قرار رئيس مجلس الوزراء 1699 لسنة 2020 باللائحة التنفيذية للقانون 175 لسنة 2018 بشأن مكافحة جرائم تقنية المعلومات
الجريدة الرسمية – العدد 35 تابع (ج) – في 27 أغسطس سنة 2020
رئيـس مجلـس الـوزراء
بعد الاطلاع على الدستور ؛
وعلى قانون العقوبات ؛
وعلى القانون المدنى ؛
وعلى قانون الإجراءات الجنائية ؛
وعلى القانون رقم 96 لسنة 1952 بشأن تنظيم الخبرة أمام جهات القضاء ؛
وعلى قانون القضاء العسكرى الصادر بالقانون رقم 25 لسنة 1966 ؛
وعلى قانون المرافعات المدنية والتجارية ؛
وعلى قانون الإثبات في المواد المدنية والتجارية ؛
وعلى قانون الطفل الصادر بالقانون رقم 12 لسنة 1996 ؛
وعلى قانون التجارة الصادر بالقانون رقم 17 لسنة 1999 ؛
وعلى قانون حماية حقوق الملكية الفكرية الصادر بالقانون رقم 82 لسنة 2002 ؛
وعلى قانون تنظيم الاتصالات الصادر بالقانون رقم 10 لسنة 2003 ؛
وعلى قانون البنك المركزى والجهاز المصرفى والنقد الصادر بالقانون رقم 88 لسنة 2003 ؛
وعلى قانون تنظيم التوقيع الإلكترونى الصادر بالقانون رقم 15 لسنة 2004 ؛
وعلى قانون حماية المنافسة ومنع الممارسات الاحتكارية الصادر بالقانون رقم 3 لسنة 2005 ؛
وعلى قانون تنظيم خدمات النقل البرى للركاب باستخدام تكنولوجيا المعلومات الصادر بالقانون رقم 87 لسنة 2018 ؛
وعلى قانون مكافحة جرائم تقنية المعلومات الصادر بالقانون رقم 175 لسنة 2018 ؛
وعلى قانون حماية المستهلك الصادر بالقانون رقم 181 لسنة 2018 ؛
وبناءً على ما ارتآه مجلس الدولة ؛
قــــــرر :
مادة رقم 1 إصدار
يُعمل بأحكام اللائحة التنفيذية المرافقة في شأن قانون مكافحة جرائم تقنية المعلومات المشـار إليـه .
مادة رقم 2 إصدار
يُنشر هذا القرار في الجريدة الرسمية ، ويُعمل به من اليوم التالى لتاريخ نشره .
صدر برئاسة مجلس الوزراء في 8 المحرم سنة 1442 هـ
( الموافق 27 أغسطس سنة 2020 م ) .
رئيس مجلس الوزراء
دكتور/ مصطفى كمال مدبولى
مادة رقم 1
فى تطبيق أحكام هذه اللائحة يقصد بالكلمات والعبــارات التالية المعنى المبـين قـرين كـل منها :
الجهاز : الجهاز القومى لتنظيم الاتصالات .
التشفير Encryption : منظومة تقنية حسابية تستخدم مفاتيح خاصة لمعالجة وتحويل البيانات والمعلومات المقروءة إلكترونيًا بحيث تمنع استخلاص هذه البيانات والمعلومات إلا عن طريق استخدام مفتاح أو مفاتيح فك الشفرة .
مفتاح التشفير Encryption Key : أرقام أو رموز أو حروف ذات طول محدد تستخدم في عمليات التشفير وفك التشفير .
ويستخدم نفس المفتاح في التشفير وفك التشفير ويسمى التشفير المتماثل ، ويجب الحفاظ على سرية المفتاح .
ويستخدم زوج من المفاتيح مترابطين بعلاقة رياضية بحيث يستخدم أحدهما في التشفير والآخر في فك التشفير ويسمى التشفير غير المتماثل ، ويجب الحفاظ على سرية أحد المفاتيح بينما يعلن عن الآخر بشروط ومعايير محددة .
