NCII Malaysia 2026: Senarai 11 Sektor di Bawah Akta 854 dan Apa Anda Perlu Buat
Akta Keselamatan Siber 2024 (Akta 854) mewujudkan rejim National Critical Information Infrastructure (NCII) yang mengenakan obligasi pematuhan khusus kepada entiti dalam 11 sektor kritikal Malaysia. Artikel ini memecahkan setiap sektor, kriteria kelayakan biasa, peranan Sektor Lead, obligasi inti (lantikan Chief Information Security Officer, audit tahunan, notifikasi insiden, kod amalan), dan timeline transisi 2026. Untuk syarikat yang tidak pasti sama ada mereka NCII, panduan ini memberikan ujian asas dan saranan tindakan.
Apa itu NCII dan mengapa ia penting
National Critical Information Infrastructure (NCII) adalah konsep yang diperkenalkan secara formal di Malaysia melalui Akta Keselamatan Siber 2024 (Akta 854). NCII merujuk kepada infrastruktur maklumat dan komunikasi yang gangguan, kerosakan atau kerentanannya boleh memberi kesan signifikan kepada keselamatan negara, ekonomi, kesihatan awam, atau perkhidmatan kerajaan asas.
Akta 854 menetapkan rangka kerja di mana NACSA (National Cyber Security Agency) menyelaras pengenalpastian NCII, kerjasama dengan Sektor Lead untuk setiap sektor, dan menguatkuasakan obligasi pematuhan. Entiti yang dikenalpastikan sebagai NCII mempunyai obligasi yang lebih ketat berbanding syarikat lain — termasuk lantikan CISO, audit tahunan, notifikasi insiden, dan kerjasama dengan latihan kebangsaan.
Pengenalpastian NCII bukan keputusan diri sendiri — Sektor Lead dan NACSA membuat pemilikan berasaskan kriteria seperti kepentingan strategik, kebergantungan ekonomi, dan kesan kegagalan. Walau bagaimanapun, syarikat dalam sektor yang dilampirkan harus menjangka kemungkinan klasifikasi NCII dan mula bersedia.
Senarai 11 sektor NCII di bawah Akta 854
Akta 854 menyenaraikan 11 sektor sebagai sektor NCII Malaysia. Senarai berikut adalah rujukan ringkas — untuk teks rasmi, rujuk Jadual Akta dan pemberitahuan rasmi NACSA. Sektor Lead untuk setiap sektor biasanya adalah regulator atau kementerian utama yang menyelia sektor itu.
| # | Sektor | Sektor Lead (Tipikal) | Contoh Entiti |
|---|---|---|---|
| 1 | Kerajaan | Kementerian Digital / NACSA | Agensi persekutuan, GLC kritikal |
| 2 | Perbankan & Kewangan | Bank Negara Malaysia | Bank berlesen, syarikat insurans, takaful, fintech major |
| 3 | Pengangkutan | Kementerian Pengangkutan | MAHB, MAS, RapidKL, KTM, sistem kawalan trafik |
| 4 | Pertahanan & Keselamatan Negara | Kementerian Pertahanan | Pengeluar peralatan pertahanan, agensi keselamatan |
| 5 | Maklumat, Komunikasi & Multimedia | MCMC | Penyedia telco utama, IXP, DNS root operators, cloud provider tier-1 |
| 6 | Perkhidmatan Kesihatan | Kementerian Kesihatan Malaysia | Hospital kerajaan & swasta tier-1, sistem rekod kesihatan negara |
| 7 | Tenaga | Kementerian Tenaga / Suruhanjaya Tenaga | TNB, Petronas, SEDA, pengeluar tenaga IPP |
| 8 | Pertanian & Makanan | Kementerian Pertanian | Pengeluar makanan major, sistem rantaian bekalan kritikal |
| 9 | Perkhidmatan Air | SPAN | Operator bekalan air negeri, Air Selangor, PBA, dll. |
| 10 | Pembekalan & Logistik Negara | Kementerian berkaitan | Operator pelabuhan, syarikat logistik kritikal |
| 11 | Perkhidmatan Kecemasan | Kementerian Dalam Negeri | Bomba, polis, perkhidmatan ambulans |
Bagaimana saya tahu sama ada syarikat saya akan diklasifikasikan sebagai NCII?
