تضمن قرار الموافقة على الممكنات النظامية للهيئة الوطنية للأمن السيبراني، فرض عدة عقوبات على المخالفين لتلك الممكنات من بينها غرامة لا تزيد على 25 مليون ريال. وشدد القرار على قيام الهيئة برفع تقرير يتضمن نتائج تطبيق الممكنات، ومرئياتها بشأنها، وأي مقترحات تراها حيالها، وذلك بعد مضي 4 سنوات من تاريخ العمل بها.
للهيئة في الحالات العاجلة تعليق أي من الأنشطة ذات الصلة بالأمن السيبراني
ونص القرار على أن يعاقب كل من يرتكب أيّاً من المخالفات المشار إليها من هذه الممكنات أو يساهم بأي شكل في ارتكابها من غير الجهات العامة أو موظفيها أو العاملين فيها فيما يتعلق بمهماتهم في تلك الجهات، بواحدة أو أكثر من العقوبات الآتية: الإنذار، وتعليق الترخيص مؤقتًا، وإلغاء الترخيص، وإيقاف الخدمة أو النشاط، وغرامة لا تزيد على 25 مليون ريال.
وحدد القرار مخالفات الممكنات، والتي تضمنت: مزاولة أي من الأنشطة أو العمليات المتعلقة بالأمن السيبراني التي يشترط لمزاولتها الحصول على ترخيص من الهيئة الوطنية للأمن السيبراني دون الحصول على الترخيص أو بالمخالفة لشروطه، وعدم الالتزام بالسياسات وآليات الحوكمة والأطر والمعايير والضوابط والإرشادات المتعلقة بالأمن السيبراني التي تضعها الهيئة، إضافة إلى تقديم بيانات مضللة للعموم أو الجهات العامة أو الخاصة، تتعلق بتقديم أنشطة أو عمليات أو خدمات ذات صلة بالأمن السيبراني.
وتضمنت المخالفات أيضاً: الامتناع عن تزويد الهيئة الوطنية للأمن السيبراني بما تطلبه من المعلومات أو البيانات أو التقارير أو الوثائق اللازمة لقيامها باختصاصاتها ومهماتها أو تقديمها بشكل مضلل، وحيازة أو بيع أو استيراد أو تصدير أو تأجير أو إتاحة أو صنع أو إنتاج أو تداول أو استخدام - بأي صورة كانت - أي جهاز أو عتاد أو أداة أو خدمة أو نظام أو برنامج أو نحوها ذات صلة بالأمن السيبراني بما لا يتوافق مع المعايير والاشتراطات التي تضعها الهيئة الوطنية للأمن السيبراني أو دون الحصول على الترخيص أو إجراء الفسح اللازم.
ومن بين المخالفات أيضاً، وفق القرار، إعاقة المفتشين بأي شكل من الأشكال عن أداء مهماتهم أو منعهم من ذلك، أو عدم التعاون معهم وتقديم التسهيلات لهم، من المخالفات التي نص عليها القرار، وأي عمل آخر مخالف للوائح والقرارات المتعلقة بنشاط الأمن السيبراني الصادرة من الهيئة الوطنية للأمن السيبراني بناء على تنظيمها.
ووفق القرار، فإنه إذا ارتكب شخص أيًّا من المخالفات المشار إليها، فللهيئة الوطنية للأمن السيبراني في الحالات العاجلة والضرورية للحفاظ على الأمن السيبراني - بقرار يصدر من محافظ الهيئة الوطنية للأمن السيبراني أو من ينيبه - تعليق أو إيقاف عمل أي من الأنشطة ذات الصلة بالأمن السيبراني أو الشبكات أو أنظمة تقنية المعلومات أو أنظمة التقنيات التشغيلية، أو مكوناتها من أجهزة ومعدات وبرمجيات، محل المخالفة.
وأشار القرار إلى أنه للهيئة الوطنية للأمن السيبراني، التحفظ على أي مضبوطات متعلقة بالمخالفة المضبوطة إلى حين البتّ فيها نهائياً، فإذا صدر قرار نهائي بثبوت المخالفة، فللهيئة -بعد موافقة اللجنة المنصوص عليها من هذه الممكنات- إتلاف المضبوطات دون إخلال بحق المخالف في طلب التعويض عن الضرر، وللهيئة الوطنية للأمن السيبراني الاستعانة بمن تراه للقيام بمهمات الرقابة والتفتيش وضبط المخالفات.
وبخصوص آليات الضبط والتحقيق، نص القرار على أن يتولى مفتشون يصدر بتحديدهم قرار من محافظ الهيئة الوطنية للأمن السيبراني، منفردين أو مجتمعين، ضبط المخالفات والتحقيق فيها، ولهم في سبيل ذلك الرقابة والتفتيش على الأماكن والأنشطة ذات الصلة بالأمن السيبراني، بما في ذلك الشبكات وأنظمة تقنية المعلومات وأنظمة التقنيات التشغيلية، ومكوناتها من أجهزة ومعدات وبرمجيات وما تحويه من بيانات ومستندات، والتحفظ عليها والحصول على نسخ منها، وبحث وجمع الأدلة والمعلومات اللازمة.
وإذا اشتبه المفتش أثناء ممارسته لمهماته بوقوع جريمة ذات صلة بالأمن السيبراني، فعليه ضبط ما يتعلق بذلك وإحالته إلى الجهات المعنية، وللهيئة الوطنية للأمن السيبراني استدعاء وطلب مَن تراه للتحقيق معه أو سماع أقواله أو إفاداته في شأن أي من المخالفات المشار إليها من هذه الممكنات، وتوثيقها واتخاذ ما يلزم حيالها.
