‬وادث‬
‫األمن السيبراني الجس‪--‬يمة‪ ،‬أن تح‪--‬دد الت‪--‬دابير ال‪--‬تي يت‪--‬وجب على مس‪--‬ؤولي الهيئ‪--‬ات والبني‪--‬ات‬
‫التحتية ذات األهمية الحيوية تنفيذها وأن تقدم توصيات ونصائح إلى متعهدي القطاع الخ‪--‬اص‬
‫واألفراد‪.‬‬

‫الفرع الثاني‪ :‬السلطة الوطنية لألمن السيبراني‬

‫المادة ‪38‬‬
‫يعهد إلى السلطة الوطنية بتنفي‪--‬ذ اس‪--‬تراتيجية الدول‪--‬ة في مج‪--‬ال األمن الس‪--‬يبراني‪ .‬وله‪--‬ذا‬
‫الغرض‪ ،‬تت‪--‬ولى الس‪--‬لطة الوطني‪--‬ة‪ ،‬عالوة على المه‪--‬ام األخ‪--‬رى المس‪--‬ندة إليه‪--‬ا بمقتض‪--‬ى ه‪--‬ذا‬
‫القانون‪ ،‬القيام بالمهام التالية‪:‬‬
‫تنس‪--‬يق األعم‪--‬ال المتعلق‪--‬ة بإع‪--‬داد وتنفي‪--‬ذ اس‪--‬تراتيجية الدول‪--‬ة في مج‪--‬ال األمن‬ ‫‪‬‬
‫الس‪--‬يبراني والس‪--‬هر على ض‪--‬مان تط‪--‬بيق توجيه‪--‬ات اللجن‪--‬ة االس‪--‬تراتيجية لألمن‬
‫السيبراني؛‬
‫تحديد تدابير حماية نظم المعلومات والسهر على ضمان تطبيقها؛‬ ‫‪‬‬
‫تق‪--‬ديم اقتراح‪--‬ات إلى اللجن‪--‬ة االس‪--‬تراتيجية لألمن الس‪--‬يبراني بخص‪--‬وص ت‪--‬دابير‬ ‫‪‬‬
‫التص‪--‬دي لألزم‪--‬ات ال‪--‬تي تمس أو ته‪--‬دد أمن نظم معلوم‪--‬ات الهيئ‪--‬ات والبني‪--‬ات‬
‫التحتية ذات األهمية الحيوية؛‬
‫تأهيل مقدمي خ‪-‬دمات افتح‪--‬اص نظم المعلوم‪--‬ات الحساس‪--‬ة للبني‪--‬ات التحتي‪--‬ة ذات‬ ‫‪‬‬
‫األهمية الحيوية ومقدمي خدمات األمن السيبراني؛‬
‫وض‪--‬ع تص‪--‬ور للوس‪--‬ائل الالزم‪--‬ة لض‪--‬مان أمن االتص‪--‬االت اإللكتروني‪--‬ة بين‬ ‫‪‬‬
‫الوزارية وتنسيق تفعيلها؛‬
‫القيام بأعمال المراقبة المنصوص عليها في هذا القانون؛‬ ‫‪‬‬
‫السهر على ضمان إجراء عمليات افتحاص أمن نظم معلومات الهيئات والبنيات‬ ‫‪‬‬
‫التحتية ذات األهمية الحيوية؛‬
‫افتح‪--‬اص متعه‪--‬دي خ‪--‬دمات األمن الس‪--‬يبراني ومق‪--‬دمي الخ‪--‬دمات الرقمي‪--‬ة ال‪--‬ذين‬ ‫‪‬‬
‫يق‪--‬دمون خ‪--‬دمات للبني‪--‬ات التحتي‪--‬ة ذات األهمي‪--‬ة الحيوي‪--‬ة المت‪--‬وفرة على نظم‬
‫معلومات حساسة‬
‫تقديم المس‪-‬اعدة والنص‪-‬ائح إلى الهيئ‪-‬ات والبني‪-‬ات التحتي‪-‬ة ذات األهمي‪-‬ة الحيوي‪-‬ة‬ ‫‪‬‬
‫قصد تعزيز أمن نظم معلوماتها؛‬

