为了因应不断演变的网络安全局势,在已正式生效的网络安全(修正)法令下,能源、医疗、银行等关键信息基础设施管理者,须在扰乱自身服务的网安事件,或怀疑面对高级持续性威胁攻击发生两小时内,向有关当局通报。
新加坡网络安全局发文告,提醒业者网络安全(修正)法令(Cybersecurity (Amendment) Act )已从星期五(10月31日)起正式生效。这个法案去年5月7日在国会三读通过。
文告指出,关键信息基础设施(Critical Information Infrastructure)运营者的及时通报,将能提升网安局对事态的认知,让他们能在有需要时,协调一个恰当的全国应对措施。
同时,为了适应不断发展的网络技术,法令也将云计算服务中使用的虚拟电脑和系统,纳入监管范围,以更好地保护使用这些新技术的关键信息基础设施运营者。
法令也赋予网安局更多监管权力,包括可以审查为特殊事件设立的临时网安关注系统(Systems of Temporary Cybersecurity Concern),例如支持国会选举的系统,或在疫情时期支援追踪及分发疫苗的系统。
网安局可以这些系统面临更高网安风险、可能危及新加坡国家利益为根据,将位于或部分位于我国的电脑和系统,列为临时网安关注系统并予以监管。这些系统所有者,须在规定时间内实施特定的网络安全措施,并及时报告网安事件。
网安局也会继续为这些利益相关者提供支持,帮助他们在满足运作和行业发展需求同时,熟悉和遵守法令的要求。
时任通讯及新闻部兼卫生部高级政务部长的普杰立医生,在去年修正法案在国会二读时曾说明,法案仅针对有限范围内的特定机构,而非对企业界强加网安合规义务,不会造成企业合规成本增加。
