關鍵基礎設施的網絡安全與市民息息相關。政府提出《保障關鍵基礎設施(電腦系統)條例草案》,並採取「機構為本」原則,即要求負責營運每個關鍵基礎設施的機構,履行保障其電腦系統安全的責任,但強調絕不涉及系統內的個人資料和業務內容。當局指,絕大部分規管對象是有規模的大機構,中小企及一般市民不受影響。
保安局向立法會提交文件,當中草案建議條例涵蓋8個提供必要服務界別的基礎設施,包括能源、資訊科技、銀行和金融服務、陸空交通、海運、醫療保健和通訊和廣播,以及大型體育及表演場地、科研園區等基礎設施;為免有關設施成為網絡攻擊目標,當局建議條例毋須公開「關鍵基礎設施營運者」的名單。
當局指,立法原意並非旨在懲罰營運者,惟須訂定相關罪行和罰則,確保條例能有效執行,又指即使因第三方服務提供者的不足而導致違法,有關機構仍要為違規行為負責。刑罰將以機構為單位,僅以罰款處理,建議罰50萬至500萬元不等。
政府倡成立一個隸屬保安局的專責辦公室,執行擬議條例下的工作,包括監察針對關鍵基礎設施的電腦系統保安威脅、向「關鍵基礎設施營運者」發出書面指示,以堵塞或出現的保安漏洞,並建議受規管的個別行業可指明相關行業監管機構為「指定監管機構」。
保安局下月諮詢立法會保安事務委員會後,再公眾諮詢一個月,計劃年底把條例草案交付立法會審議,目標是條例通過後一年內成立專責辦公室,讓條例可於其後半年內正式生效。