Skip to main content
تكنوستاك logo
2026-03-0510 دقائقياسمين المنصور

سياسة حوكمة الذكاء الاصطناعي لم تعد اختيارية. اربط NIST AI RMF بقانون EU AI Act في إطار جاهز للمجلس، مع غرامات تصل إلى 35 مليون يورو.

سياسة حوكمة الذكاء الاصطناعي: NIST وقانون EU AI Act للمجالس — cover

قانون EU AI Act الأوروبي دخل حيز التطبيق على مراحل. التزامات نماذج GPAI صارت سارية في 2 أغسطس 2025، ومعظم الالتزامات المتبقية تسري من 2 أغسطس 2026، وغرامات الممارسات المحظورة تبلغ 35 مليون يورو أو 7% من الإيراد العالمي. سياسة حوكمة الذكاء الاصطناعي صارت واجبًا أمانة على مستوى المجلس، لا مذكرة لقسم IT، وأنظف طريق لكتابتها ربط NIST AI RMF بـ EU AI Act في إطار واحد متكامل.

لماذا صارت سياسة حوكمة الذكاء الاصطناعي واجبًا على المجلس؟

سياسة حوكمة الذكاء الاصطناعي هي وثيقة المجلس التي تحدد من يمتلك مخاطر AI، وكيف تُصنَّف أنظمته، وما عتبات التقييم والإفصاح، وكيف تُبلَّغ الحوادث. بدونها لا يستطيع المجلس الإجابة لمنظّم أو مؤمّن أو عميل حين يخطئ قرار يقوده AI. ومعها، لدى المجلس سلسلة مساءلة واضحة تبقى مع تغيّر الموظفين والمنصّات.

في المؤسسات الخليجية، تشدّد المشهد التنظيمي على ثلاث جبهات في وقت واحد: EU AI Act للعملاء الأوروبيين، وNIST AI RMF كقاموس عالمي، وأُطر محلية مثل إنفاذ سدايا لحماية البيانات في السعودية. سياسة واحدة ترضي الثلاثة أرخص من ثلاث سياسات تتجادل فيما بينها.

المحاور الخمسة لسياسة المجلس بين NIST وEU AI Act

إنفوجرافيك يربط خمسة محاور لسياسة حوكمة الذكاء الاصطناعي بوظائف NIST AI RMF والتزامات EU AI Act
كل محور يربط وظيفة NIST بالتزام EU AI Act المقابل، سياسة واحدة لنظامين.
  • الحوكمة. لجنة مجلس مسمّاة، مالك تنفيذي مسمّى، ومعتمدون مسمّون لكل فئة مخاطر. وظيفة Govern في NIST والتزامات مزوّد GPAI في EU AI Act تنزل هنا.
  • التصنيف. كل نظام AI مرتبط بوظائف NIST وبفئات المخاطر الأربع في EU AI Act: غير مقبولة، عالية، محدودة، أدنى. التصنيف يحرّك كل ضابط آخر.
  • القياس. عتبات تقييم قبل الإطلاق، تقييم مطابقة موثّق للأنظمة عالية المخاطر، Model Cards لـ GPAI. لا يُطلَق نظام فوق فئته دون المنتجات.
  • المراقبة. مراقبة بعد التسويق، اكتشاف الانحراف، تبليغ الحوادث الجسيمة ضمن نوافذ EU AI Act، وتقرير ربعي للمجلس على سجل مخاطر AI.
  • الإفصاح. شفافية للمستخدم على المحتوى المُولَّد بـ AI، وسم Deepfake، ووثائق جاهزة لتدقيق الجهة الإشرافية عند الطلب.

ثلاثة فخاخ في كتابة أول سياسة AI

أخطاء الصياغة نفسها تتكرر في السياسات التي يُطلب منا إنقاذها:

  • لغة طموحات بلا مالك. "ستضمن الشركة أن AI عادل وشفّاف" ليست سياسة، بل بيان صحفي. كل بند يحتاج مالكًا مسمّى وعتبة قابلة للقياس.
  • نسخ ولصق من قالب عالمي. قالب أمريكي يتجاهل محظورات EU AI Act، وقالب أوروبي يتجاهل خصوصيات PDPL السعودي. السياسة تُبنى بربط متبادل لا بنسخ.
  • لا خطة حوادث. سياسة لا تقول ماذا يحدث في أول 24 ساعة بعد حادثة AI، ستُعاد كتابتها في مراجعة الحادثة الثانية. عرّفها في المسودة الأولى.

