Singapur verfügt bereits über eine strenge staatliche Aufsicht über die kritische Technologieinfrastruktur. Die Gemeinde will diese Aufsicht nun auch auf andere „wichtige“ Anbieter von Informationstechnologie ausweiten. Singapur arbeitet an einer Änderung des 2018 verabschiedeten Cybersecurity Act, um Drittunternehmen, die kritische Technologiedienste anbieten, neue Verpflichtungen aufzuerlegen. Das asiatische Land hat eine öffentliche Konsultation zu den Änderungen eingeleitet und über einen Zeitraum von einem Monat bis zum 15. Januar 2024 um Feedback gebeten.
Das bestehende Cyber Security Act gibt der Cyber Security Authority of Singapore (CSA) die Befugnis, die nationale Cybersicherheit Singapurs zu überwachen. Den vorgeschlagenen Änderungen zufolge haben sich die Cyber-Bedrohungslandschaft und das Geschäftsumfeld seit Inkrafttreten des Gesetzes kontinuierlich weiterentwickelt. Singapur hat sich zu einem der am stärksten digital vernetzten Länder der Welt entwickelt, was zu einer erhöhten Nachfrage nach Konnektivität, Computer und Datenspeicherung führt.
Diese sich ändernden Anforderungen führen zu neuen Überlegungen zur Cybersicherheit und zur staatlichen Regulierung. Während die CSA zuvor Plattformen für kritische Informationsinfrastrukturen (CII) regulierte, beabsichtigt sie nun, die Leitlinien zur Cybersicherheit auf „andere kritische Systeme und Infrastrukturen“ auszuweiten. Das Cybersecurity Act identifiziert insbesondere Energie, Wasser, Bank- und Finanzwesen, Gesundheitswesen, Landverkehr, Seeverkehr, Luftfahrt, Regierung, Information und Kommunikation, Medien sowie Sicherheits- und Notfalldienste als CII-Dienstleister.
Mit den vorgeschlagenen Änderungen des Cybersecurity-Gesetzes wird neben CII-Diensten eine neue Kategorie der „zugrunde liegenden digitalen Infrastruktur“ eingeführt. Es wird erwartet, dass diese neue Kategorie Rechenzentren und Cloud-Computing-Dienste umfasst, die in Singapur betrieben werden. Betreiber grundlegender Infrastrukturen sind verpflichtet, den singapurischen Behörden zusätzliche Zusicherungen zu geben, einschließlich der kontinuierlichen Bereitstellung von Diensten und der wirksamen Prävention von Cybervorfällen.
Die CSA möchte außerdem, dass Anbieter grundlegender Infrastruktur Cyberangriffe innerhalb weniger Stunden melden und den Forderungen von Kommissar David Koh, einschließlich Anfragen nach Audits und der Bereitstellung von Informationen zum Rechenzentrumsdesign, schnell nachkommen. Die Änderung ermächtigt die CSA, Vor-Ort-Inspektionen durchzuführen, um die Einhaltung der neuen Vorschriften zu überprüfen.
Wie in den Änderungen dargelegt, werden Organisationen, die sich nicht daran halten, mit Geldstrafen oder anderen Strafen belegt. Temporäre Systeme, wie sie beispielsweise für Großveranstaltungen eingesetzt werden, müssen ein Jahr lang ähnliche Regeln einhalten. CSA lädt die Öffentlichkeit und Interessenvertreter ein, online über das Cybersecurity (Amendment) Bill Feedback Form Feedback zu geben.