Hong Kong, şehrin siber tehditlere karşı kritik altyapısını güçlendirmeyi amaçlayan bir siber güvenlik yasasını geçti. Kritik Altyapıların Korunması (Bilgisayar Sistemleri) Yasası başlıklı yeni mevzuat Çarşamba günü Yasama Konseyi tarafından onaylandı. Hong Kong Siber Güvenlik Yasası, kilit altyapı sektörlerini yöneten kuruluşlar için katı siber güvenlik gereksinimleri sunarak, uyumsuzluk için 5 milyon HK $ ‘a kadar para cezası veriyor.
Güvenlik Bakanı Chris Tang, yasanın birincil amacının kritik altyapı operatörleri olarak belirlenen kuruluşlar için yasal gereklilikler oluşturmak olduğunu vurguladı. Düzenleme, aşağıdakileri içeren birden fazla sektörü kapsar:
- Enerji
- Bilgi Teknolojisi
- Bankacılık ve Finansal Hizmetler
- Kara, hava ve deniz taşımacılığı
- İletişim ve Yayın
- Sağlık Hizmetleri
Ayrıca, spor stadyumları, performans mekanları ve teknoloji parkları gibi kritik toplumsal veya ekonomik faaliyetleri destekleyen altyapı da siber güvenlik düzenlemelerine tabi olacaktır. Bu geniş kapsam, hükümetin Hong Kong’un dijital manzarasını güvence altına alma taahhüdünü yansıtıyor.
Hükümet yetkileri konusundaki tartışmalar
Hong Kong Siber Güvenlik Yasası, Operatörler siber güvenlik olaylarına yeterince yanıt veremezlerse, hükümet yetkilisine bilgisayar sistemlerine erişmek veya izleme yazılımlarını kritik altyapı ağlarına kurma konusunda mahkeme emri araması için verilmektedir. Bu hüküm, uluslararası teknoloji firmalarından ve savunuculuk gruplarından endişe duymuştur.
Geçen yıl, Asya İnternet Koalisyonu ve Hong Kong’daki Amerikan Ticaret Odası gibi kuruluşlar, bu tür önlemlerin bölgedeki teknoloji yatırımları üzerinde “ürpertici bir etkisi” olabileceği konusunda uyardı. Londra merkezli bir özgür ifade savunuculuk grubu olan 19. Madde de, yasanın hükümete siber güvenlik ihlallerini araştırırken herhangi bir “ilgili bilgi” talep etme yeteneği de dahil olmak üzere “aşırı” soruşturma yetkileri sağladığını belirtti.
Bununla birlikte, şehir yetkilileri bu eleştirileri reddetti ve benzer siber güvenlik düzenlemelerinin ABD, Birleşik Krallık ve Avrupa Birliği de dahil olmak üzere diğer yargı bölgelerinde bulunduğunu belirtti.
Hong Kong Siber Güvenlik Kanunu: Kişisel Veriler üzerinde Etkisi Yok
Gizlilikle ilgili endişeleri gidermek için Tang, milletvekillerine yasanın büyük kuruluşlardaki bilgisayar sistemleri için kesinlikle geçerli olduğunu ve kişisel verileri veya ticari sırları hedeflemediğinden emin oldu. Ayrıca, devlet daireleri yasanın kapsamından açıkça hariç tutulur.
İlginç bir şekilde, bu dışlamaya rağmen, İtfaiye Departmanı, Kayıt ve Seçim Ofisi, Elektrik ve Mekanik Hizmetler Departmanı, Cyberport, Tüketici Konseyi ve Şirketler Kayıt Defteri dahil olmak üzere birçok hükümet organı yakın zamanda veri sızıntıları bildirmiştir.
Kritik altyapı operatörleri-ister kurum içinde ister dış kaynak kullanımı yoluyla sistemleri yönetme-yeni düzenlemelere uymak zorundadır. Yasanın dünya dışı erişimine sahip olmamasına rağmen, Hong Kong merkezli bir operatöre bağlanmışsa denizaşırı sunuculara uzanabilir.
Uyum ve cezalar
Siber güvenlik yasası, aşağıdakiler dahil olmak üzere sıkı uyum önlemleri getirir:
- Zorunlu Siber Güvenlik Risk Değerlendirmeleri Yılda en az bir kez
- Bir siber güvenlik ihlalinden sonraki 12 saat içinde olay raporu
- Yeterli güvenlik korumalarını uygulanamadığı için 5 milyon HK $ ‘a kadar ağır para cezası
Milletvekilleri ve işletmeler tarafından dile getirilen endişelere rağmen, hükümet güvenlik nedenlerini belirterek kritik altyapı operatörleri listesini kamuya açıklamamaya karar verdi. Yetkililer, bu tür bilgileri halka açık hale getirmenin bu kuruluşları siber saldırılara karşı daha savunmasız hale getirebileceğini savunuyorlar.
Daimi Güvenlik Sekreteri Patrick Li, bir röportajda 100’den fazla kritik altyapı operatörünün yasa uyarınca düzenleneceğini ancak listenin gizli kalacağını yinelediğini belirtti.
Hong Kong’da artan siber güvenlik endişeleri
Bu yasanın geçişi, Hong Kong’daki siber güvenlik olaylarının arttığı bir zamanda geliyor. Geçen yıl, birden fazla siber saldırı üniversiteleri, STK’ları ve hastaneleri hedef aldı. Buna ek olarak, şehrin gizlilik gözlemcisinin 2023 raporu, Hong Kong şirketlerinin% 70’inin bir çeşit siber saldırı yaşadığını ortaya koydu.
Şehrin teknolojiye güvenmesi arttıkça, güçlü siber güvenlik çözümlerine olan talep de artmaktadır.
Hong Kong’daki siber güvenlik pazarının 2025 yılında 852,65 milyon ABD dolarına ulaşması bekleniyor ve sektöre hakim güvenlik hizmetleri, tahmini 484.04 milyon dolar gelir elde ediyor. Ayrıca, pazarın 2025’ten 2029’a kadar yıllık% 7,64 oranında büyümesi ve bu dönemin sonunda 1,14 milyar ABD dolarına ulaşması öngörülmektedir.
İşletmeler ve teknoloji endüstrisi için çıkarımlar
Hong Kong’un küresel bir finans merkezi olarak statüsü ve dijital altyapıya artan bağımlılığı siber güvenlik hem işletmeler hem de düzenleyiciler için en büyük öncelik haline getiriyor. Bu yasanın uygulanmasının, operatörlerin siber tehditleri önlemek için proaktif önlemler almasını sağlarken, kritik altyapının esnekliğini artırması beklenmektedir.
Ancak, yeni siber güvenlik gereksinimlerinin Hong Kong’da faaliyet gösteren uluslararası şirketleri nasıl etkileyeceği konusunda endişeler devam ediyor. Eklenen uyum yükü, özellikle bölgedeki uzun vadeli yatırımları değerlendiren teknoloji firmaları için iş kararlarını etkileyebilir.
İşletmeler bu değişikliklere uyum sağladıkça, kilit bir soru kalır: Bu yeni yasa, hong Kong’un önde gelen teknoloji ve finansal merkez olarak cazibesini korumakla siber güvenlik uygulamasını başarıyla dengeleyecek mi?