企业需要了解什么

2024 年 6 月 26 日，总检察长办公室正式公布了《2024 年网络安全法》，这标志着马来西亚在加强数字防御方面取得了重大进展。这项立法代表了一个全面的法律框架，旨在保护国家关键信息基础设施 (CII) 免受日益复杂的网络威胁。

该法案设立了国家网络安全委员会，并明确了国家网络安全局 (NACSA) 首席执行官的职责和权限。它还规定了 CII 部门负责人和实体的具体职责。

该法案的一个显著特点是重点关注网络安全服务提供商，要求实施许可制度，以确保只有合格的实体才被授权提供网络安全服务。

《网络安全法》的地域范围

《网络安全法》的管辖范围超出了马来西亚的边界，涵盖了与国家关键信息基础设施 (NCII) 相关的犯罪行为，这些犯罪行为全部或部分位于马来西亚境内。这一广泛的管辖范围与新加坡《网络安全法》 (CSA) 在 2024 年初修订前的初始范围相似。

寻找商业支持

新加坡的修正案现在包括对完全位于其领土之外的计算机系统的监管，如果该系统的所有者位于新加坡，并且这些系统位于新加坡境内，则会被归类为关键信息基础设施（CII）。

主要条款和法规：2024 年《网络安全法》如何影响企业

2024 年《网络安全法》引入了多项旨在加强全国安全框架的重要条款和法规。

网络安全（风险评估和审计）法规

根据《2024 年网络安全法》，被归类为国家关键信息基础设施的实体必须接受严格的风险评估和审计规定。这些实体必须每年至少进行一次全面的网络安全风险评估。此过程涉及评估 NCII 中可能被网络威胁或事件利用的潜在漏洞。

此外，NCII 实体必须每两年接受一次审计，如果国家网络安全局 (NACSA) 首席执行官指示，则必须更频繁地接受审计。

政府已将以下行业指定为 NCII 行业：

1. 政府;
2. 卫生保健;
3. 活力;
4. 农业;
5. 科学、技术与创新；
6. 贸易、工业和经济；
7. 信息、通信和数字；
8. 银行和金融；
9. 国防、国家安全和交通；以及
10. 水、废物管理和污水处理

事件通知

NCII 实体必须在发现网络安全事件后立即通知 NACSA 首席执行官及其各自的 NCII 部门负责人。一旦发现事件，必须立即以电子方式提交此初始通知。在发现事件后的六小时内，实体必须通过国家网络协调和指挥中心系统 (NC4S) 提供事件的更多详细信息。这包括事件的性质、严重程度以及发现方式等信息。

在首次通知后的 14 天内，必须提交补充详细信息，涵盖对 NCII 的影响以及针对事件采取的行动等方面。

网络安全服务提供商的许可和合规性

2024 年《网络安全法》引入了网络安全服务提供商 (CSSP) 的许可制度。任何提供网络安全服务（例如托管安全运营中心监控或渗透测试）的实体或个人都必须获得当局的许可。该法案免除了某些服务（例如政府实体或公司及其子公司内部提供的服务）的许可要求。

不遵守这些许可规定可能会受到严厉处罚，包括最高达 500,000 林吉特（106,000 美元）的罚款和最高达 10 年的监禁。

该法规定的罪行和处罚

根据该法案，违法行为包括未能进行必要的风险评估和审计，以及未向相关部门通报网络安全事件。此类违法行为的处罚包括罚款高达 20 万令吉（43,549 美元），监禁不超过三年，或两者并罚。更严重的违法行为，例如不遵守许可要求或未能实施强制性网络安全措施，可处以罚款高达 50 万令吉和监禁不超过十年。此外，该法案不仅要求组织承担责任，还要求其员工和代理人承担责任，并将责任扩大到实体内负责合规的个人。