香港的《保護關鍵基礎設施（電腦系統）條例》獲通過

目的

该條例要求被指定為「關鍵基礎設施營運者」的機構採取適當措施保護自己的電腦系統，減低網絡攻擊導致必要服務受影響或被破壞的機會。

範圍

只有被指定為「關鍵基礎設施營運者」及他們被指定為「關鍵電腦系統」的電腦系統才會受規管。受規管的「關鍵基礎設施營運者」是對香港持續提供必要服務，或維持關鍵的社會和經濟活動屬必要的，大部分是大型機構。

雖然不是法例要求，但相關營運者可能通過合約要求相關服務供應商採取類似措施。

該條例並無域外效力，規管當局不可以在香港境外執行相關條文。

《保護關鍵基礎設施(電腦系統)條例》的重要要求

該條例採取「機構為本」的方式，即以負責營運每個關鍵基礎設施的機構為一個單位，需要符合該條例下的三大類法定責任：
第一類架構責任、第二類預防責任和第三類事故通報及應對責任。

政府將會成立一個隸屬保安局的專責辦公室，與條例下的兩個指定當局一起監管不同「關鍵基礎設施營運者」遵從責任的情況。現階段，指定金融管理局負責監管銀行和金融服務相關的營運者遵行第一及第二類責任，而通訊事務管理局則負責監管通訊和廣播相關的營運者遵行第一及第二類責任。

發生事故時，專員會要求營運者作出適當應對事故的措施，有需要時更可以介入協助復原；但是，該條例並不涵蓋任何在發生事故時接管整個「關鍵基礎設施」營運的權力。

違例者可能被罰款高達500萬。

《實務守則》

規管當局將會發出《實務守則》，列出在法例要求基礎上的建議標準，包括電腦系統安全管理單位主管的專業資格；需要報告的「重大變化」的例子；安全管理計劃、風險評估和審查的內容和標準；職員培訓；如何判斷是否有事故發生等。

《實務守則》並非法例，可以更靈活適時作更新。規管當局可能在《實務守則》加入針對特定界別的指引。

該條例中指明金融管理專員和通訊事務管理局為「指定當局」。政府將來可能透過附屬法例修訂該條例的附表2，指明適當的法定行業監管機構成為「指定當局」；也可能透過附屬法例修訂附表必要服務的界別。

規管當局會在《實務守則》提供指引和合約範本，列明第三方服務提供者的責任和角色，供營運者在聘用該等服務提供者時參考，協助營運者在聘用第三方時依然能夠依法履行法定責任。

生效

政府的目標是在2026年1月1日將條例正式生效，同時成立專責辦公室。專責辦公室期望大約在2026年中開始逐步分階段指定「關鍵基礎設施營運者」及其「關鍵電腦系統」。相關營運者需要為此做好準備。

DQS HK相關服務

• 安全風險評估和審核服务，
• 滲透測試服务，
• 私隱影響評估 (PIA)服务，
• 根據CRAF提供網絡防衛評估。