Hong Kong ha publicado recientemente en el boletín oficial el Proyecto de Ley de Protección de Infraestructuras Críticas (Sistemas Informáticos) («Proyecto de Ley PCI»). También se ha presentado al Consejo Legislativo para la primera y segunda lectura.
En la actualidad, no existen en Hong Kong disposiciones legales destinadas a salvaguardar los sistemas informáticos de los operadores de infraestructuras críticas. El proyecto de ley PCI propuesto pretende colmar esta laguna normativa imponiendo ciertas obligaciones a los operadores y estableciendo una Oficina del Comisionado para supervisar su cumplimiento. Se espera que esta medida alinee a Hong Kong con las normas internacionales en materia de ciberseguridad aplicadas en otras partes del mundo, como la UE y Australia.
Por infraestructura crítica se entiende cualquier infraestructura esencial para la prestación continua de un servicio crítico en un sector específico de Hong Kong, o cualquier otra infraestructura cuyo daño, pérdida de funcionalidad o violación de datos pueda interrumpir o afectar significativamente a la continuidad de importantes operaciones sociales o económicas en Hong Kong. Por ejemplo, los sectores de la banca, la sanidad, las telecomunicaciones y el transporte entran dentro de la definición anterior.
Según el proyecto de ley PCI, existen tres clasificaciones de obligaciones legales: obligaciones organizativas, obligaciones preventivas y obligaciones de notificación y respuesta ante incidentes. Los operadores de infraestructuras críticas tienen el mandato de formar unidades especializadas encargadas de supervisar la aplicación de medidas de seguridad para reforzar sus defensas contra las ciberamenazas.
En caso de incidente de seguridad, los operadores deberán notificarlo a la Oficina del Comisario correspondiente, al tiempo que seguirán los protocolos de respuesta a emergencias previamente diseñados. La Oficina del Comisario proporcionaría asistencia inmediata y medidas proactivas para aminorar el impacto de un ciberataque, garantizando así la continuidad de las operaciones de las infraestructuras críticas.
