/akn/my/act/pua/2024/221

PERATURAN-PERATURAN KESELAMATAN SIBER (PELESENAN PEMBERI PERKHIDMATAN KESELAMATAN SIBER) 2024

The full official text, structured for quick navigation. Copy any provision or jump straight to a section.

Open source PDF
Type
P.U. (A)
Status
In force
Enacted
2024
Sections
10

Quick answer

About this p.u. (a)

PERATURAN-PERATURAN KESELAMATAN SIBER (PELESENAN PEMBERI PERKHIDMATAN KESELAMATAN SIBER) 2024 is Malaysia P.U. (A), cited as P.U. (A) 221 2024, currently marked in force and first recorded in 2024.

Opening note

Preamble

Suggest a correction
  1. PADA menjalankan kuasa yang diberikan oleh seksyen 63 Akta Keselamatan Siber 2024 [Akta 854], Menteri membuat peraturan-peraturan yang berikut: Nama dan permulaan kuat kuasa

Seksyen 1

Open as pageSuggest a correction

(1)

Peraturan-peraturan ini bolehlah dinamakan

Peraturan-Peraturan

Keselamatan Siber (Pelesenan Pemberi Perkhidmatan Keselamatan Siber) 2024.

Suggest a correction

(2)

Peraturan-Peraturan ini mula berkuat kuasa pada 26 Ogos 2024.

Pemakaian dan ketidakpakaian

Suggest a correction

Seksyen 2

Open as pageSuggest a correction

(1)

Peraturan-Peraturan ini hendaklah terpakai bagi perkhidmatan keselamatan siber yang berhubungan dengan perkhidmatan pemantauan pusat operasi keselamatan terurus dan perkhidmatan pengujian penembusan.

Suggest a correction

(2)

Peraturan-Peraturan ini tidak terpakai jika—

(a)

perkhidmatan keselamatan siber itu diberikan oleh Entiti Kerajaan;

Suggest a correction

(b)

perkhidmatan keselamatan siber itu diberikan oleh seseorang, selain suatu syarikat, kepada syarikat berkaitannya; atau

Suggest a correction

(c)

komputer atau sistem komputer yang berkenaan dengannya perkhidmatan keselamatan siber itu diberikan terletak di luar Malaysia.

Tafsiran

Suggest a correction
Suggest a correction

Seksyen 3

Dalam Peraturan-Peraturan ini—

Open as pageSuggest a correction

P.U. (A) 221 3

“kerentanan” ertinya apa-apa kerentanan pada komputer atau sistem komputer yang boleh dieksploitasi oleh satu atau lebih ancaman keselamatan siber;

“perkhidmatan pemantauan pusat operasi keselamatan terurus” ertinya suatu perkhidmatan sebagaimana yang diperuntukkan di bawah peraturan 4;

“perkhidmatan pengujian penembusan” ertinya suatu perkhidmatan sebagaimana yang diperuntukkan di bawah peraturan 5.

Seksyen 4

Perkhidmatan pemantauan pusat operasi keselamatan terurus

Open as pageSuggest a correction

(a)

memantau tahap keselamatan siber suatu komputer atau sistem komputer seorang yang lain dengan cara memperoleh, mengenal pasti atau mengimbas maklumat yang disimpan dalam, diproses oleh atau dihantar melalui, komputer atau sistem komputer itu bagi maksud mengenal pasti atau mengesan ancaman keselamatan siber terhadap komputer atau sistem komputer itu; atau

Suggest a correction

(b)

menentukan langkah-langkah yang perlu untuk bertindak balas terhadap atau pulih daripada apa-apa insiden keselamatan siber itu dan untuk mencegah insiden keselamatan siber itu daripada berlaku pada masa hadapan.