Walaupun NACSA dan Sektor Lead membuat pemilikan rasmi, anda boleh mengira kemungkinan dengan menjawab soalan berikut. Pertama, adakah syarikat anda dalam salah satu dari 11 sektor di atas? Kedua, adakah operasi anda memberi kesan langsung kepada >100,000 pengguna akhir? Ketiga, adakah ada kebergantungan downstream yang signifikan jika sistem anda turun selama 24 jam? Keempat, adakah anda memproses data yang dianggap sensitif kebangsaan (data kesihatan agregat, data kewangan agregat, infrastruktur kritikal)?
Jika anda menjawab 'ya' kepada soalan 1 dan ya kepada mana-mana 2, 3, atau 4, kemungkinan tinggi anda akan diklasifikasikan sebagai NCII atau sebagai pembekal kritikal kepada NCII. Mula bersedia sekarang — proses pematuhan mengambil masa 6-12 bulan untuk dilaksanakan dengan betul.
Sebuah notis penting: walaupun anda tidak diklasifikasikan secara langsung sebagai NCII, anda mungkin tertakluk kepada keperluan vendor kritikal NCII. Contohnya, jika anda menyediakan perkhidmatan cloud, perisian core banking, atau perkhidmatan keselamatan kepada NCII, NACSA mungkin mengenakan keperluan ke atas anda sebagai pembekal lapisan kedua.
Obligasi inti untuk entiti NCII
Berdasarkan Akta 854 dan garis panduan awam NACSA, obligasi inti entiti NCII termasuk:
- Lantikan Chief Information Security Officer (CISO) bertauliah dengan kelayakan minimum yang ditetapkan oleh Sektor Lead.
- Pelaksanaan dan penyelenggaraan Information Security Management System (ISMS) — biasanya selaras dengan ISO 27001 atau setara.
- Audit keselamatan siber sekurang-kurangnya setahun sekali oleh juruaudit yang diiktiraf — laporan kepada Sektor Lead dan NACSA.
- Notifikasi insiden keselamatan siber kritikal kepada NACSA dalam tempoh yang ditetapkan (lazimnya 24 jam untuk insiden material, 72 jam untuk insiden lain — rujuk peraturan pelaksanaan).
- Patuhan dengan kod amalan sektor — Sektor Lead boleh mengeluarkan kod amalan khusus (contohnya BNM RMiT untuk sektor kewangan, MCMC untuk telco).
- Penyertaan dalam latihan kebangsaan dan ujian tabletop yang dianjurkan oleh NACSA.
- Penyimpanan rekod dan dokumentasi keselamatan untuk tempoh minimum (selalunya 7 tahun untuk audit trail kritikal).
Timeline transisi 2026 dan apa nak buat sekarang
Akta 854 berkuatkuasa secara berperingkat. Aspek pengenalpastian NCII dan pelantikan Sektor Lead telah aktif. Aspek pelesenan pembekal keselamatan siber sedang dilaksanakan. Penguatkuasaan penuh terhadap obligasi NCII (audit tahunan, notifikasi insiden formal) dijangka berkembang sepanjang 2026 apabila Sektor Lead mengeluarkan kod amalan sektor mereka.
Jika anda berada dalam mana-mana 11 sektor di atas dan menjangka klasifikasi NCII, langkah-langkah praktikal untuk 6 bulan akan datang: (1) jalankan gap analysis terhadap kawalan ISO 27001 atau NIST CSF — kebanyakan obligasi NCII selaras dengan kerangka ini; (2) kenalpasti calon CISO dalaman atau dapatkan vCISO sebagai langkah sementara; (3) wujudkan polisi notifikasi insiden dengan SLA dalaman 12 jam untuk memberi buffer kepada SLA NACSA 24 jam; (4) jalankan tabletop exercise untuk senario ransomware, data breach, dan supply chain compromise; (5) dokumentasikan inventori aset kritikal dan ketergantungan vendor.
Untuk syarikat yang menggunakan pembekal teknologi luar negara (cloud, SaaS), perhatikan data residency. Beberapa Sektor Lead mungkin mengeluarkan keperluan data MY untuk kelas data tertentu. Audit ekspos data anda sebelum kontrak baru dijaringkan.
