關鍵基建電腦系統安全立法7月諮詢　違者最高罰款500萬

政府向立法會保安事務委員會提交文件，列出加強保護關鍵基礎設施電腦系統安全的建議立法框架，違者最高罰款500萬元，7月2日諮詢立法會保安事務委員會後，將諮詢業界1個月。

涉及銀行、供電、鐵路等基建電腦網絡

關鍵基礎設施是指一些維護社會運作及生活必需的設施，例如銀行、金融機構、通訊網絡、供電設施和鐵路系統等，立法是為了加強這些設施的網絡安全。

政府計劃條例納入8個界別的基礎設施，包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、 醫療保健，以及通訊和廣播。此外，亦建議將大型體育及表演場地、科研園區等納入規管範圍，確保這些地點的電腦系統安全運作。

政府建議，以負責營運上述設施的機構為單位，承擔他們轄下電腦系統的法定安全責任。至於供水、渠務、緊急救援等系統，由於已經有詳細指引，並參照國際標準檢討和更新，政府認為毋須納入新的條例。

營運機構為負責單位　涉及第三方服務亦須負責

擬議的條例下，政府會設立「關鍵基礎設施營運者」名冊，營運者必須向隷屬於保安局的專賣辦公室報告電腦系統保安計劃，亦要報告這些系統的重大變化，並最少每年一次保安風險評估，以及最少兩年一次進行獨立電腦系統保安審計。

營運者至少每兩年一次參加專責辦公室的電腦系統安全演習，並要制訂處理突發事件的應急計劃。若出現保安事件，在得悉事件後24小時內通報，而嚴重影響正常功能的嚴重事件，則要在得悉事件的兩小時內通報。

若營運者不履行法定責任，或不遵從專責辦公室的指示，或者不遵從專責辦公室提交資料的要求，最高可罰款50萬至500萬元，個別罪行持續違法將會額外每日罰款。就算事件涉及第三方服務，營運者仍要為違法行為負責。

政府將於7月2日諮詢立法會保安事務委員會，其後將諮詢業界1個月，並計劃於今年年底前向立法會提交條例草案，目標在立法會通過條例草案後1年內成立專責辦公室，其後半年內條例正式生效。