Perkhidmatan pengujian penembusan

Suggest a correction

Seksyen 5

Peraturan-Peraturan ini ialah suatu perkhidmatan bagi—

Open as pageSuggest a correction

Suatu perkhidmatan pengujian penembusan di bawah Peraturan-Peraturan ini ialah perkhidmatan untuk menaksir, menguji atau menilai tahap keselamatan siber suatu komputer atau sistem komputer, dengan mencari kerentanan pada, dan menjejaskan, pertahanan keselamatan siber komputer atau sistem komputer itu, dan termasuklah mana-mana aktiviti yang berikut:

(a)

menentukan kerentanan keselamatan siber suatu komputer atau sistem komputer, dan menunjukkan bagaimana kerentanan itu boleh dieksploitasi dan diambil kesempatan;

Suggest a correction

(b)

menentukan atau menguji keupayaan organisasi untuk mengenal pasti dan bertindak balas terhadap insiden keselamatan siber melalui simulasi percubaan untuk menembusi pertahanan keselamatan siber komputer atau sistem komputer;

Suggest a correction

(c)

mengenal pasti dan mengukur kerentanan keselamatan siber suatu komputer atau sistem komputer, yang menyatakan kerentanan itu dan menyediakan tatacara mitigasi yang sesuai yang dikehendaki untuk menghapuskan kerentanan itu atau mengurangkan kerentanan itu kepada tahap risiko yang boleh diterima; atau

Suggest a correction

(d)

menggunakan kejuruteraan sosial untuk menaksir tahap kerentanan suatu organisasi terhadap ancaman keselamatan siber.

Permohonan bagi lesen

Suggest a correction

Seksyen 6

P.U. (A) 221 4

Open as pageSuggest a correction

(1)

Tertakluk pada seksyen 28 Akta, suatu permohonan bagi suatu lesen untuk memberikan perkhidmatan keselamatan siber oleh seseorang yang berniat untuk memberikan apa-apa perkhidmatan keselamatan siber atau mengiklankan, atau dalam apa-apa cara mengemukakan dirinya sebagai pemberi suatu perkhidmatan keselamatan siber hendaklah dibuat kepada Ketua Eksekutif melalui cara elektronik dan hendaklah disertakan dengan pembayaran fi sebagaimana yang ditetapkan dalam Jadual.

Suggest a correction

(2)

Suatu permohonan di bawah subperaturan (1) boleh ditarik balik pada bila-bila masa sebelum permohonan diluluskan atau ditolak oleh Ketua Eksekutif.

Suggest a correction

(3)

Fi yang disebut dalam subperaturan (1) hendaklah kena dibayar bagi tiap-tiap permohonan yang dikemukakan dan tidak boleh dibayar balik.

P.U. (A) 221 5

Pembaharuan lesen

Suggest a correction

Seksyen 7

Open as pageSuggest a correction

(1)

Suatu permohonan bagi pembaharuan lesen untuk memberikan perkhidmatan keselamatan siber hendaklah dibuat kepada Ketua Eksekutif melalui cara elektronik dan hendaklah disertakan dengan pembayaran fi sebagaimana yang ditetapkan dalam Jadual.

Suggest a correction

(2)

Mana-mana permohonan bagi pembaharuan lesen yang diterima oleh

Ketua Eksekutif selepas habis tempoh pembaharuan lesen hendaklah dikira sebagai suatu permohonan baru.

Suggest a correction

(3)

Fi yang disebut dalam subperaturan (1) hendaklah kena dibayar bagi tiap-tiap permohonan yang dikemukakan dan tidak boleh dibayar balik.

Permohonan secara fraud dan maklumat palsu

Suggest a correction

Seksyen 8

Seseorang yang, berkaitan dengan apa-apa permohonan yang dibuat di bawah

Open as pageSuggest a correction

Peraturan-Peraturan ini, membuat suatu pernyataan yang palsu atau mengelirukan dengan mengetahui bahawa pernyataan itu palsu atau mengelirukan atau dengan sengaja meninggalkan daripada menyatakan apa-apa perkara atau benda yang tanpanya permohonan itu adalah mengelirukan melakukan suatu kesalahan dan boleh, apabila disabitkan, didenda tidak melebihi lima puluh ribu ringgit atau dipenjarakan selama tempoh tidak melebihi dua tahun atau kedua-duanya.