Kos pematuhan NCII tipikal
Berdasarkan pengalaman pasaran Malaysia 2024-2026, kos pematuhan NCII tahunan untuk entiti tipikal:
| Item | Anggaran Tahunan (RM) | Nota |
|---|---|---|
| CISO (in-house) atau vCISO | 240,000 – 600,000 | vCISO biasanya 30-50% kos in-house |
| Audit keselamatan tahunan (luar) | 60,000 – 200,000 | Bergantung skop dan kerumitan |
| Pentest tahunan | 80,000 – 500,000 | Lihat panduan harga pentest mengikut saiz |
| SOC/MDR (24/7 monitoring) | 300,000 – 2,000,000 | Daripada MDR sehingga SOC dalaman |
| Platform keselamatan (SIEM, EDR, NDR) | 200,000 – 1,500,000 | Bergantung saiz organisasi |
| Latihan kesedaran kakitangan | 30,000 – 100,000 | Termasuk simulasi phishing |
| Insurans siber | 50,000 – 500,000 | Premium berdasarkan profil risiko |
| Jumlah tipikal (PKS NCII) | ~1.0 – 2.5 juta | Bagi entiti sederhana |
| Jumlah tipikal (enterprise NCII) | ~3.0 – 6.0 juta | Bank, telco, utiliti major |
Risiko ketidakpatuhan
Penalti ketidakpatuhan Akta 854 boleh menjadi signifikan. Untuk entiti korporat, denda boleh mencapai RM500,000 untuk setiap pelanggaran. Untuk pegawai (CEO, CISO, Direktur), penalti peribadi dan/atau penjara tersedia untuk pelanggaran berat seperti kegagalan notifikasi insiden material yang menyebabkan kemudaratan. Ini sebahagian besar dengan tujuan untuk memastikan tindakan diambil di peringkat pengurusan kanan, bukan hanya pasukan IT.
Selain penalti formal, risiko reputasi dan operasi yang lebih besar: kehilangan lesen sektor (BNM, MCMC), kehilangan kontrak kerajaan (NCII non-compliant tidak boleh menyertai tender tertentu), dan tindakan undang-undang sivil dari pelanggan yang terjejas oleh insiden yang seharusnya dapat dielak.
Nota penting: Maklumat dalam artikel ini bersifat panduan umum. Organisasi disyorkan untuk merujuk teks rasmi akta, garis panduan terkini regulator (BNM, NACSA, Pesuruhjaya Perlindungan Data Peribadi) dan mendapatkan nasihat peguam atau juruaudit bertauliah sebelum membuat keputusan pematuhan.
Bacaan Lanjut & Khidmat nCrypt
Soalan Lazim
Adakah semua bank di Malaysia adalah NCII?
Bank berlesen di bawah Akta Perkhidmatan Kewangan 2013 hampir pasti diklasifikasikan sebagai NCII atau diharapkan untuk mematuhi keperluan setara. BNM berfungsi sebagai Sektor Lead dan kebanyakan keperluan RMiT sedia ada selaras dengan obligasi NCII Akta 854. Bank digital, syarikat insurans dan takaful besar juga akan dipertimbangkan.
Adakah PKS dalam sektor IT/cloud akan menjadi NCII?
Bergantung kepada saiz operasi dan keterlibatan. Penyedia cloud tier-1 yang melayan pelanggan kerajaan atau bank besar — ya. Syarikat IT consulting yang melayan beberapa pelanggan kecil — tidak mungkin sebagai NCII secara langsung, tetapi mungkin tertakluk kepada syarat vendor lapisan kedua jika pelanggan utama mereka NCII.
Bilakah saya akan menerima notis rasmi NCII?
NACSA dan Sektor Lead masing-masing menjalankan pengenalpastian dalam fasa. Jika anda dalam sektor terancang, jangka pertanyaan formal sepanjang 2026. Walaupun anda belum menerima notis, mula bersedia — jika diklasifikasikan, anda mempunyai tempoh transisi terhad untuk mencapai pematuhan penuh.
Bolehkah kami menggunakan vCISO sebagai pengganti CISO penuh masa?
Dalam fasa transisi, ya — vCISO ialah jalan praktikal untuk PKS yang baru bersedia. Walau bagaimanapun, jangkaan jangka panjang (selepas operasi NCII stabil) adalah CISO penuh masa dengan kelayakan profesional (CISSP, CISM atau setara). Sektor Lead boleh mengenakan keperluan khusus mengikut sektor.
Apa berlaku jika kami tidak menyertai latihan tabletop kebangsaan?
Penyertaan dalam latihan kebangsaan adalah obligasi formal untuk entiti NCII. Ketidakhadiran tanpa sebab boleh dianggap sebagai ketidakpatuhan dan mengundang penyiasatan. Selalunya hanya satu wakil senior diperlukan, jadi kos sebenar penyertaan adalah rendah berbanding risiko.
Bincang dengan Pasukan nCrypt
Pasukan CREST-aligned kami membantu institusi kewangan, agensi kerajaan dan PKS Malaysia merancang ujian penembusan, pematuhan dan respons insiden. Dapatkan sebut harga atau tempah perbincangan percuma hari ini.