Malaysia legislation
Section 22
Seksyen 22
(a)
membuat penilaian risiko keselamatan siber berkenaan dengan infrastruktur maklumat kritikal negara yang dimiliki atau dikendalikan oleh entiti infrastruktur maklumat kritikal negara itu mengikut tataamalan dan arahan; dan
(b)
menyebabkan suatu audit dijalankan oleh juruaudit yang diluluskan oleh Ketua Eksekutif untuk menentukan pematuhan entiti infrastruktur maklumat kritikal negara dengan Akta ini.
(2)
Entiti infrastruktur maklumat kritikal negara hendaklah, dalam tempoh tiga puluh hari selepas penilaian risiko keselamatan siber atau audit di bawah subseksyen (1) selesai, mengemukakan laporan penilaian risiko keselamatan siber atau laporan audit itu kepada Ketua Eksekutif.
(3)
Jika didapati oleh Ketua Eksekutif daripada laporan penilaian risiko keselamatan siber yang dikemukakan di bawah subseksyen (2) bahawa keputusan penilaian risiko keselamatan siber itu tidak memuaskan, Ketua Eksekutif boleh mengarahkan entiti infrastruktur maklumat kritikal negara untuk mengambil inisiatif selanjutnya untuk menilai semula risiko keselamatan siber terhadap infrastruktur maklumat kritikal negara itu dalam tempoh sebagaimana yang ditentukan oleh Ketua Eksekutif.
(4)
Jika Ketua Eksekutif mendapati bahawa laporan audit yang dikemukakan di bawah subseksyen (2) tidak mencukupi, Ketua
Eksekutif boleh mengarahkan entiti infrastruktur maklumat kritikal negara itu untuk membetulkan laporan audit itu dalam tempoh sebagaimana yang ditentukan oleh Ketua Eksekutif.
Keselamatan Siber 27
(5)
Apabila menerima maklumat daripada ketua sektor infrastruktur maklumat kritikal negara di bawah subseksyen 20(5)
mengenai perubahan material yang dibuat pada reka bentuk, konfigurasi, keselamatan atau pengendalian suatu infrastruktur maklumat kritikal negara, Ketua Eksekutif boleh melalui notis secara bertulis mengarahkan entiti infrastruktur maklumat kritikal negara yang memiliki atau mengendalikan infrastruktur maklumat kritikal negara itu untuk membuat penilaian risiko keselamatan siber atau menyebabkan dijalankan suatu audit berkenaan dengan infrastruktur maklumat kritikal negara itu tidak kira sama ada penilaian risiko keselamatan siber atau audit telah dibuat atau dijalankan di bawah subseksyen (1) berkenaan dengan infrastruktur maklumat kritikal negara itu.
(6)
Ketua Eksekutif boleh mengarahkan suatu entiti infrastruktur maklumat kritikal negara untuk membuat penilaian risiko keselamatan siber atau menyebabkan dijalankan suatu audit sebagai tambahan kepada penilaian risiko keselamatan siber atau audit di bawah subseksyen (1) atau (5).
(7)
Mana-mana entiti infrastruktur maklumat kritikal negara yang melanggar subseksyen (1) atau (2) melakukan suatu kesalahan dan boleh, apabila disabitkan, didenda tidak melebihi dua ratus ribu ringgit atau dipenjara selama tempoh tidak melebihi tiga tahun atau kedua-duanya.
(8)
Mana-mana entiti infrastruktur maklumat kritikal negara yang tidak mematuhi arahan Ketua Eksekutif di bawah subseksyen (3), (4), (5) atau (6) melakukan suatu kesalahan dan boleh, apabila disabitkan, didenda tidak melebihi satu ratus ribu ringgit.
Kewajipan untuk memberikan pemberitahuan mengenai insiden keselamatan siber