新加坡《2018年网络安全法》修订:关键信息基础设施与临时关切系统新规将于2025年10月31日生效

知识亮点 3 November 2025

为应对网络威胁态势的持续演进与技术操作环境的动态变化,新加坡《2024年网络安全(修正)法》部分条款将于2025年10月31日正式生效,对《2018年网络安全法》(“《法案》”)实施修订。本次修订重点包括:加强对关键信息基础设施(CII)的监管以持续保障其网络威胁应对安全性与韧性,并首次引入对特定临时网络安全关切系统所有者的监管条款。

以下是2025年10月31日生效的部分修订内容要点:

适应运营环境变化

  • 扩展《法案》特定条款中“计算机”与“计算机系统”的定义,将“虚拟计算机”和“虚拟计算机系统”纳入其中。此前,“计算机”和“计算机系统”的定义限定于由专用物理硬件(如硬盘驱动器、内存及处理器芯片)构成的物理设备。新定义明确,对于虚拟化CII,其所有者应对此类系统的网络安全负责,而非提供底层物理基础设施(此类设施易被替换)的其他方。
  • 《法案》新增3A部分,对依赖第三方所有的CII持续提供基本服务的指定基本服务提供商(此类指定提供商称为“对第三方所有CII承担网络安全责任的基本服务提供商”)进行监管。这一修订将解决如下场景:基本服务提供商可能会利用第三方所有的计算机系统,因为该等方式可能更具效益或效率。在网络安全专员(“专员”)对此类提供商进行指定前,必须确认以下两点:一是该第三方所有的CII(无论位于新加坡境内或境外)对于该提供商持续提供基本服务而言必不可少;二是若该第三方所有的CII丢失或受损,将对新加坡境内基本服务的可用性造成严重不利影响。被指定的基本服务提供商仍需对其提供基本服务所依赖的计算机系统的网络安全及抗风险能力负责,且必须通过合同等具有法律约束力的承诺,确保其所依赖的系统能够达到与CII相当的网络安全标准及要求。
  • 新增第7(1A)条,允许新加坡网络安全局(“CSA”)应对境外CII支持新加坡境内基本服务的情况。根据该条款,若某一完全位于新加坡境外的计算机或计算机系统为持续提供基础服务所必需,且该系统若全部或部分位于新加坡境内则本应依据第7(1)条被指定为提供商所有的CII,CSA有权将其指定为法案管辖范围内的提供商所有CII并进行监管。需注意的是,新增的第7(1A)条并不赋予专员在新加坡境外采取任何执法行动的权力。
  • 依据《法案》第 3 部分规定,CII所有者除须额外就以下受影响事件向专员报告:(i)所有者控制范围内、与提供商所有的CII不互联且不通信的其他计算机或计算机系统;(ii)所有者的供应商控制范围内、与提供商所有的CII存在互联或通信的计算机或计算机系统。
  • 新增第3B部分,对在特定限时内面临高网络攻击风险、且一旦受损将对新加坡国家利益造成严重不利影响的计算机或计算机系统(此类被指定的系统称为“临时网络安全关切系统”(“STCC”))进行监管。专员在将某一系统指定为STCC前,必须确认以下两点:一是在特定限时内,该系统面临高网络威胁或网络事件风险;二是若该系统丢失或受损,将对新加坡的国家安全、国防、外交关系、经济、公共卫生、公共安全或公共秩序造成严重不利影响。鉴于STCC在设立时属于关键系统,在可行的情况下,第 3B 部分要求其所有者履行与CII所有者类似的网络安全义务。同时,第 3B 部分允许CSA根据运营环境及STCC的存续时限,主动采取措施提升该系统的网络安全态势。
  • 新增第 35B 条,将《法案》目前为CII所有者提供的申诉途径,扩展至第 3A 部分所涉被指定基本服务提供商及STCC所有者等主体。

强化《法案》的执行管理

为应对CSA在运营中面临的挑战,《法案》还修订了相关条款以强化执行管理:

  • 修订《法案》第15 (4) 条,赋予CSA以下权力:若专员认为CII所有者未履行义务,或其依据本法第10条要求提供的信息存在虚假、误导、不准确或不完整的情况,可对提供商所有的CII进行检查。此举将提升CSA对《法案》第3部分所监管的拒不履行义务的CII所有者的执法能力。
  • 对于依据《法案》第5部分规定提供需许可网络安全服务的主体,许可官员拥有监管权。新增条款赋予CSA进入和检查的权力,并可要求持牌网络安全服务提供商提供记录、账目及文件。若无合理理由不遵守上述要求,将构成刑事犯罪。
  • 未经专员事先书面许可,任何人使用CSA已公告的标识或表征,均构成犯罪。
  • 对于依据《法案》相关部分规定需采取特定行动的主体,若专员认为存在充分合理的理由,可批准其延期履行该行动。

许可官员对提供需许可网络安全服务的机构享有监管权限

尚未生效的《法案》修订内容

《2024年网络安全(修正)法》将对现行《法案》作出若干尚未生效的修订,具体包括:

  • 《法案》新增第C部分引入的第3C部分将允许CSA对特定指定实体进行监管。该类实体因其计算机系统中存有敏感信息,或其所控计算机系统承担关键职能(一旦运行受阻将对新加坡国防、国际关系、经济、公共卫生、公共安全或社会秩序造成重大不利影响),可能成为恶意威胁行为者的重点攻击目标。(此类受监管实体称为“特殊网络安全关切实体”(“ESCIs”))。为避免无意中将这些实体列为恶意行为者的攻击目标,ESCIs的指定名单将不对外公开。
  • 《法案》新增D部分引入的3D部分将允许CSA对被指定的主要基础数字基础设施(“FDI”)服务提供商进行监管。此类提供商为大量企业或机构提供服务,而对监管成本更为敏感的小型服务商将不纳入监管范围。主要FDI服务提供商必须是提供新增第三附表所载明的FDI服务的主体。初期,第三附表将涵盖云计算服务及数据中心设施服务。主要FDI服务提供商需就以下特定网络安全事件进行报告:此类事件导致其在新加坡境内的FDI服务中断或质量下降,或对其在新加坡境内的业务运营产生重大影响。
  • 修订处罚制度:经检察官同意后,专员可灵活选择向法院提起民事诉讼,要求违法主体承担民事处罚责任。在向检察官提出建议时,CSA将综合考虑多种因素,包括不遵守义务所产生的风险、情节严重程度及案件具体事实。目前,针对不履行CII相关法定义务的行为,主要通过刑事处罚予以追究。

查看更多观点