P.U. (A) 221 6

Jadual

Suggest a correction

JADUAL

[Subperaturan 6(1) dan 7(1)]

(1)

Bil.

(2)

Perihalan

(3)

Fi

(setahun)

Individu

Syarikat, perkongsian liabiliti terhad, firma, pertubuhan atau kumpulan orang yang lain

1.

Permohonan bagi lesen

(a)

Perkhidmatan pemantauan pusat operasi keselamatan terurus

(b)

Perkhidmatan pengujian penembusan

2.

Pembaharuan lesen

(a)

Perkhidmatan pemantauan pusat operasi keselamatan terurus

(b)

Perkhidmatan pengujian penembusan

Dibuat 16 Ogos 2024

[MKN(S).10.600-9/2/4 Jld.8 (22); PN(PU2)768]

DATO’ SERI ANWAR BIN IBRAHIM

Perdana Menteri

P.U. (A) 221 7

CYBER SECURITY ACT 2024

CYBER SECURITY (LICENSING OF CYBER SECURITY SERVICE PROVIDER)

REGULATIONS 2024

IN exercise of the powers conferred by section 63 of the Cyber Security Act 2024

[Act 854], the Minister makes the following regulations:

Citation and commencement 1.

(1)

These regulations may be cited as the Cyber Security (Licensing of Cyber

Security Service Provider) Regulations 2024.

(2)

These Regulations come into operation on 26 August 2024.

Application and non-application 2.

(1)

These Regulations shall apply to cyber security service relating to managed security operation centre monitoring service and penetration testing service.

(2)

These Regulations shall not apply if—

(a)

the cyber security service is provided by a Government Entity;

(b)

the cyber security service is provided by a person, other than a company, to its related company; or

(c)

the computer or computer system in respect of which the cyber security service is provided is located outside Malaysia.

Interpretation 3.

In these Regulations—

“vulnerability” means any vulnerability on a computer or computer system that can be exploited by one or more cyber security threats;

P.U. (A) 221 8

“managed security operation centre monitoring service” means a service as provided under regulation 4;

“penetration testing service” means a service as provided under regulation 5.

Managed security operation centre monitoring service 4.

A managed security operation centre monitoring service under these Regulations is a service for—

(a)

monitoring the level of cyber security of a computer or computer system of another person by acquiring, identifying or scanning information that is stored in, processed by or transmitted through, the computer or computer system for the purpose of identifying or detecting cyber security threats to the computer or computer system; or

(b)

determining the measures necessary to respond to or recover from any cyber security incident and to prevent such cyber security incident from occurring in the future.

Penetration testing service 5.

A penetration testing service under these Regulations is a service for assessing, testing or evaluating the level of cyber security of a computer or computer system, by searching for vulnerabilities on, and compromising, the cyber security defences of the computer or computer system, and includes any of the following activities:

(a)

determining the cyber security vulnerabilities of a computer or computer system, and demonstrating how such vulnerabilities may be exploited and taken advantage of;

(b)

determining or testing the organization’s ability to identify and respond to cyber security incident through simulation of attempts to penetrate the cyber security defences of the computer or computer system;

P.U. (A) 221 9

(c)

identifying and measuring the cyber security vulnerabilities of a computer or computer system, indicating vulnerabilities and preparing appropriate mitigation procedures required to eliminate vulnerabilities or to reduce vulnerabilities to an acceptable level of risk; or

(d)

utilizing social engineering to assess the level of vulnerability of an organization to cyber security threats.

Application for licence 6.

(1)

Subject to section 28 of the Act, an application for a licence to provide cyber security service by any person who intends to provide any cyber security service or advertise, or in any way hold himself out as a provider of a cyber security service shall be made to the Chief Executive through electronic means and shall be accompanied by payment of the fee as prescribed in the Schedule.

