保護條例明年生效 營運者需提交應急計劃

香港文匯報訊（記者　蔡競文）《保護關鍵基礎設施（電腦系統）條例》 (PCI)將於2026年1月1日正式生效，指定的「關鍵基礎設施營運者」有多項責任，包括設立電腦系統安全管理單位、就電腦系統安全提交和實施管理計劃、進行風險評估及安排審核、參與演習、提交和實行應急計劃，以及就事故作出通知等。

雖然條例沒有明文提及NIST等國際標準，但規管當局可發出實務守則，就關鍵基礎設施營運者如何履行其責任提供實務指示，當中可包括標準和規格。保安局於2024年的諮詢報告中亦提到，將會參照最新科技及國際標準制定《實務守則》。

勒索軟件攻擊成最大威脅

有關供應鏈的風險管理，條例亦有所着墨。例如關鍵基礎設施營運者雖然可聘用服務提供者來設立電腦系統安全管理單位，但仍須委任一名擁有足夠專業知識的僱員監管單位。此外，營運者所提交的電腦系統安全管理計劃，亦須涵蓋有關管理供應商合約和通訊的政策及指引。

梁樂鋒指出，根據過往經驗來看，香港當前的網絡安全環境面臨的主要威脅是勒索軟件攻擊。駭客組織現一般都會使用「雙重勒索」的手法進行勒索：一方面駭客組織會使用勒索軟件對受害機構的系統進行加密，使其不能正常營運；另一方面，駭客亦會嘗試盜取機構的資料，並威脅公開敏感或機密資料以迫使受害者支付贖金。