新加坡为扩大《2018年网络安全法》的范围提出新法案，以监管更多实体

知识亮点 13 May 2024

2024年4月3日，新加坡国会完成了对《网络安全（修正）草案》（草案）的初次审读。该草案将更新《2018年网络安全法案》（网安法），使其跟上互联网威胁形势的发展以及不断演变的技术操作环境。该草案将更新网安法中与关键信息基础设施（critical information infrastructure, 以下简称CII）的网络安全相关的现有条款，并引入新的条款，以监管（1）临时网络安全关注系统（systems of temporary cybersecurity concern，以下简称STCC）的所有者；（2）具有特殊网络安全利益的实体（entities of special cybersecurity interest，以下简称ESCI）；以及（3）主要基础数字设施（major foundational digital infrastructure，以下简称MFDI）服务提供商。该草案带来的主要变化概述如下。

关键信息基础设施
CII是指在新加坡持续提供必要服务所必需的计算机或计算机系统。自网安法于2018年生效以来，提供基本服务的技术和商业环境发生了变化。如今，虚拟计算的进步以及更广泛、更复杂范围的计算服务的可用性，带来了更高的业务效率和服务质量。

该草案将确保CII所有者即便是在使用了新的技术和商业模式（例如使用云计算）的情况下，也会继续采取措施，确保CII的网络安全和网络恢复力。该草案将在网安法中添加新的第3A部分，以规范向由第三方拥有的CII提供必要服务且对其网络安全负责的基本服务提供商。网络安全专员（专员）将有权指定该等基本服务提供商为由第三者拥有的CII提供服务。

草案还将在网安法中增加新的规定，要求CII所有者向专员报告以下类型的事件：

• 与由供应商拥有的CII的拥有者控制下的任何计算机（或计算机系统）有关的规定网络安全事件，具体指计算机（或计算机系统）未与由供应商拥有的CII互连且未与由供应商拥有的CII通信的情况；以及
• 与供应商控制下的任何计算机（或计算机系统）相关的规定网络安全事件，具体指该计算机（或计算机系统）与由供应商拥有的CII互连或通信的情况。

临时网络安全关注系统

草案将加入一个新的第3B部分，以管理STCC的拥有者，确保该系统的网络安全。如果在一定时间内某计算机或计算机系统的网络安全存在高度风险，并且该计算机或计算机系统的丢失或损坏将对新加坡的国家安全、国防、外交关系、经济、公共卫生、公共安全或公共秩序产生严重不利影响的情况下，专员可指定该计算机或计算机系统为STCC（如果该系统完全或部分位于新加坡境内）。STCC的所有人将被要求在STCC发生规定的网络安全事件时通知专员。STCC的一个例子是用于支持大流行期间分发关键疫苗的临时系统。在Covid-19大流行期间，世界各地的医疗保健组织部署的疫苗分发系统遭到了恶意网络行为者的攻击。

具有特殊网络安全利益的实体

该草案将在网安法中加入一个新的第3C部分，对ESCI进行监管，确保其有关特殊网络安全利益的系统的安全。如果某实体将敏感信息存储在该实体控制下的计算机或计算机系统（或计算机或计算机系统类别）中，或使用该实体控制下的计算机或计算机系统（或计算机或计算机系统类别）执行某项功能，如果该功能中断，将对新加坡的国防、外交关系、经济、公共卫生、公共安全或公共秩序产生重大不利影响的情况下，专员可指定一个实体为ESCI。

在ECSI具有特殊网络安全利益的系统或其控制下的任何其他计算机或计算机系统发生规定的网络安全事件时，或发生某项事件导致实体数据的可用性、机密性或完整性遭到破坏，或对实体的业务运营产生重大影响的情况下，ECSI必须通知专员。

这类实体的例子包括自治大学。由于它们不是CII，ESCI所承担的义务将不会与CII所承担的义务处于相同的水平。

主要基础数字设施

草案将在网安法中添加新的第3D部分，监管对经济或生活方式至关重要的提供基础数字设施服务的公司（如云服务提供商和数据中心），要求其确保此类基础数字设施的网络安全。这包括遵守网络安全规范和实践标准，以及向新加坡网络安全局报告规定的网络安全事件。

草案还将在网安法中加入一个新的附表3，其中列出了以下两项MFDI服务：

• 通过新加坡境内或境外的计算机或计算机系统提供的云计算服务；和
• 通过新加坡设施中运行的新加坡计算机或计算机系统提供的数据中心设施服务。