‫‪- 12 -‬‬
‫مساعدة ومواكبة الهيئات والبنيات التحتية ذات األهمي‪--‬ة الحيوي‪--‬ة لوض‪--‬ع أجه‪--‬زة‬ ‫‪‬‬
‫لرص‪--‬د أح‪--‬داث مس‪--‬ت أو ق‪--‬د تمس ب‪--‬أمن نظم معلوماته‪--‬ا وك‪-‬ذا تنس‪-‬يق إج‪--‬راءات‬
‫التصدي لهذه األحداث؛‬
‫القيام‪ ،‬بتعاون مع الهيئات والبنيات التحتية ذات األهمي‪--‬ة الحيوي‪--‬ة‪ ،‬بإع‪--‬داد نظ‪--‬ام‬ ‫‪‬‬
‫خارجي لليقظة والرصد واإلنذار بأحداث مست أو قد تمس بأمن نظم معلوماته‪--‬ا‬
‫وكذا تنسيق إجراءات التصدي لهذه األحداث؛‬
‫القيام بأنشطة البحث العلمي والتقني في مجال األمن السيبراني وتشجيعها‪.‬‬ ‫‪‬‬
‫المادة ‪39‬‬
‫يتعين على السلطة الوطنية ضمان سرية المعلوم‪--‬ات الحساس‪--‬ة ال‪--‬تي تجمعه‪--‬ا في إط‪--‬ار‬
‫هذا القانون‪.‬‬
‫المادة ‪40‬‬
‫تحدد الس‪--‬لطة الوطني‪--‬ة قواع‪--‬د األمن الالزم‪--‬ة لحماي‪--‬ة نظم معلوم‪--‬ات الهيئ‪--‬ات والبني‪--‬ات‬
‫التحتية ذات األهمية الحيوية والمتعهدين المشار إليهم في المادة األولى من هذا القانون‪.‬‬
‫تحدد السلطة الوطنية قواعد أمن خاصة بقط‪-‬اع أنش‪--‬طة ذي أهمي‪--‬ة حيوي‪-‬ة معين‪ .‬وتق‪--‬وم‬
‫بتبليغ هذه القواعد وك‪--‬ذا كيفي‪--‬ات وآج‪-‬ال تطبيقه‪--‬ا إلى مس‪--‬ؤولي البني‪-‬ات التحتي‪-‬ة ذات األهمي‪-‬ة‬
‫الحيوية التابعين للقطاع المعني‪ .‬يجب على المسؤولين سالفي الذكر تطبيق ه‪--‬ذه القواع‪--‬د على‬
‫نفقتهم‪.‬‬
‫المادة ‪41‬‬
‫ألجل التصدي ألي هجوم إلكتروني يستهدف نظم المعلومات ويمس بالوظائف الحيوي‪--‬ة‬
‫للمجتم‪-‬ع أو الص‪-‬حة أو الس‪-‬المة أو األمن أو التق‪-‬دم االقتص‪-‬ادي أو االجتم‪-‬اعي‪ ،‬يق‪-‬وم أع‪-‬وان‬
‫السلطة الوطنية بالتحريات التقنية الالزمة لتحديد خص‪--‬ائص الهج‪--‬وم ويس‪--‬هرون على ض‪--‬مان‬
‫تنفيذ التدابير والتوصيات المتعلقة بها‪.‬‬
‫المادة ‪42‬‬
‫تتعاون السلطة الوطنية مع المصالح المختصة في الدول‪--‬ة من خالل تب‪--‬ادل أي معطي‪--‬ات‬
‫أو معلومات قد تساعدها على معالجة الجرائم التي تخل بسير نظم المعالجة اآللية للمعطيات‪.‬‬
‫إذا تبين للسلطة الوطنية‪ ،‬أثناء ممارسة مهامها‪ ،‬وجود فعل يش‪--‬تبه في مخالفت‪--‬ه للق‪--‬انون‪،‬‬
‫فإنه‪--‬ا تحي‪--‬ل األم‪--‬ر إلى الس‪--‬لطات المختص‪--‬ة‪ .‬يتعين على الس‪--‬لطات المختص‪--‬ة إخب‪--‬ار الس‪--‬لطة‬
‫الوطنية بالمآل المخصص لإلحالة‬