البنيـة التحتيـة المعـلوماتية الحــرجة Critical Information Infrastructure : مجموعة أنظمة أو شبكات أو أصول معلوماتية أساسية يؤدى الكشف عن تفصيلاتها تعطيلها أو تغيير طريقة عملها بطريقة غير مشروعة ، أو الدخول غير المصرح به عليها ، أو الدخول أو الوصول بشكل غير قانونى للبيانات والمعلومات التى تحفظها أو تعالجها ، أو يؤدى القيام بأى فعل غير مشروع آخر بها إلى التأثير على توافر خدمات الدولة ومرافقها الأساسية أو خسائر اقتصــادية أو اجتمــاعية كبــيرة على المستــوى الوطني .
ويعد من البنية التحتية المعلوماتية الحرجة على الأخص ما يستخدم في الطاقة الكهربائية ، الغاز الطبيعى والبترول ، الاتصالات ، والجهات المـالية والبنوك ، والصناعات المختلفة ، والنقل والمواصلات والطيران المدنى ، والتعليم والبحث العلمى ، والبث الإذاعي والتليفزيوني ، ومحطات مياه الشرب والصرف الصحى والموارد المـائية ، والصحة ، الخدمات الحكومية وخدمات الإغاثة وخدمات الطوارئ ، وغيرها من مرافق المعلومات والاتصالات التى قد تؤثر على الأمن القومى أو الاقتصاد القومى والمصلحة العامة وما في حكمها .
نظام التحكم الصناعي : حاسب أو مجموعة حواسب متصلة ببعضها البعض ، وبالمعدات المتحكم بها وأدوات الاتصال المتبادل بينهم رقمية Digital أو تناظرية Analog ، أو غيرها بما في ذلك الحساسات والمنفذات Actuator لتشغيل هذه المعدات والتحكم بها منطقيًا طبقًا للصناعة المعنية ، أو الأعمال المطلوبة في مكان واحد أو موزعة في أماكن متقاربة أو موزعة جغرافيًا مع اتصال النظام بالإنترنت أو بغيره من الأنظمة المماثلة أو غير المماثلة أو استقلاله وعدم اتصاله بما عداه مع تراكم مستوى التحكم أو عدم تراكمه .
نقاط الضعف Vulnerabilities : خــلل أو ثغرة في نظــام تشغيــل أو تطبيقـــات أو شبكات المعلومات أو العمليات أو السياسات الخاصة بتأمين المعلومات أو في بيئة تقنية المعلومات أو الاتصالات والتى يمـكـن استغــلالها في عمليات الاختراق أو الهجــوم أو الإتلاف أو التجسس أو أى عمل غير مشروع .
مادة رقم 2
يلتزم مقدمو خدمات تقنيات المعلومات باتخاذ الإجراءات التقنية والتنظيمية التالية تنفيذًا للبندين (2 و3) من الفقرة أولاً من المـادة رقم (2) من القانون :
1 – تشفير البيانات والمعلومات بما يحافظ على سريتها ، وعدم اختراقها باستخدام نظام تشفير قياسى متماثل أو غير متماثل لا يقل في تأمينه عن (ASE-128) Advanced Encryption Standard بمفتاح شفرة لا يقـل عن (128 بت) ، مع مسئوليته بالحفاظ على سرية وأمان مفتاح التشفير .
2 – تنصيب واستخدام نظم وبرامج ومعدات مكافحة البرمجيات والهجمات الخبيثة والتأكد من صلاحيتها وتحديثها .
3 – استخدام بروتوكولات آمنة ، مثل بروتوكول نقل النص التشعبى المؤمن HTTPS .
4 – وضع صلاحيات بالشبكات والمـلفات وقواعد البيانات وتحديد المسئولين ، لضمان حماية الوصول المنطقى Logical Access إلى الأصول المعلوماتية والتقنية لمنع الوصول غير المصرح به .
5 – إعداد قائمة بالأجهزة والمعدات وأرقامها المميزة والمسلسلة وطرازاتها وكذا بيان بالنظم والبرامج والتطبيقات وقواعد البيانات المستخدمة ومواصفاتها .
6 – تطبيق أفضل الممارسات والضوابط عند اختيار مواصفات كلمات السر أو المرور وفقًا للملحق رقم (1) المرفق باللائحة التنفيذية .
