Akta Keselamatan Siber 2024 NACSA: Apa Perniagaan Perlu Tahu
Akta Keselamatan Siber 2024 (Akta 854) memperkenalkan rangka kerja perundangan baharu untuk keselamatan siber di Malaysia, dengan NACSA sebagai badan kawal selia utama. Akta ini mempengaruhi entiti yang dikenal pasti sebagai NCII (National Critical Information Infrastructure) dan juga memperkenalkan rejim pelesenan untuk pembekal perkhidmatan keselamatan siber tertentu. Maklumat di bawah berasaskan panduan rasmi NACSA (https://www.nacsa.gov.my/act854.php). Organisasi disyorkan untuk merujuk teks akta dan peraturan pelaksanaan rasmi.
Latar belakang dan tujuan Akta 854
Akta Keselamatan Siber 2024 — dirujuk juga sebagai Akta 854 — adalah usaha kerajaan Malaysia untuk mengukuhkan postur keselamatan siber kebangsaan melalui rangka perundangan formal. Sebelum ini, banyak aspek keselamatan siber Malaysia dipandu oleh dasar pentadbiran dan rangka kerja sektor (seperti BNM RMiT untuk kewangan).
Akta ini meletakkan asas perundangan bagi pelantikan pegawai bertauliah, penetapan NCII, pelesenan pembekal perkhidmatan dan mekanisme pelaporan insiden. Berdasarkan panduan rasmi yang diterbitkan di portal NACSA, akta ini melengkapkan rangka kerja sedia ada tanpa menggantikan dasar sektoral.
Struktur dan peranan NACSA
NACSA (National Cyber Security Agency) ialah badan kawal selia keselamatan siber kebangsaan Malaysia yang ditubuhkan di bawah Jabatan Perdana Menteri. Di bawah Akta 854, NACSA mempunyai peranan formal sebagai pihak berkuasa pelaksana.
Fungsi NACSA termasuk membangunkan dasar, mengeluarkan garis panduan, mengkoordinasi respons insiden kebangsaan dan menguruskan rejim pelesenan. NACSA juga bekerjasama dengan MaCERT, BNM, MCMC dan agensi sektoral yang lain.
- Pelantikan dan penyeliaan NCII
- Pengeluaran kod amalan dan garis panduan
- Pelesenan pembekal keselamatan siber
- Koordinasi respons insiden kebangsaan
- Kerjasama antarabangsa
Konsep NCII (National Critical Information Infrastructure)
NCII merujuk kepada infrastruktur maklumat yang ketidakfungsiannya boleh menjejaskan keselamatan negara, ekonomi, kesihatan awam atau perkhidmatan kerajaan. Sektor yang berkemungkinan dipertimbangkan termasuk kewangan, telekomunikasi, tenaga, kesihatan, pengangkutan, kerajaan, air, pertahanan, makanan/pertanian dan beberapa sektor strategik lain.
Entiti yang ditetapkan sebagai NCII dijangka tertakluk kepada obligasi tambahan — termasuk audit keselamatan, pelaporan insiden dan kawalan minimum. Penetapan rasmi dibuat oleh pihak berkuasa di bawah akta. Organisasi yang menyangka mereka berkemungkinan tergolong sebagai NCII disyorkan untuk merujuk panduan NACSA dan menyediakan diri lebih awal.
Pelesenan pembekal perkhidmatan keselamatan siber
Akta 854 memperkenalkan rejim pelesenan untuk pembekal perkhidmatan keselamatan siber tertentu yang beroperasi di Malaysia. Berdasarkan panduan rasmi NACSA, kategori perkhidmatan yang biasanya tertakluk kepada pelesenan termasuk ujian penembusan, perkhidmatan keselamatan terurus (MSS), dan perkhidmatan tindak balas insiden/forensik digital.
Pelanggan disyorkan untuk memilih pembekal yang berlesen atau dalam proses pelesenan, dan mengesahkan status di portal NACSA sebelum memuktamadkan kontrak.
Nota penting: Maklumat dalam artikel ini bersifat panduan umum. Organisasi disyorkan untuk merujuk teks rasmi akta, garis panduan terkini regulator (BNM, NACSA, Pesuruhjaya Perlindungan Data Peribadi) dan mendapatkan nasihat peguam atau juruaudit bertauliah sebelum membuat keputusan pematuhan.
Implikasi kepada perniagaan biasa (bukan NCII)
Walaupun perniagaan biasa mungkin tidak ditetapkan sebagai NCII, mereka tetap dipengaruhi secara tidak langsung. Pelanggan korporat akan menjangkakan pembekal teknologi mereka mematuhi piawaian yang lebih tinggi. Selain itu, pembekal keselamatan siber yang tidak berlesen mungkin tidak boleh digunakan untuk projek tertentu.
Perniagaan disyorkan untuk: (a) memahami sama ada mereka berkemungkinan dikenal pasti sebagai NCII; (b) menyemak status lesen pembekal sedia ada; dan (c) menyelaraskan polisi keselamatan dalaman dengan kod amalan NACSA yang dikeluarkan.
Langkah persediaan praktikal
nCrypt Malaysia menyediakan perkhidmatan readiness assessment untuk Akta Keselamatan Siber, yang membantu organisasi memahami obligasi yang berkemungkinan terpakai. Sila rujuk /compliance/cybersecurity-act-readiness untuk butiran.
- Semak status NCII potensi melalui sektor regulator anda
- Kemas kini dokumen tadbir urus keselamatan
- Sahkan lesen pembekal keselamatan siber
- Wujudkan saluran komunikasi dengan NACSA/MaCERT
Bacaan Lanjut & Khidmat nCrypt
Soalan Lazim
Adakah semua syarikat di Malaysia perlu mematuhi Akta 854?
Tidak semua. Akta menumpukan kepada entiti NCII dan pembekal perkhidmatan keselamatan siber. Walau bagaimanapun, semua syarikat yang menggunakan perkhidmatan keselamatan siber harus mengesahkan status lesen pembekal mereka.
Bagaimana mengetahui sama ada syarikat kami adalah NCII?
Penetapan NCII dibuat oleh pihak berkuasa. Organisasi dalam sektor strategik disyorkan untuk berhubung dengan regulator sektor mereka dan merujuk panduan rasmi NACSA.
Apakah hubungan antara Akta 854 dan PDPA?
PDPA menangani perlindungan data peribadi, manakala Akta 854 menumpukan kepada keselamatan siber sistem dan infrastruktur. Keduanya saling melengkapi — sebuah pelanggaran data peribadi mungkin mencetuskan obligasi di bawah kedua-dua kerangka.
Bincang dengan Pasukan nCrypt
Pasukan CREST-aligned kami membantu institusi kewangan, agensi kerajaan dan PKS Malaysia merancang ujian penembusan, pematuhan dan respons insiden. Dapatkan sebut harga atau tempah perbincangan percuma hari ini.