‫‪- 13 -‬‬
 ‫الفصل الرابع‪ :‬التكوين والتحسيس والتعاون‬

‫المادة ‪43‬‬
‫تقوم السلطة الوطنية‪ ،‬بتعاون مع الفاعلين والمهنيين في مجال األمن الس‪--‬يبراني‪ ،‬بتنظيم‬
‫دورات تكوينية وتمارين لفائدة مستخدمي الهيئات والبنيات التحتي‪--‬ة ذات األهمي‪--‬ة الحيوي‪--‬ة من‬
‫أجل تطوير وتعزيز القدرات الوطنية في هذا المجال‪.‬‬
‫المادة ‪44‬‬
‫تق‪--‬وم الس‪--‬لطة الوطني‪--‬ة بتحدي‪--‬د وتنفي‪--‬ذ ب‪--‬رامج تحسيس‪--‬ية بش‪--‬أن األخالقي‪--‬ات الس‪--‬يبرانية‬
‫والتحديات المتعلقة بتهديدات ومخ‪--‬اطر األمن الس‪--‬يبراني لفائ‪--‬دة مس‪--‬تخدمي الهيئ‪--‬ات والبني‪--‬ات‬
‫التحتية ذات األهمية الحيوية والقطاع الخاص واألفراد‪ .‬تنشر بانتظام على الموقع اإللكتروني‬
‫للسلطة الوطنية النص‪-‬ائح والتوص‪-‬يات الوقائي‪-‬ة المتعلق‪-‬ة ب‪-‬األمن الس‪-‬يبراني لفائ‪-‬دة مس‪-‬تخدمي‬
‫الهيئات والبنيات التحتية ذات األهمية الحيوية والقطاع الخاص واألفراد‪.‬‬
‫المادة ‪45‬‬
‫تسهم السلطة الوطنية في دعم البرامج التي تعدها الهيئات المختصة في الدولة من أجل‬
‫تعزيز الثقة الرقمية وتطوير رقمنة الخدمات وحماية المعطيات ذات الطابع الشخصي‪.‬‬
‫المادة ‪46‬‬
‫تق‪--‬وم الس‪--‬لطة الوطني‪--‬ة‪ ،‬بتش‪--‬اور م‪--‬ع اإلدارات المعني‪--‬ة‪ ،‬بتط‪--‬وير عالق‪--‬ات التع‪--‬اون م‪--‬ع‬
‫المنظمات الوطنية واألجنبية في مجال األمن السيبراني وتنسيقها‪.‬‬
‫المادة ‪47‬‬
‫تقوم السلطة الوطنية بربط عالقات التعاون على الص‪--‬عيدين الوط‪--‬ني وال‪--‬دولي لمعالج‪--‬ة‬
‫حوادث األمن السيبراني وتطوير تبادل التجارب والخبرات في هذا المجال‪.‬‬

‫الفصل الخامس‪ :‬معاينة المخالفات والعقوبات‬

‫المادة ‪48‬‬
‫يؤهل للبحث عن المخالفات ألحكام هذا القانون والنصوص المتخ‪--‬ذة لتطبيق‪--‬ه ومعاينته‪--‬ا‬
‫بواسطة محاضر‪ ،‬عالوة على ضباط الشرطة القض‪--‬ائية‪ ،‬أع‪--‬وان الس‪--‬لطة الوطني‪--‬ة المنت‪--‬دبون‬
‫لهذا الغرض والمحلفون وفق التشريع الجاري به العمل توجه محاضر معاينة المخالف‪--‬ات إلى‬
‫النيابة العامة المختصة‪.‬‬