7 – توثيق إجراءات التنصيب والتشغيل الخاصة بالأنظمة .
8 – ضمان تنفيذ وتشغيل وصيانة الأنظمة وإلزام الأطراف المتعاقد معها بإبرام اتفاقيات تحدد مستوى تقديم الخدمة مع الجهة وحدود مسئولية كل جهة .
9 – إجراء التحديثات الخاصة بالنظم والبرامج والتطبيقات بشكل دورى وإتمام الاختبارات اللازمة قبل إجراء التحديثات .
10 – إجراء اختبار سنوى للكشف عن الاختراقات أو المخاطر الأمنية .
11 – استخدام معدات وأجهزة ونظم وبرمجيات الجدران النارية (NGFW-UTM-Firewalls) لحماية الشبكات والنظم .
مادة رقم 3
يلتزم مقدمو خدمات تقنية المعلومات والاتصالات التى تمتلك أو تدير أو تشغل البنية التحتية المعلوماتية الحرجة المخاطبين بأحكام هذا القانون ، باتخاذ الإجراءات التقنية والتنظيمية التالية تنفيذًا للبندين (2 و3) من الفقرة أولاً من المـادة رقم (2) من القانون :
1 – إعداد سياسة أمن معلومات واعتمادها من الإدارة العليا للبنية التحتية المعلوماتية الحرجة وضمان مراجعتها كل عام لضمان استمرار ملائمة وكفاية وفاعلية تلك السياسة .
على أن تتضمن تلك السياسة متطلبات الأجهزة والجهات الرقابية والتنظيمية المختصة بالبنية التحتية المعلوماتية الحرجة ، والمتطلبات القانونية ، والمتطلبات الخاصة بالموارد البشرية .
2 – ضمان التأكد من الامتثال لمـا ورد بهذا القانون ولائحته والقرارات التنفيذية ذات الصلة من التزامات تقنية أو تنظيمية .
3 – تشفير البيانات والمعلومات بما يحافظ على سريتها ، وعدم اختراقها باستخدام نظام تشفير قياسى متماثل أو غير متماثل لا يقل تأمينه عن Advanced Encryption Standard (AES-256) بمفتاح شفرة لا يقل عن (256 بت) يتم توليده باستخدام نظام عشوائى آمن .
واستخدام نظام إدارة مفاتيح تشفير قياسى للحفاظ على سريتها ودورة حياتها ومستويات استخدامها في التطبيقات المختلفة .
4 – استخدام شهادات تصديق إلكترونى صادرة من جهة من جهات إصدار شهادات التوقيع الإلكترونى المعترف بها في جمهورية مصر العربية وبضوابط قانون تنظيم التوقيع الإلكترونى ولائحته التنفيذية ، وذلك لكافة المستخدمين لأنظمة المعلومات الخاصة بالبنية المعلوماتية التحتية الحرجة .
5 – منع الوصول المـادى لغير المخول أو المصرح لهم الدخول أو الوصول لمقار وأجهزة ومعدات أنظمة البنية التحتية المعلوماتية الحرجة .
6 – استخدام ضوابط نفاذ قوية Strong Authentication وفعالة من خلال فئتين أو أكثر من فئــات التوثـق Multi-factor Authentication وبحسب مستوى المخاطـر ، بما يضمن تحديد المسئولية وعدم الإنكار .
7 – توثيق إجراءات التنصيب والتشغيل الخاصة بنظم البنية التحتية المعلوماتية الحرجة وإتاحتها للمستخدمين المخول لهم ذلك عند حاجتهم إليها ، وإلزام الموردين بتزويد الجهة بكامل الوثائق الخاصة بالإجراءات التشغيلية .
8 – ضمان تنفيذ وتشغيل وصيانة أنظمة البنية التحتية المعلوماتية الحرجة وإلزام الأطراف المتعاقد معها بإبرام اتفاقيات تحدد مستوى تقديم الخدمة مع الجهة .
9 – تنصيب واستخدام نظم وبرامج ومعدات المكافحة والحماية من البرمجيات والهجمات الخبيثة ، والكشف عنها والتأكد من صلاحيتها وتحديثها .
