˂  Back

网络安全法案2024解读:合规的5个关键见解

网络安全法案2024解读:合规的5个关键见解

在我们日益互联的世界中,网络安全威胁对国家安全构成重大风险。从国家支持的黑客到网络犯罪组织和恐怖分子,恶意行为者试图利用关键基础设施、政府系统和军事网络中的漏洞来干扰重要服务和窃取敏感信息的案例越来越多。这些网络攻击不仅破坏了企业、金融机构和供应链,还直接影响了国家和全球经济稳定。因此,在本文中,我们将从《2024年网络安全法案》提炼出五个核心要点,这些要点是每家企业及其总法律顾问都应当了解的。

1.2024年网络安全法案》的目标和当前状态

第一个要点围绕着了解《2024年网络安全法案》(以下简称“法案”)的核心目标和当前状态。该法案是为了确保国家关键信息基础设施的网络安全设立的监管框架。它引入了国家关键信息基础设施的概念,并为网络安全服务提供商的许可设置了规定。

值得注意的是,该法案在2024年4月3日经过国会上院(Dewan Negara)三读后被全体一致通过。随后,在获得国家最高元首(Yang di-Pertuan Agong)的同意后,该法律将在《政府公报》上公布后生效。鉴于其潜在影响,公司有必要积极监测这些发展,以确保与即将出台的法律规定保持一致,否则可能会令公司面临重大风险和责任。

2.定义国家关键信息基础设施

法案中的第二个重要要点是引入了国家关键信息基础设施(“NCII”)的概念。该法案将NCII定义为“电脑或电脑系统,其瘫痪或破坏将对马来西亚的安全、国防、外交关系、经济、公共卫生、公共安全或公共秩序的任何服务的提供或对联邦政府或任何州政府有效履行其职能的能力产生有害影响。”

必须注意的是,法案界定了NCII框架内包含的11个领域,具体如下(“NCII领域”):

(i)政府

(ii)银行和金融

(iii)交通运输

(iv)国防和国家安全

(v)信息、通信和数字

(vi)医疗保健服务

(vii)水、污水和废物管理

(viii)能源

(ix)农业和种植业

(x)贸易、工业和经济

(xi)科学、技术和创新

3. 指定NCII领域负责人和NCII实体

第三点强调了数字部长为每个NCII领域指定领域负责人的任命(“NCII领域负责人”)。这些被指定的领域负责人的姓名将在国家网络安全机构(“NACSA”)的官方网站上披露。随后,各个NCII领域负责人将为各自的领域制定具体的实践准则,并将拥有或运营NCII的实体指定为国家关键信息基础设施实体(“NCII实体”)。

尽管法案并未明确规定“拥有或运营NCII”的注释,但字面解释表明,符合一定标准的公司将会被指定为NCII实体。这些标准可能包括(a)具有对NCII的所有权、控制权或法律权利的公司,包括对相关NCII的使用、安全协议、数据访问和第三方使用条款具有决策权的公司;和(b)参与NCII的日常运营、管理、维护和安全管理的公司,包括对相关NCII的功能、安全性和与其他网络的集成具有决策权的公司。

因此,在等待官方确认的同时,公司可以根据以上的标准进行内部审查,以便公司可以更好地进行内部准备,并确保符合即将实施的法律规定。

4.NCII领域负责人和NCII实体的监管义务

第四点尤为重要,特别是对于属于NCII领域的公司,因为它们可能被指定为NCII实体。一旦获得这一指定,NCII实体有责任实施NCII领域负责人准备的实践准则中概述的措施、标准和流程(“实践准则”)。

然而,可以想象的是,由于各种原因,一些NCII实体可能会在严格遵守实践准则中的所有指定措施方面遇到挑战。例如,财务限制可能对一些NCII实体构成重大障碍,因为实施这些措施可能需要大量投资先进的技术基础设施、专业软件或硬件升级。为了解决这一挑战,该法案允许NCII实体实施替代措施、标准和流程,提供相同或更高水平的保护,前提是这些替代措施、标准和流程需经NACSA首席执行官批准。

鉴于监管框架内实施替代措施的灵活性,建议NCII实体与精通技术法的专业律所合作,以确保任何提议的替代措施是已经过彻底的审查,以满足适用实践准则的标准。外部法律专业人员也可以协助提出令人信服的论点,以取得NCII领域负责人和NACSA首席执行官的批准。

此外,该法案要求NCII实体根据实践准则和指令进行网络安全风险评估,并进行审查以确保符合法案要求。

必需强调的是,在网络安全事件发生时,该法案还要求NCII实体通知NACSA首席执行官和各自的NCII领域负责人(“网络安全事件通知”)。

在网络安全事件发生时进行此类网络安全事件通知对于有效的网络安全事件响应至关重要。但是,如果NCII领域负责人恰好是NCII实体的竞争对手,则可能会出现重大的法律问题,因为将敏感信息与竞争对手共享可能会引发对数据安全、信任和NCII领域内合作的担忧,可能会妨碍对事件的及时和协作响应。值得注意的是,目前该法案并没有明确规定解决这个问题的条款,但我们相信NCII领域负责人和NACSA首席执行官已经有了相对的措施来解决这个潜在问题。

考虑到这种网络安全事件通知的敏感性质,其中可能涉及将NCII实体的专有或机密信息披露给NCII领域负责人,因此建议聘请律师来促进网络安全事件通知流程,确保进行适当的通知同时保护NCII实体的敏感、专有和机密信息。外部律师还可以在监督通知流程、提供遵守法规要求和合同义务的法律指导以及确保保护NCII实体利益方面发挥重要作用。

5.网络安全服务提供商的许可制度

该法案的第五个关键要点涉及向提供网络安全服务的公司颁发许可证的要求。根据该法案,除非持有提供此类服务的有效许可证,否则任何公司都不得提供任何网络安全服务或将自己宣传为网络安全服务提供商。

网络安全服务的定义和范围将由部长确定,这一许可要求肯定会对网络安全行业的公司产生重大影响。此外,尚待观察的是是否会通过许可制度对网络安全服务提供商施加额外的许可条款。

需要强调的是,这一新的许可要求将对所有网络安全服务提供商产生深远影响,因为任何未持有适当许可证提供网络安全服务的公司都将受到严厉处罚。一旦定罪,这样的公司可能面临不超过RM500,000的罚款、不超过十年的监禁或两者兼而有之。这突显了政府对网络安全服务监管的重视程度,并强调了遵守许可要求的重要性。

结论

该法案是马来西亚在加强国家网络安全方面的关键里程碑。其影响不仅涉及到关键基础设施领域,而且影响到在网络安全领域开展业务的复杂结构。随着监管环境的发展,公司越来越需要精准和远见地应对这些复杂性。上述五个要点突出了公司应优先考虑并彻底了解的法案的关键重点。鉴于网络安全的复杂性和不断发展,公司有必要与精通技术法的法律专业人员密切合作。

凭借我们对卓越的承诺和对法律细节和技术细微差别的深刻理解,我们经验丰富的法律专业团队已准备好指导您的组织应对《2024年网络安全法案》所带来的改变。

如需了解更多详细信息,可随时与我们的团队联系。

作者简介

Lo Khai Yi罗恺育
伙伴律师 (科技、媒体与电信、知识产权、公司/并购、项目与基础设施、隐私和网络安全)
Halim Hong & Quek 翰林律务所
电话:+603 2710 3818
电邮:ky.lo@hhq.com.my

Our Services