‫‪- 14 -‬‬
 ‫المادة ‪49‬‬
‫دون اإلخالل بالعقوبات الجنائية األشد المنصوص عليها في التشريع الجاري به العمل‪،‬‬
‫يعاقب بغرامة من ‪ 200.000‬إلى ‪ 400.000‬درهم‪ -‬كل مسؤول عن هيئة أو بنية تحتي‪--‬ة ذات‬
‫أهمية حيوية قام بإيواء‪:‬‬
‫ك‪--‬ل مس‪--‬ؤول عن بني‪--‬ة تحتي‪--‬ة ذات أهمي‪--‬ة حيوي‪--‬ة تت‪--‬وفر على نظ‪--‬ام المعطي‪--‬ات‬ ‫‪‬‬
‫الحساسة خارج التراب الوطني‪ ،‬خرقا ألحكام المادة ‪ 11‬أعاله؛‬
‫معلومات حساس شرع في استغالله دون إخضاعه للمصادقة المنصوص عليه‪--‬ا‬ ‫‪‬‬
‫في المادة ‪ 19‬أعاله؛‬
‫كل مسؤول عن بنية تحتية ذات أهمية حيوية عهد بافتحاص أمن نظم المعلومات‬ ‫‪‬‬
‫الحساسة الخاصة ببنيته التحتية إلى متعهد افتحاص غ‪--‬ير مؤه‪--‬ل‪ ،‬خرق‪--‬ا ألحك‪--‬ام‬
‫المادة ‪ 20‬أعاله؛‬
‫كل من قدم خدمات افتحاص أمن نظم المعلومات الحساسة للبني‪--‬ات التحتي‪--‬ة ذات‬ ‫‪‬‬
‫األهمي‪-‬ة الحيوي‪-‬ة دون أن يك‪-‬ون م‪-‬ؤهال من قب‪-‬ل الس‪-‬لطة الوطني‪-‬ة أو اس‪-‬تمر في‬
‫تقديم هذه الخدمات رغم سحب تأهيله من قبل هذه السلطة؛‬
‫كل مسؤول عن بنية تحتية ذات أهمية حيوية أسند خ‪-‬دمات األمن الس‪-‬يبراني إلى‬ ‫‪‬‬
‫مقدم خدمات غير مؤهل‪ ،‬خرقا ألحكام المادة ‪ 25‬أعاله؛‬
‫ك‪--‬ل من ق‪--‬دم خ‪--‬دمات األمن الس‪--‬يبراني دون أن يك‪--‬ون م‪--‬ؤهال من قب‪--‬ل الس‪--‬لطة‬ ‫‪‬‬
‫الوطنية أو استمر في تقديم هذه الخدمات رغم سحب تأهيله من قبل هذه السلطة‪.‬‬
‫المادة ‪50‬‬
‫دون اإلخالل بالعقوبات الجنائية األشد المنصوص عليها في التشريع الجاري به العمل‪،‬‬
‫يعاقب بغرامة من ‪ 100.000‬إلى ‪ 200.000‬درهم‪:‬‬
‫كل من أخل بااللتزامات المتعلقة ب‪--‬إبالغ الس‪--‬لطة الوطني‪--‬ة عن الح‪--‬وادث‪ ،‬خرق‪--‬ا‬ ‫‪‬‬
‫ألحكام المواد ‪ 8‬و‪ 30‬و‪ 33‬أعاله؛‬
‫كل من قام‪ ،‬بأي وسيلة كانت‪ ،‬بعرقلة أو بمنع إجراء عمليات افتح‪--‬اص أمن نظم‬ ‫‪‬‬
‫المعلومات الحساسة للبنيات التحتية ذات األهمية الحيوية‪ ،‬المنصوص عليه‪--‬ا في‬
‫المادة ‪ 20‬أعاله؛‬
‫كل متعهد لشبكة عامة للمواصالت أو مزود خدمات اإلن‪--‬ترنت أو مق‪--‬دم خ‪--‬دمات‬ ‫‪‬‬
‫األمن الس‪--‬يبراني أو مق‪--‬دم الخ‪--‬دمات الرقمي‪--‬ة أو ناش‪--‬ر منص‪--‬ات اإلن‪--‬ترنت أخ‪--‬ل‬
‫بااللتزامات المنصوص عليها في المادة ‪ 26‬أعاله؛‬
‫كل متعه‪--‬د لش‪--‬بكة عام‪--‬ة للمواص‪--‬الت أو م‪--‬زود خ‪--‬دمات اإلن‪--‬ترنت أو أع‪--‬وانهم‪،‬‬ ‫‪‬‬
‫عرقل أعمال السلطة الوطنية أو أعوانها المنصوص عليها في المادة ‪ 28‬أعاله؛‬