10 – إجراء التحديثات الخاصة بالنظم والبرامج والتطبيقات بشكل دورى .
مع الأخذ في الاعتبار ضوابط التعامل مع إجراء التحديثات على أنظمة التحكم الصناعى مع عدم اتصالها المباشر بشبكة الإنترنت ، وإتمام الاختبارات اللازمة قبل إجراء التحديثات .
11 – إجراء مسح سنوى لأنظمة التحكم الصناعى للكشف عن الثغرات ونقاط الضعف واتخاذ الإجراءات اللازمة للتعامل معها .
12 – إجراء اختبار سنوى للكشف عن الاختراقات أو المخاطر الأمنية وتثبيت أجهزة المنع والكشف عن الاختراقات .
13 – اتخاذ الإجراءات الملائمة للتعامل مع الثغرات الفنية للأجهزة وللنظم والبرامج والتطبيقات عند العلم بها .
14 – إجراء عمليات أخذ نسخ احتياطية شهرية للبيانات والمعلومات ، والاحتفاظ بها وتخزينها مشفرة في موقع آخر .
15 – استخدام معدات وأجهزة ونظم وبرمجيات الجدران النارية (NGFW-UTM-Firewalls) لحماية الشبكات والنظم .
16 – استخدام بروتوكولات آمنة ، مثل بروتوكول نقل النص التشعبى المؤمن HTTPS .
17 – إعداد قائمة بالأجهزة والمعدات وأرقامها المميزة والمسلسلة وطرازاتها وكذا بيان بالنظم والبرامج والتطبيقات وقواعد البيانات المستخدمة ومواصفاتها .
18 – تحديد مسئوليات الإدارة العليا ومسئولى تكنولوجيا المعلومات وأمن المعلومات بشكل واضح وصلاحيات وسلطات وواجبات والتزامات كل منهم ، مع ضرورة اتساق ذلك مع ما تقوم به إدارات الموارد البشرية وشئون العاملين من إعــداد للهياكل ، والتوصيف الوظيفى ، والأنشطة التدريبية وغيرها من أنشطة وعمليات تلك الإدارات .
19 – إبلاغ المركز الوطنى للاستعداد لطوارئ الحاسب والشبكات بالجهاز عن أى حوادث أو اختراقات فور العلم بحدوثها .
20 – وضع خطة استمرارية العمل والبدائل المقترحة في حال حدوث أى مخاطر أو أزمات تتعلق بتقديم الخدمة أو انقطاعها ، والقدرة على استعادة الخدمة والعمل في حال الكوارث ، واختبـار الخطـة دوريـًا .
مادة رقم 4
يُنشأ بالجهاز سجلان لقيد الخبراء ، يقيد بأولهما الفنيون والتقنيون العاملون بالجهاز ، ويقيد بالآخر الخبراء من الفنيين والتقنيين من غير العاملين به .
ويتم القيد في السجل الأول الخاص بالعاملين بالجهاز بناءً على القواعد والشروط والإجراءات الآتية :
1 – أن يكون حاصلاً على مؤهل علمى أو فنى أو تقنى يتناسب ومجال الخبرة .
2 – أن يكون قد أمضى عام على الأقل في عمله بالجهاز .
3 – أن يجتاز الاختبارات الفنية التى يجريها الجهاز للمتقدم .
مادة رقم 5
يُقيد الخبراء من الفنيين والتقنيين من غير العاملين بالجهاز بالسجل الثانى للخبراء طبقًا للقواعد والشروط الآتية :
1 – أن يكون مصريًا متمتعًا بالأهلية المدنية الكاملة .
ويجوز قيد الأجنبي على أن يتعهد كتابة بخضوعه للقوانين المصرية .
2 – أن يكون محمود السيرة حسن السمعة .
3 – ألا يكون قد سبق الحكم عليه بحكم نهائي بالإدانة في جريمة مخلة بالشرف .
4 – أن يكون لديه سيرة ذاتية تتضمن خبرة عملية مناسبة .
5 – موافقة الجهات المعنية من جهات الأمن القومي على القيد بالسجل .
