政府就关键基础设施电脑系统立新例 若机构延迟通报罚最高500万

政府就关键基础设施的电脑系统立新例，订明营运者有责任保障及通报事故，涵盖能源等八大类基础设施。只限机构负刑责，违者最高罚50万至500万元。

网络攻击事件近年越来越多，不少受害对象包括大型基础设施，政府早在前年的《施政报告》，提出要立法提升关键基础设施的网络安全。保安局最新向立法会交代立法框架，建议设全新的《保障关键基础设施(电脑系统)条例》，订明关键基础设施的营运者有责任保障其关键电脑系统，以及有事故时通报。

所谓「关键基础设施」，涵盖八大类，包括能源、银行及金融服务、资讯科技、陆空交通及海运、医疗保健以及通讯及广播。

大型体育、表演场地、科研园区都会纳入，当局强调原则是在港提供必要服务，而受干扰时，会严重影响社会日常运作。

而何谓「关键电脑系统」，当局认为是指直接提供必要服务，又或者关乎设施核心功能的电脑系统。最终哪些会纳入规管，会由政府设的专责办公室指明，名单按国际做法，不会公开。

当局称若营运者不同意，可以上诉，由包括电脑资讯保安、法律界人士在内的上诉委员会作最后决定。

一旦被纳入，营运者要做一系列保障措施，以符合法例要求，包括须在港设地址及办事处，设电脑系统安全管理部门，向有关当局报告「关键电脑系统」，在设计、配置的重大变化等。就电脑保安，至少每年进行一次风险评估，以及每两年一次安全演习。严重安全事故，要在得悉2小时内向当局通报，其他事故就24小时内知会。只限机构负刑责，违者最高罚50万至500万元。举例延迟通报，就会罚最高500万元。

不过当局称，若行为涉触犯其他刑事条例，如虚假陈述等，涉事人员仍有机会要负上个人刑责。

至于政府部门，由于内部机制已有类似要求，《公务员守则》亦会问责，所以不会纳入条例。