Syarat Pelesenan Wajib Pembekal Keselamatan Siber NACSA
Di bawah Akta Keselamatan Siber 2024, kategori pembekal perkhidmatan keselamatan siber tertentu di Malaysia memerlukan pelesenan daripada NACSA. Artikel ini menerangkan kategori perkhidmatan yang biasanya tertakluk, proses permohonan umum, kepentingan memilih pembekal berlesen dan implikasi kepada vendor asing. Maklumat di bawah berasaskan panduan awam — pembekal dan pelanggan disyorkan untuk merujuk portal NACSA untuk butiran terkini.
Mengapa pelesenan diperkenalkan?
Pasaran perkhidmatan keselamatan siber Malaysia telah berkembang pesat tetapi dengan kualiti yang tidak konsisten. Akta Keselamatan Siber 2024 memperkenalkan rejim pelesenan untuk memastikan pembekal memenuhi piawaian kompetensi minimum dan tertakluk kepada penyeliaan formal.
Pelesenan memberi manfaat kepada pelanggan: jaminan tahap kelayakan minimum penguji, akauntabiliti formal, dan saluran rasmi untuk aduan. Bagi pembekal yang berkomitmen, pelesenan adalah kelebihan kompetitif yang membezakan mereka daripada operator amatur.
Kategori perkhidmatan yang biasanya tertakluk pelesenan
Berdasarkan panduan rasmi NACSA, kategori perkhidmatan yang biasanya memerlukan pelesenan termasuk:
- Ujian penembusan (penetration testing) dan red teaming
- Perkhidmatan keselamatan terurus (Managed Security Services / MSS)
- Respons insiden dan forensik digital
- Mungkin lain — rujuk senarai rasmi NACSA
Proses permohonan umum
Walaupun butiran prosedur perlu dirujuk dari portal NACSA, proses permohonan biasa melibatkan: (1) penyediaan dokumentasi syarikat, (2) bukti kelayakan kakitangan teknikal (CREST, OSCP, GIAC), (3) bukti polisi dan prosedur dalaman, (4) penyerahan permohonan dan yuran, (5) semakan oleh NACSA, dan (6) penerbitan lesen.
Tempoh proses dan keperluan dokumentasi mungkin berbeza-beza. Pembekal disyorkan untuk memulakan persediaan awal — banyak elemen (polisi, sijil staf) berguna walaupun tidak diperlukan untuk lesen.
Kepentingan memilih pembekal berlesen
Pelanggan korporat — terutama yang dalam sektor regulasi atau NCII — disyorkan untuk hanya menggunakan pembekal yang berlesen atau dalam proses pelesenan. Mengupah pembekal tidak berlesen boleh membawa risiko: hasil ujian mungkin tidak diterima oleh juruaudit, kontrak boleh dicabar, dan obligasi pematuhan organisasi pelanggan boleh terjejas.
Pengesahan status lesen seharusnya menjadi sebahagian daripada proses procurement dan due diligence vendor.
Nota penting: Maklumat dalam artikel ini bersifat panduan umum. Organisasi disyorkan untuk merujuk teks rasmi akta, garis panduan terkini regulator (BNM, NACSA, Pesuruhjaya Perlindungan Data Peribadi) dan mendapatkan nasihat peguam atau juruaudit bertauliah sebelum membuat keputusan pematuhan.
Kesan kepada vendor asing
Vendor asing yang membekalkan perkhidmatan keselamatan siber kepada pelanggan di Malaysia mungkin terkesan oleh rejim pelesenan. Beberapa pendekatan biasa: (a) mendaftar entiti tempatan dan memohon lesen, (b) bekerjasama dengan rakan kongsi tempatan yang berlesen, atau (c) menghadkan skop perkhidmatan kepada aktiviti yang tidak tertakluk.
Pelanggan disyorkan untuk berunding dengan vendor asing tentang strategi pematuhan mereka sebelum memuktamadkan kontrak jangka panjang.
Status nCrypt Malaysia
nCrypt Malaysia komited kepada pematuhan penuh dengan rangka kerja pelesenan NACSA. Sila rujuk halaman /company/certifications untuk status terkini dan akreditasi syarikat dan kakitangan kami.
Bacaan Lanjut & Khidmat nCrypt
Soalan Lazim
Adakah penguji individu juga perlu berlesen?
Rangka kerja pelesenan utama menyasarkan entiti syarikat. Penguji individu biasanya menunjukkan kompetensi melalui sijil profesional seperti CREST, OSCP atau GIAC.
Bolehkah kami menggunakan freelancer untuk pentest?
Risiko tinggi dari segi pematuhan dan kualiti. Pelanggan dalam sektor regulasi disyorkan untuk hanya menggunakan syarikat berlesen dengan insurans profesional yang mencukupi.
Bagaimana mengesahkan lesen pembekal?
Portal NACSA menyediakan saluran pengesahan. Pelanggan juga harus meminta salinan lesen dan sijil profesional kakitangan dalam proses procurement.
Bincang dengan Pasukan nCrypt
Pasukan CREST-aligned kami membantu institusi kewangan, agensi kerajaan dan PKS Malaysia merancang ujian penembusan, pematuhan dan respons insiden. Dapatkan sebut harga atau tempah perbincangan percuma hari ini.