ويترتب على تخلف أى شرط من الشروط السابقة الشطب من السجل بقرار من الجهاز .
مادة رقم 6
يقوم الخبراء وفقـًا للمادتين رقمى (1) ، (10) من القانون بتنفيذ المهام الفنية والتقنية التى يتم تكليفهم بها من جهات التحقيق أو الجهات القضائية المختصة أو من الجهات المعنية بمكافحة جرائم تقنية المعلومات بشأن الجرائم موضوع هذا القانون .
مادة رقم 7
يُراعى الجهاز الحفاظ على سرية البيانات الواردة بسجلات قيد الخبراء وعدم الإفصاح عنها إلا بموجب أمر قضائى .
مادة رقم 8
يتعين على من يرغب في قيد اسمه في السجل الثانى للخبراء أن يتقدم للرئيس التنفيذى للجهاز بطلب كتابى بذلك موضحًا فيه التخصص الذى يرغب العمل فيه كخبير ، وأن يرفق بالطلب صور الشهادات والمستندات المؤيدة لطلبه .
ويمكن للجهاز أن يطلب منه خلال ثلاثون يومًا من تاريخ تقديم الطلب معلومات إضافية قبل الفصل في الطلب ، ويعتبر عدم الرد على الطلب لمدة ستين يومًا من تاريخ تقديمه رفضًا له .
وفى حال رفض الجهاز الطلب ، يحق للمتقدم التظلم بالإجراءات المقررة قانونًا .
مادة رقم 9
تحوز الأدلة الرقمية ذات القيمة والحجية للأدلة الجنائية المـادية في الإثبات الجنائى إذا توافرت فيها الشروط والضوابط الآتية :
1 – أن تتم عملية جمع أو الحصول أو استخراج أو استنباط الأدلة الرقمية محل الواقعة باستخدام التقنيات التى تضمن عدم تغيير أو تحديث أو محو أو تحريف للكتابة أو البيانات والمعلومات ، أو أى تغيير أو تحديث أو إتلاف للأجهزة أو المعدات أو البيانات والمعلومات ، أو أنظمة المعلومات أو البرامج أو الدعامات الالكترونية وغيرها .
ومنها على الأخص تقنية Digital Images Hash، Write Blocker، وغيرها من التقنيات المماثلة .
2 – أن تكون الأدلة الرقمية ذات صلة بالواقعة وفى إطــار الموضوع المطـلـوب إثباته أو نفيه ، وفقـًا لنطاق قرار جهة التحقيق أو المحكمة المختصة .
3 – أن يتم جمع الدليل الرقمى واستخراجه وحفظه وتحريزه بمعرفة مأمورى الضبط القضائى المخول لهم التعامل في هذه النوعية من الأدلة ، أو الخبراء أو المتخصصين المنتدبين من جهات التحقيق أو المحاكمة ، على أن يبين في محاضر الضبط ، أو التقارير الفنية على نوع ومواصفات البرامج والأدوات والأجهــزة والمعــدات التى تم استخــدامها ، مع توثيق كود وخوارزم Hash الناتج عن استخراج نسخ مماثلة ومطابقة للأصل من الدليل الرقمى بمحضر الضبط أو تقرير الفحص الفنى ، مع ضمان استمرار الحفاظ على الأصل دون عبث به .
4 – في حالة تعذر فحص نسخة الدليل الرقمى وعدم إمكانية التحفظ على الأجهزة محل الفحص لأى سبب يتم فحص الأصل ويثبت ذلك كله في محضر الضبط أو تقرير الفحص والتحليل .
5 – أن يتم توثيق الأدلة الرقمية بمحضر إجراءات من قبل المختص قبل عمليات الفحص والتحليل له وكذا توثيق مكان ضبطه ومكان حفظه ومكان التعامل معه ومواصفاته .
مادة رقم 10
يتم توصيف وتوثيق الدليل الرقمى من خلال طبــاعة نسخ من المـلفات المخزن عليها أو تصويرها بأى وسيلة مرئية أو رقميـة ، واعتمادها من الأشخاص القائمين على جمع أو استخراج أو الحصول أو التحليل للأدلة الرقمية ، مع تدوين البيانات التالية على كل منها :
1 – تاريخ ووقت الطباعة والتصوير .