(2)

An application under subregulation (1) may be withdrawn at any time before the application is approved or refused by the the Chief Executive.

(3)

The fee referred to in subregulation (1) shall be payable for every application submitted and shall not be refundable.

Renewal of licence 7.

(1)

An application for the renewal of licence to provide cyber security service shall be made to the Chief Executive through electronic means and shall be accompanied by payment of the fee as prescribed in the Schedule.

(2)

Any application for the renewal of licence which is received by the

Chief Executive after the expiry of the licence shall be treated as a new application.

(3)

The fee referred to in subregulation (1) shall be payable for every application submitted and shall not be refundable.

P.U. (A) 221 10

Fraudulent application and false information 8.

A person who, in connection with any application made under these Regulations, makes a statement that is false or misleading knowing it to be false or misleading or wilfully omits to state any matter or thing without which the application is misleading commits an offence and shall, on conviction, be liable to a fine not exceeding fifty thousand ringgit or to imprisonment for a term not exceeding two years or to both.

Jadual

Suggest a correction

[Subregulations 6(1) and 7(1)]

(1)

No.

(2)

Description

(3)

Fee

(per year)

Individual

Company, limited liability partnership, firm, society or other body of persons

1.

Application for licence

(a)

Managed security operation centre monitoring service

(b)

Penetration testing service

2.

Renewal of licence

(a)

Managed security operation centre monitoring service

(b)

Penetration testing service

Made 16 August 2024

[MKN(S).10.600-9/2/4 Jld.8 (22); PN(PU2)768]

DATO’ SERI ANWAR BIN IBRAHIM

Prime Minister

Common questions

What is PERATURAN-PERATURAN KESELAMATAN SIBER (PELESENAN PEMBERI PERKHIDMATAN KESELAMATAN SIBER) 2024?
PERATURAN-PERATURAN KESELAMATAN SIBER (PELESENAN PEMBERI PERKHIDMATAN KESELAMATAN SIBER) 2024 is Malaysia P.U. (A), cited as P.U. (A) 221 2024, currently marked in force and first recorded in 2024.
Is PERATURAN-PERATURAN KESELAMATAN SIBER (PELESENAN PEMBERI PERKHIDMATAN KESELAMATAN SIBER) 2024 still in force?
Yes — PERATURAN-PERATURAN KESELAMATAN SIBER (PELESENAN PEMBERI PERKHIDMATAN KESELAMATAN SIBER) 2024 is currently in force.
When did PERATURAN-PERATURAN KESELAMATAN SIBER (PELESENAN PEMBERI PERKHIDMATAN KESELAMATAN SIBER) 2024 take effect?
PERATURAN-PERATURAN KESELAMATAN SIBER (PELESENAN PEMBERI PERKHIDMATAN KESELAMATAN SIBER) 2024 was first recorded in 2024.
How many sections does PERATURAN-PERATURAN KESELAMATAN SIBER (PELESENAN PEMBERI PERKHIDMATAN KESELAMATAN SIBER) 2024 have?
PERATURAN-PERATURAN KESELAMATAN SIBER (PELESENAN PEMBERI PERKHIDMATAN KESELAMATAN SIBER) 2024 contains 8 sections.
Where can I read the official version of PERATURAN-PERATURAN KESELAMATAN SIBER (PELESENAN PEMBERI PERKHIDMATAN KESELAMATAN SIBER) 2024?
The official text of PERATURAN-PERATURAN KESELAMATAN SIBER (PELESENAN PEMBERI PERKHIDMATAN KESELAMATAN SIBER) 2024 is published at lom.agc.gov.my.
PERATURAN-PERATURAN KESELAMATAN SIBER (PELESENAN PEMBERI PERKHIDMATAN KESELAMATAN SIBER) 2024 (No. 221)