جدول اعتماد المجلس خلال 6 أشهر

هذا التسلسل الذي نشغّله مع مجالس خليجية منظّمة لنشر أول سياسة حوكمة AI قابلة للدفاع:

إنفوجرافيك جدول زمني لاعتماد المجلس لسياسة حوكمة الذكاء الاصطناعي خلال ستة أشهر من الجرد إلى أول تدقيق داخلي
ستة أشهر، سياسة معتمدة، جرد كامل، ومالك مدرَّب مسؤول في كل وحدة أعمال.
  1. الشهر 1. جرد أسطح AI. كل نموذج، كل Prompt، كل ميزة مدمجة من مورّد. بدون الجرد، تطفو السياسة.
  2. الشهر 2. تصنيف بفئة المخاطر. ربط كل سطح بفئات EU AI Act الأربع (غير مقبولة / عالية / محدودة / أدنى) وبتعرّضه لوظائف NIST.
  3. الشهر 3. صياغة السياسة. الأدوار، العتبات، متطلبات التقييم، خطة الحوادث. صفحة لكل محور، لا ستون صفحة.
  4. الشهر 4. موافقة المجلس. اعرض على المجلس الجرد والتصنيف والسياسة. الموافقة مرتبطة بسجل المخاطر لا بشريحة.
  5. الشهر 5. تدريب المُلاك. كل مالك مسمّى يحضر جلسة 90 دقيقة على ما وقّع عليه. لا مفاجآت في الساعة صفر للحادثة.
  6. الشهر 6. أول تدقيق داخلي. تدقيق سطح عالي المخاطر من طرف إلى طرف. النتائج تغذّي النسخة التالية من السياسة.

كيف يبدو النضج بعد عام؟

بعد عام من الاعتماد، سياسة حوكمة AI صحية تنتج ثلاثة منتجات عند الطلب: جرد AI محدّث بفئات المخاطر، تقرير ربعي للمجلس على المخاطر المتبقّية، وسجل حوادث نظيف بسبب جذري ومعالجة لكل بند. إن طلب منظّم أو عميل كبير أيًا من الثلاثة، تصل الإجابة في الأسبوع لا في الربع.

عند تنفيذها جيدًا، تحمي سياسة حوكمة الذكاء الاصطناعي واجب أمانة المجلس وتعطي فريق الهندسة إذنًا واضحًا بالشحن. عند تنفيذها سيئًا، تصبح الوثيقة التي تشير إليها الشركة بعد الحادثة كدليل على المحاولة. المحاور الخمسة وجدول الستة أشهر هما أصغر نسخة قابلة للدفاع.

أسئلة شائعة

ما هي سياسة حوكمة الذكاء الاصطناعي ولماذا يحتاجها المجلس؟

سياسة حوكمة الذكاء الاصطناعي هي وثيقة على مستوى المجلس تحدد من يمتلك مخاطر AI، وكيف تُصنَّف الأنظمة على فئات المخاطر، وما عتبات التقييم والإفصاح، وكيف تُبلَّغ الحوادث. بدونها، لا يستطيع المجلس الإجابة لمنظّم أو مؤمّن حين تخطئ قرار يقوده ذكاء اصطناعي.

كيف يطبَّق EU AI Act على شركة خارج الاتحاد الأوروبي؟

إن طرحت نظام AI في السوق الأوروبية أو استُخدمت مخرجاته داخل الاتحاد، فقانون EU AI Act ينطبق بصرف النظر عن مكان مقرّك. التزامات نماذج GPAI صارت سارية في 2 أغسطس 2025، ومعظم الالتزامات الأخرى من 2 أغسطس 2026، بغرامات تبلغ 35 مليون يورو أو 7% من الإيراد العالمي.

هل تستطيع شركة خليجية استخدام NIST AI RMF بدلًا من EU AI Act؟

استخدم الاثنين معًا. NIST AI RMF طوعي ويعطي قاموسًا داخليًا قويًا، أما EU AI Act فمُلزِم لأي منتج AI يخدم الاتحاد. سياسة واحدة متكاملة تربط كل وظيفة NIST بالتزام EU المقابل هي أكثر الأوضاع قابلية للدفاع لمجلس سعودي أو إماراتي لديه عملاء أوروبيون.

كتبته ياسمين المنصور، التي تصوغ سياسات حوكمة AI لمجالس بنوك ورعاية صحية وجهات حكومية في الخليج منذ 2020.

  • حوكمة الذكاء الاصطناعي
  • NIST AI RMF
  • EU AI Act

جاهز نبدأ؟

احكِ لنا فكرتك — ونرجع لك خلال يوم. حياك الله.

سياسة حوكمة الذكاء الاصطناعي: NIST وقانون EU AI Act للمجالس · تكنوستاك · تكنوستاك