Hong Kong publicou recentemente a Lei de Proteção de Infraestruturas Críticas (Sistemas de Computador) (“Lei PCI”). Ele também foi apresentado ao Conselho Legislativo para primeira e segunda leitura.
No momento, não há disposições legais em Hong Kong que visem à proteção dos sistemas de computador de operadores de infraestrutura crítica. O projeto de lei PCI proposto pretende preencher essa lacuna normativa impondo certas obrigações às operadoras e estabelecendo um Gabinete do Comissário para supervisionar a conformidade. Espera-se que essa medida alinhe Hong Kong aos padrões internacionais de segurança cibernética implementados em outras partes do mundo, como a UE e a Austrália.
Infraestrutura crítica refere-se a qualquer infraestrutura essencial para a prestação contínua de um serviço crítico em um setor específico em Hong Kong, ou qualquer outra infraestrutura cujo dano, perda de funcionalidade ou violação de dados possa interromper ou afetar significativamente a continuidade de operações sociais ou econômicas importantes em Hong Kong. Por exemplo, os setores bancário, de saúde, telecomunicações e transporte se enquadram na definição acima.
De acordo com o projeto de lei da PCI, há três classificações de obrigações estatutárias: obrigações organizacionais, obrigações preventivas e obrigações de resposta e notificação de incidentes. As operadoras de infraestrutura crítica são obrigadas a formar unidades especializadas encarregadas de supervisionar a implementação de medidas de segurança para reforçar suas defesas contra ameaças cibernéticas.
No caso de um incidente de segurança, as operadoras devem notificar o Commissioner’s Office relevante e, ao mesmo tempo, seguir os protocolos de resposta a emergências previamente elaborados. A assistência imediata e as medidas proativas seriam fornecidas pelo Commissioner’s Office para diminuir o impacto de um ataque cibernético, garantindo assim a continuidade das operações das infraestruturas críticas.
