《保護關鍵基礎設施(電腦系統)條例》已於2026年1月1日正式生效,標誌著香港網絡安全監管進入新時代。條例要求八大行業的關鍵基礎設施營運商必須遵守嚴格的網絡安全要求,違例者最高可被罰款500萬元。
八大行業受規管
條例涵蓋八個對社會運作至關重要的行業範疇:
- 能源(電力、燃氣供應)
- 資訊科技
- 銀行及金融服務
- 陸路運輸
- 航空運輸
- 海運
- 醫療保健
- 通訊
主要合規要求
條例要求關鍵基礎設施營運商必須建立完善的網絡安全管理制度,主要要求包括:
首先,營運商須設立專責網絡安全管理架構,指定合適人員負責監督網絡安全事宜。其次,營運商須進行定期安全評估及滲透測試,識別系統漏洞並及時修補。
第三,條例要求營運商在發生重大網絡安全事故時,必須按規定時限向當局通報。延誤通報可導致額外罰則。第四,營運商在進行系統重大變更前,須向監管機構作出通知。
違例罰則嚴厲
為確保條例有效執行,當局設立嚴厲罰則。營運商如未能遵守網絡安全要求,首次違例最高可被罰款50萬元;持續違例者每日額外罰款10萬元。嚴重違規個案最高可被罰款500萬元。
政府發言人表示,條例旨在加強保護本港關鍵基礎設施免受網絡攻擊,確保基本公共服務不受干擾。罰則設計具阻嚇作用,但當局會優先採取教育及輔導方式協助業界合規。
業界積極準備
多間受規管機構表示已積極準備迎接新規。有銀行表示,早於條例生效前已加強網絡安全投資,並聘請專業人員負責合規工作。有電力公司則表示已完成系統升級及員工培訓。
資訊科技界人士指出,條例生效有助提升本港整體網絡安全水平,吸引更多國際企業來港設立區域總部。但中小企或需要更多支援,以應付額外合規成本。