政府就關鍵基礎設施電腦系統立新例 若機構延遲通報罰最高500萬
發佈日期: 2024-06-25 23:16
港澳
政府就關鍵基礎設施的電腦系統立新例,訂明營運者有責任保障及通報事故,涵蓋能源等八大類基礎設施。只限機構負刑責,違者最高罰50萬至500萬元。
網絡攻擊事件近年越來越多,不少受害對象包括大型基礎設施,政府早在前年的《施政報告》,提出要立法提升關鍵基礎設施的網絡安全。保安局最新向立法會交代立法框架,建議設全新的《保障關鍵基礎設施(電腦系統)條例》,訂明關鍵基礎設施的營運者有責任保障其關鍵電腦系統,以及有事故時通報。
所謂「關鍵基礎設施」,涵蓋八大類,包括能源、銀行及金融服務、資訊科技、陸空交通及海運、醫療保健以及通訊及廣播。
大型體育、表演場地、科研園區都會納入,當局強調原則是在港提供必要服務,而受干擾時,會嚴重影響社會日常運作。
而何謂「關鍵電腦系統」,當局認為是指直接提供必要服務,又或者關乎設施核心功能的電腦系統。最終哪些會納入規管,會由政府設的專責辦公室指明,名單按國際做法,不會公開。
當局稱若營運者不同意,可以上訴,由包括電腦資訊保安、法律界人士在內的上訴委員會作最後決定。
一旦被納入,營運者要做一系列保障措施,以符合法例要求,包括須在港設地址及辦事處,設電腦系統安全管理部門,向有關當局報告「關鍵電腦系統」,在設計、配置的重大變化等。就電腦保安,至少每年進行一次風險評估,以及每兩年一次安全演習。嚴重安全事故,要在得悉2小時內向當局通報,其他事故就24小時內知會。只限機構負刑責,違者最高罰50萬至500萬元。舉例延遲通報,就會罰最高500萬元。
不過當局稱,若行為涉觸犯其他刑事條例,如虛假陳述等,涉事人員仍有機會要負上個人刑責。
至於政府部門,由於內部機制已有類似要求,《公務員守則》亦會問責,所以不會納入條例。