2 – اسم وتوقيع الشخص الذى قام بالطباعة والتصوير .
3 – اسم أو نوع نظام التشغيل ورقم الإصدار الخاص به .
4 – اسم البرنامج ونوع الإصدار أو الأوامر المستعملة لإعداد النسخ .
5 – البيانات والمعلومات الخاصة بمحتوى الدليل المضبوط .
6 – بيانات الأجهزة والمعدات والبرامج والأدوات المستخدمة .
مادة رقم 11
يلتزم كل مسئول عن إدارة موقع أو حساب خاص أو بريد إلكتروني أو نظام معلوماتي سواء كان شخصا طبيعيًا أو اعتباريًا وفقا للمادة رقم (29) من القانون ، باتخاذ التدابير والاحتياطات التأمينية الفنية اللازمة وفقا للالتزامات الواردة في المـادة رقم (2) من هذه اللائحة بالنسبة لمديرى مواقع مقدمي خدمات تقنية المعلومات .
كما يلتزم مديرو مواقع مقدمي خدمات تقنية المعلومات والاتصالات التى تمتلك أو تدير أو تشغل البنية التحتية المعلوماتية الحرجة بالالتزامات الواردة في المادة رقم (3) من هذه اللائحة .
ويلتزم الممثل القانونى ومسئول الإدارة الفعلية لمقدمى الخدمة بإثبات توفيره الإمكانيات التى تمكن مديرو المواقع من اتخاذ التدابير والاحتياطات التأمينية اللازمة لقيامه بعمله .
وفى جميع الأحوال يلتزم الممثل القانونى ومسئول الإدارة الفعلية ومدير الموقع لدى أى مقدم خدمة بإتاحة مفاتيح التشفير الخاصة به للمحكمة المختصة أو لجهات التحقيق المختصة في حال وجود تحقيق في إحدى الشكاوى أو المحاضر أو الدعاوى عند طلبها رسميًا من تلك الجهات .
مادة رقم 12
يشترط لاعتماد الجهاز إقرار المجنى عليه بالصلح طبقا للمادة رقم 42 من القانون ، في الجرائم المنصوص عليها في المواد (14، 17، 18، 23) استيفاء وتقديم ما يلى :
1 – شهادة صادرة من النيابة أو المحكمة المختصة بحسب الأحوال بالقيد والوصف للجريمة محل الصلح .
2 – صورة طبق الأصل من المحضر أو الوثيقة التى أثبت فيها الصلح بين المتهم والمجنى أو وكيله الخاص أو خلفه العام أمام النيابة أو المحكمة المختصة والمتضمنة إقرار المجنى عليه بهذا الصلح .
3 – شهادة صادرة من النيابة المختصة تفيد عدم صدور حكم نهائى في الدعوى الجنائية .
4 – طلب باسم الرئيس التنفيذى للجهاز لاعتماد المحضر أو الوثيقة المتضمنة إقرار المجنى عليه بالصلح يقدم من المتهم أو من وكيله أو من خلفه العام .
مادة رقم 13
يكون تصالح المتهم طبقًا للمادة رقم (42) من القانون ، في الجرائم المنصوص عليها بالمـادتين (29، 35) من القانون من خلال الجهاز باستيفاء وتقديم ما يلى :
شهادة صادرة من النيابة أو المحكمة المختصة بحسب الأحوال بالقيد والوصف للجريمة موضـوع التصـالح .
شهادة صادرة من النيابة المختصة تفيد عدم صدور حكم نهائى في موضوع الجريمة محل طلب التصالح .
أن يقدم المتهم الراغب في التصالح أو وكيله قبل رفع الدعوى الجنائية الإيصال الدال على سداده مبلغًا يعادل ضعف الحد الأقصى للغرامة المقررة للجريمة .
أن يقدم المتهم الراغب في التصالح أو وكيله بعد رفع الدعوى الجنائية الإيصال الدال على سداده ثلثى الحد الأقصى للغرامة المقررة للجريمة أو قيمة الحد الأدنى للغرامة أيهما أكثر قبل صدور حكم نهائى في الموضوع