Adakah Syarikat Anda Tersenarai Sebagai NCII di Bawah Akta 854?
National Critical Information Infrastructure (NCII) ialah konsep utama di bawah Akta Keselamatan Siber 2024. Artikel ini menerangkan definisi umum NCII, sektor yang berkemungkinan disenarai, dan obligasi yang biasanya dijangka daripada entiti yang ditetapkan. Penetapan rasmi dibuat oleh pihak berkuasa di bawah akta — organisasi disyorkan untuk merujuk panduan rasmi NACSA dan regulator sektor mereka untuk pengesahan.
Apa itu NCII?
Berdasarkan panduan rasmi NACSA, National Critical Information Infrastructure (NCII) merujuk kepada komputer atau sistem komputer yang ketidakfungsian, kemusnahan atau kompromi mereka boleh menjejaskan dengan ketara perkhidmatan kebangsaan kritikal, ekonomi, keselamatan awam atau pertahanan.
Konsep NCII bukan unik kepada Malaysia — banyak negara mempunyai rangka kerja setara (CNI di UK, KRITIS di Jerman, NIS2 di EU). Walaupun butiran berbeza, prinsip dasarnya sama: melindungi sistem yang kegagalannya membawa kesan rantaian kepada masyarakat.
Sektor yang berkemungkinan disenarai sebagai NCII
Senarai sektor di bawah adalah berdasarkan panduan rasmi yang diterbitkan dan amalan antarabangsa. Penetapan akhir entiti NCII tertentu dibuat oleh pihak berkuasa sektor di bawah Akta 854.
- Perkhidmatan kewangan dan perbankan
- Telekomunikasi dan multimedia
- Tenaga (elektrik, minyak dan gas)
- Penjagaan kesihatan
- Pengangkutan (penerbangan, pelabuhan, rel)
- Sektor kerajaan
- Bekalan air dan pembentungan
- Pertahanan dan keselamatan negara
- Makanan dan pertanian
- Hartanah berstrategi dan logistik
- Perkhidmatan kecemasan
Obligasi umum entiti NCII
Walaupun butiran spesifik akan ditetapkan dalam peraturan pelaksanaan dan kod amalan, obligasi umum yang dijangka daripada entiti NCII termasuk: pelantikan pegawai keselamatan siber, polisi keselamatan bertulis, audit keselamatan berkala, ujian keselamatan, pelan respons insiden, dan pelaporan insiden material kepada pihak berkuasa.
Banyak obligasi ini sudah biasa kepada institusi kewangan di bawah BNM RMiT. Bagi sektor lain (cth pengilangan kritikal, kesihatan, utiliti), tahap kematangan keselamatan siber berbeza-beza dan memerlukan pelaburan persediaan yang lebih ketara.
Audit dan pelaporan
Entiti NCII biasanya dijangka menjalankan audit keselamatan berkala oleh juruaudit bertauliah, dengan keputusan dilaporkan kepada pihak berkuasa sektor. Insiden material — terutama yang berpotensi menjejaskan perkhidmatan awam — dijangka dilaporkan dalam jangka masa yang ditetapkan.
Format pelaporan dan ambang material harus dirujuk kepada panduan rasmi yang dikeluarkan oleh NACSA dan regulator sektor.
Bagaimana menentukan sama ada anda berkemungkinan NCII
Beberapa soalan panduan untuk menilai sendiri: Adakah perkhidmatan kami penting untuk operasi harian masyarakat atau ekonomi? Adakah gangguan kami akan menjejaskan ramai orang atau perkhidmatan kerajaan? Adakah kami sudah berada di bawah penyeliaan regulator sektor (BNM, MCMC, KKM, dll)?
Jika jawapannya 'ya' kepada mana-mana soalan ini, organisasi anda berkemungkinan dipertimbangkan sebagai NCII. Persediaan awal — gap assessment, peta jalan pematuhan, pelantikan CISO — sangat disyorkan.
Nota penting: Maklumat dalam artikel ini bersifat panduan umum. Organisasi disyorkan untuk merujuk teks rasmi akta, garis panduan terkini regulator (BNM, NACSA, Pesuruhjaya Perlindungan Data Peribadi) dan mendapatkan nasihat peguam atau juruaudit bertauliah sebelum membuat keputusan pematuhan.
Bagaimana nCrypt boleh membantu
nCrypt Malaysia menyediakan readiness assessment khusus untuk entiti yang berkemungkinan NCII. Kami memetakan jurang terhadap kawalan yang dijangka, menyediakan dokumentasi tadbir urus, dan menyokong audit oleh pihak ketiga.
Bacaan Lanjut & Khidmat nCrypt
Soalan Lazim
Adakah subsidiari syarikat NCII juga NCII?
Bergantung kepada peranan subsidiari. Jika subsidiari menjalankan operasi kritikal (cth pemprosesan pembayaran untuk bank), ia berkemungkinan dikenal pasti. Konsultasi dengan regulator sektor disyorkan.
Adakah pembekal vendor kepada NCII juga tertakluk?
Pembekal vendor mungkin tertakluk secara tidak langsung melalui kontrak (kawalan minimum, hak audit). Sesetengah vendor kritikal mungkin ditetapkan sebagai NCII secara berasingan.
Berapa lama proses persediaan NCII?
Bergantung kepada kematangan sedia ada. Organisasi dengan ISO 27001 atau pematuhan RMiT mungkin memerlukan 3-6 bulan; organisasi yang baru bermula mungkin memerlukan 12-18 bulan.
Bincang dengan Pasukan nCrypt
Pasukan CREST-aligned kami membantu institusi kewangan, agensi kerajaan dan PKS Malaysia merancang ujian penembusan, pematuhan dan respons insiden. Dapatkan sebut harga atau tempah perbincangan percuma hari ini.