马来西亚推出新的《网络安全法》

ICI内控快讯 2024年11月06日 20:09 542 内控网

2024年8月21日

11.6.3.jpg

2024年6月26日，马来西亚《2024年网络安全法》（以下简称“《网络安全法》”）正式公布，旨在加强马来西亚的国家网络安全。该法案尚未生效，仍需等待国家网络安全局（NACSA）发布实施条例。《网络安全法》的首次提出可以追溯至2020年10月发布的马来西亚网络安全战略。

《网络安全法》的目标

与新加坡的《网络安全法》（“新加坡CSA”）类似，《网络安全法》旨在提高国家关键信息基础设施（NCII）的网络安全。NCII包括任何计算机或计算机系统，一旦受到干扰，将对国家安全、经济、公共健康、公共安全或政府职能产生影响。《网络安全法》还引入了管理网络安全威胁的措施以及对网络安全服务提供商的许可制度。

《网络安全法》的适用范围

《网络安全法》具有域外适用性。任何位于马来西亚境内全部或部分的NCII相关犯罪都在其适用范围之内。这种方式与新加坡CSA的初始适用范围一致，后者于2024年初进行了修订，以便管控那些位于新加坡以外、但由新加坡境内所有并且若位于新加坡将被指定为CII的计算机系统。

NCII的定义

《网络安全法》将以下部门划分为NCII部门：

政府
银行与金融
交通、国防与国家安全
信息、通信与数字领域
医疗服务
水、污水与废物管理
能源
农业与种植
贸易、工业与经济
科学、技术与创新

NCII部门负责人

NCII部门负责人是指拥有或运营指定NCII的政府实体或个人，由负责网络安全的部长（“部长”）指定。NCII部门负责人的名单将发布在NACSA官网上。

每个NCII部门负责人负责指定NCII实体（定义见下）并制定部门特定的行为规范，规定网络安全管理的措施、标准和流程。

NCII实体

NCII实体是由NCII部门负责人指定的拥有或运营NCII的政府实体或个人。

NCII实体的责任包括：

应要求向NCII部门负责人提供其NCII的相关信息，并通知其任何变更、收购或处置情况。任何重大变更须在30天内告知相关NCII部门负责人；
实施由相关NCII部门负责人发布的行为规范；
进行网络安全风险评估以确保符合行为规范，并安排外部审计以验证其遵守《网络安全法》的情况；
及时向NACSA首席执行官和NCII部门负责人报告其NCII的事故或潜在事故。

尽管《网络安全法》要求NCII遵守行为规范、进行风险评估和事故报告义务，但与新加坡不同的是，它并不要求对涉及第三方供应商和关键信息基础设施所有者供应链的网络事件进行报告。

网络安全服务提供商的许可

《网络安全法》引入了网络安全服务提供商的许可制度。任何实体或个人如未持有效许可证，不得提供任何网络安全服务或宣传自己为网络安全服务提供商。该许可制度的目标是确保特别是提供给NCII的网络安全服务符合国际标准。

尽管“网络安全服务”的定义和范围尚不明确，将由部长在未来确定，但明确的是，该许可制度不适用于公司向其关联公司提供的网络安全服务。

未持有许可证而提供网络安全服务是一种刑事犯罪，可能会被处以（i）高达50万马来西亚林吉特（约10.6万美元）的罚款；（ii）最长10年的监禁；或（iii）两者兼施。相比之下，新加坡CSA对于类似犯罪的处罚较轻，包含（i）5万新加坡元（约3.7万美元）的罚款；（ii）最长两年的监禁；或（iii）两者兼施。

《网络安全法》的处罚

《网络安全法》对不合规行为的处罚因违反的类型和严重程度而有所不同。

对于NCII实体的一般不合规行为，如未能进行额外的网络安全风险评估，未能根据NACSA首席执行官的要求整改审计报告，或未能通知NCII部门负责人任何与NCII相关的重大变更，处罚包括（i）最高10万马来西亚林吉特（约2.17万美元）或20万马来西亚林吉特（约4.35万美元）的罚款，视具体罪行而定；（ii）最长三年的监禁；或（iii）两者兼施。