‫‪- 15 -‬‬
‫كل مقدم خدمة رقمية امتنع عن اتخاذ التدابير المنص‪--‬وص عليه‪--‬ا في الم‪--‬ادة ‪32‬‬ ‫‪‬‬
‫أعاله أو عرقل عمليات المراقبة المنصوص عليه‪--‬ا في الم‪--‬ادة ‪ 34‬أعاله يع‪--‬اقب‬
‫بالغرامة نفسها كل شخص ا ْستُ ْخ ِدم نظام معلوماته دون علم‪--‬ه لنش‪--‬ر البرمجي‪--‬ات‬
‫الخبيث‪--‬ة أو للقي‪--‬ام بأعم‪--‬ال مخالف‪--‬ة للق‪--‬انون‪ ،‬امتن‪--‬ع عن تنفي‪--‬ذ توجيه‪--‬ات الس‪--‬لطة‬
‫الوطنية بعد إخباره بها‪.‬‬
‫المادة ‪51‬‬
‫يج‪--‬وز للمحكم‪--‬ة أن تحكم بمص‪--‬ادرة الم‪--‬واد والوس‪--‬ائل ال‪--‬تي اس‪--‬تعملت الرتك‪--‬اب أفع‪--‬ال‬
‫مخالفة ألحكام هذا القانون‪.‬‬
‫المادة ‪52‬‬
‫في حالة العود‪ ،‬ترفع العقوبات المنصوص عليه‪-‬ا في ه‪-‬ذا الق‪-‬انون إلى الض‪-‬عف‪ .‬يعت‪-‬بر‬
‫في حالة العود كل من سبق الحكم عليه بعقوبة من أجل ارتكاب إحدى المخالفات المنص‪--‬وص‬
‫عليها في هذا القانون بمقرر قضائي مكتسب لقوة الشيء المقضي به‪ ،‬ثم ارتكب نفس المخالفة‬
‫قبل مضي أربع سنوات من تمام تنفيذ تلك العقوبة أو تقادمها‪.‬‬

‫الفصل السادس‪ :‬أحكام ختامية‬

‫المادة ‪53‬‬
‫يدخل هذا القانون حيز التنفيذ ابتداء من تاريخ نشر النصوص المتخذة لتطبيقه بالجري‪--‬دة‬
‫الرسمية‪.‬‬

‫‪- 16 -‬‬
 ‫فهرس‬
‫قانون رقم‪ 05.20‬يتعلق باألمن السيبراني‪3........................................................................... -‬‬
‫الفصل األول‪ :‬أحكام عامة‪3............................................................................................‬‬
‫الفصل الثاني‪ :‬إجراءات حماية أمن نظم المعلومات‪5..............................................................‬‬
‫الفرع األول‪ :‬أحكام خاص بالهيئات‪5..............................................................................‬‬
‫الفرع الثاني‪ :‬أحكام خاصة بالبنيات التحتية ذ ات األهم المتوفرة على نظم معلومات حساسة‪7.........‬‬
‫الفرع الثالث‪ :‬أحكام خاص بالمتعهدين ‪9..........................................................................‬‬
‫الفصل الثالث‪ :‬حكامة األمن السيبراني‪11...........................................................................-‬‬
‫الفرع األول‪ :‬اللجنة االستراتيجية لألمن السيبراني‪11..........................................................‬‬
‫الفرع الثاني‪ :‬السلطة الوطنية لألمن السيبراني ‪12..............................................................‬‬
‫الفصل الرابع‪ :‬التكوين والتحسيس والتعاون‪14.....................................................................‬‬
‫الفصل الخامس‪ :‬معاينة المخالفات والعقوبات ‪14...................................................................‬‬
‫الفصل السادس‪ :‬أحكام ختامية ‪16.....................................................................................‬‬
‫فهرس‪17............................................................................................................‬‬

‫‪- 17 -‬‬