Section 21

Walau apa pun subseksyen (1), entiti infrastruktur maklumat kritikal negara boleh melaksanakan apa-apa langkah, standard dan proses alternatif jika entiti infrastruktur maklumat kritikal negara itu membuktikan sehingga memuaskan hati Ketua Eksekutif bahawa langkah-langkah, standard dan proses alternatif itu memberikan perlindungan yang sama atau lebih tinggi tahapnya kepada infrastruktur maklumat kritikal negara yang dimiliki atau dikendalikan oleh entiti infrastruktur maklumat kritikal negara itu.

Suatu entiti infrastruktur maklumat kritikal negara boleh, sebagai tambahan kepada langkah-langkah, standard dan proses yang disebut dalam subseksyen (1) atau (2), mengadakan dan melaksanakan langkah-langkah, standard dan proses mengenai keselamatan siber berdasarkan standard atau rangka yang diiktiraf di peringkat antarabangsa.

Jika suatu entiti infrastruktur maklumat kritikal negara melaksanakan langkah-langkah, standard dan proses untuk memastikan keselamatan siber infrastruktur maklumat kritikal negara yang dimiliki atau dikendalikannya sebagaimana yang dikehendaki di bawah mana-mana undang-undang bertulis yang lain, entiti infrastruktur maklumat kritikal negara itu hendaklah disifatkan telah mematuhi seksyen ini dengan syarat bahawa langkah-langkah, standard dan proses itu tidak melanggar tataamalan.

Undang-Undang Malaysia 26

Akta 854

Mana-mana entiti infrastruktur maklumat kritikal negara yang melanggar subseksyen (1) melakukan suatu kesalahan dan boleh, apabila disabitkan, didenda tidak melebihi lima ratus ribu ringgit atau dipenjara selama tempoh tidak melebihi sepuluh tahun atau kedua-duanya.

Kewajipan untuk membuat penilaian risiko keselamatan siber dan audit