Nous soulignons ci-dessous les principales dispositions du projet de loi sur l’infrastructure critique (CI Bill) ainsi que ses implications pour les organisations.
Principales dispositions et obligations
Le contenu du CI Bill est largement similaire à la proposition du gouvernement présentée dans le brief au Conseil législatif et son rapport de consultation (détails du brief et de la consultation ici), intégrant plusieurs changements clés basés sur les retours des parties prenantes.
Les principales dispositions et obligations du CI Bill sont les suivantes :
1. Portée et cibles
La définition proposée de « l’infrastructure critique » dans le projet de loi reste inchangée par rapport aux propositions précédentes, et se définit comme suit :
- Tout équipement indispensable à la fourniture continue de services essentiels à Hong Kong dans un secteur spécifique (Type 1 CI), ou
- Toute autre infrastructure dont les dommages, la perte de fonctionnalité ou les fuites de données pourraient entraver ou affecter de manière substantielle le maintien des activités sociétales ou économiques critiques à Hong Kong (Type 2 CI).
Les secteurs de Type 1 CI (spécifiés à l’Annexe 1 du projet de loi) comprennent l’énergie, la technologie de l’information, les services bancaires et financiers, le transport aérien, le transport terrestre, le transport maritime, les services de santé, ainsi que les services de télécommunications et de diffusion. Des exemples de Type 2 CI, tels que les grands stades sportifs et les lieux de spectacle, ont été inclus dans le brief.
2. Autorités de régulation
Le Chef de l’Exécutif nommera un nouveau Commissaire à la sécurité des systèmes informatiques (le Commissaire), qui, avec les autorités désignées à l’Annexe 2 du CI Bill pour des secteurs spécifiques (actuellement la Banque centrale et l’Autorité de communication), constituera les autorités de régulation (“Autorités de Régulation”).
Les fonctions des Autorités de Régulation comprennent l’identification des infrastructures critiques (CIs), la désignation des opérateurs CI et l’émission de codes de pratique. Les pouvoirs des Autorités de Régulation sont :
- Une Autorité de Régulation peut déterminer si une infrastructure est une CI spécifiée en prenant en compte le service fourni et les conséquences potentielles des dommages.
- Le Commissaire ou une Autorité Désignée peut désigner une organisation comme opérateur CI basé sur sa dépendance aux systèmes informatiques et la sensibilité des données.
- Une Autorité de Régulation peut désigner un système informatique comme critique pour l’infrastructure en en informant par écrit un opérateur CI. Cela inclut les systèmes (i) accessibles par l’opérateur à partir de Hong Kong et (ii) essentiels à la fonction principale d’une CI.
Les Autorités de Régulation peuvent exiger que toute organisation ou opérateur CI fournisse des informations pour identifier les CIs, désigner les opérateurs CI ou les systèmes informatiques critiques. De telles informations peuvent inclure tout renseignement nécessaire pour déterminer si une infrastructure est une CI spécifiée, si une organisation doit être désignée comme opérateur CI, ou si un système informatique doit être classé comme critique. Ne pas se conformer aux exigences fournies sans excuse raisonnable pourrait entraîner des amendes allant jusqu’à 5 millions HKD, avec des amendes journalières supplémentaires pouvant atteindre 100 000 HKD.
3. Obligations des opérateurs d’infrastructure critique
Le CI Bill impose les obligations suivantes aux opérateurs CI :
- Organisation des opérateurs CI (“obligations de catégorie 1”) :
- Maintenir un bureau à Hong Kong.
- Informer l’autorité des changements relatifs à l’opérateur.
- Créer et maintenir une unité de gestion de la sécurité des systèmes informatiques.
- Prévention des menaces et incidents (“obligations de catégorie 2”) :
- Informer l’autorité des changements significatifs à certains systèmes.
- Soumettre et mettre en œuvre des plans de gestion de la sécurité (détails à l’Annexe 3 du CI Bill).
- Réaliser des évaluations des risques de sécurité (détails à l’Annexe 4 du CI Bill).
- Organiser des audits de sécurité (détails à l’Annexe 5 du CI Bill).
- Rapport et réponse aux incidents (“obligations de catégorie 3”) :