安全内参3月21日消息,香港立法会批准了首部专门针对关键基础设施计算机系统网络安全的法案。根据该法案,运营者若未能及时更新系统,最高可被罚款500万港元(约466万人民币)。
指定八大关基行业
香港立法会于19日正式通过《保护关键基础设施(电脑系统)条例草案》。该法案出台之际,重要服务提供商正频繁遭受网络攻击。
香港特区政府保安局局长邓炳强表示,当局计划于今年6月成立专员办公室,并筛选受影响的运营者,目标是在2026年1月1日前使法案正式生效。
该法案涵盖被认为对社会正常运作至关重要的八大领域,包括能源、信息技术、银行及金融服务、海运、陆路运输、航空运输、医疗服务和通信及广播服务。
此外,其他涉及关键社会及经济活动的基础设施运营者,例如管理大型体育或表演场馆、科研园区的机构等,也被纳入法案范围。
邓炳强指出:“该法案旨在为被指定为关键基础设施运营者的机构设立法律要求,确保他们采取适当措施保护计算机系统,并在遭受网络攻击时,尽量减少对社会及市民日常生活的影响。”
香港立法会议员邱达根在会议上询问,当局是否应公开运营者名单,并明确企业遵守新法的时间表。
他表示:“许多涉及这八大行业的企业仍在猜测自己是否被纳入该法案的监管范围。希望政府能就关键基础设施运营者的定义及具体涵盖对象提供清晰指引,以便相关企业能提前做好准备。”
邓炳强回应称,受法案监管的企业名单不会对外公布,以防这些机构成为潜在的恐怖袭击目标。
邓炳强还指出,该法案不具有域外效力,仅适用于大型机构,不会影响大多数中小企业或普通市民。他说:“新增责任是为了保障关键计算机系统安全,而非针对个人数据或商业机密。”
关基运营者需履行更高安全要求
该法案旨在加强对关键基础设施计算机系统的安全保护,规范运营者管理,并对计算机系统安全威胁及相关事件的调查提供法律依据。
八大行业的关键基础设施运营者若未能确保关键计算机系统的安全更新,最高将被罚款500万港元。
此外,运营者须在香港设立办事处,每年至少进行一次风险评估,并将评估结果提交至保安局下设的专员办公室。
若出现数据暴露,运营者须在12小时内向专员办公室报告。
运营者需对法案要求的执行承担直接责任,即便聘请承包商运营基础设施,也无法规避相关义务。
邓炳强补充道:“即使他们将工作外包,责任仍无法外包。”
近年来,香港的网络攻击事件大幅增加,其中包括2023年发生的政府资助科技园区“数码港”的数据泄露事件。
去年,位于沙田区大围的仁安医院也披露遭遇勒索软件攻击。据报道,黑客使用LockBit勒索软件对医院发起攻击,并索要1000万美元赎金,但院方拒绝付款。
参考资料:https://www.scmp.com/news/hong-kong/law-and-crime/article/3303050/hong-kong-passes-its-first-cybersecurity-bill-covering-critical-infrastructure、https://www.legco.gov.hk/yr2024/cn/bc/bc56/reports/bc5620250319cb2-466-c.pdf
