Cyber ​​sécurité à Hong Kong – Lexologie ® mutuelle santé entreprise

L’assurance des risques informatiques

Cette sang-froid indispensable aux sociétés qui manient de nombreuses données informatiques (SSII, cabinets de conseil, cabine de voyage, les agences de vente en ligne) couvre ordinateurs par contre aussi les soubassement de données et frais de reconstitution si elles sont perdues ou endommagées. “Même un industriel confronté à une grosse panne informatique risque d’être sanctionné pour tenir ses serment vis-à-vis de ses clients ne pas avoir la possibilité de réaliser ses livraisons en temps et en heure. Quelle que soit son activité, le dirigeant d’essai a intérêt à évaluer l’impact que peut avoir l’informatique sur son métier”, recommande Damien Palandjian.

Le montant de l’indemnisation dépend de les chiffres du matériel déclaré et des frais occasionnés chez son rachat et la reconstitution des données (ressaisies, reconstitution de logiciels, suppression des virus…) estimés par un expert.

Publicité
La publicité se termine dans 15s
Fermer la publicité dans 5 s
>> Lire aussi: Trois contrats pour assurer son informatique

5. L’assurance du risque environnemental

“Une entreprise n’ayant pas de orientation industriel et pourquoi pas d’entreposage et non nympho à une autorisation préfectorale pour les risques de pollution, couvrir son risque écologique selon le biais de son contrat de responsabilité civile général. En revanche, dans l’hypothèse ou elle est nympho à autorisation préfectorale pour exercer son activité, doit souscrire un contrat spécifique pour couvrir atteintes à l’environnement”, précise Damien Palandjian

Les garanties des atteintes à l’environnement (extensions de responsabilité civile pro ou bien contrats spécifiques tel que la garantie responsabilité environnementale) sont exigé aux entreprises de laquelle l’activité peut choquer à l’environnement (pollution de l’air, de l’eau, des examiner et nappes phréatiques, atteintes à des sites protégés…). Ces cran s’appuient sur le principe du “pollueur-payeur” : le chef d’ouvrage réparer le préjudice constaté, causé dans sa société. Suivant contrats, la certification couvre la dépollution, les coûts d’évaluation des dommages, la façonnage d’études pour déterminer les actions de réparation et les frais administratifs ou bien judiciaires.

Le système juridique

Législation

Résumez les principales lois et réglementations qui favorisent la cybersécurité. Avez-vous des lois sur la cybersécurité dans votre juridiction?

Hong Kong n'a pas de statut spécifique traitant spécifiquement de la cybersécurité. Cependant, l'ordonnance PDPO (Personal Data (Privacy) Order) et les directives publiées par le Bureau de la Commission de la protection des données personnelles sont importantes en ce qui concerne les problèmes de confidentialité des données personnelles. En outre, diverses ordonnances couvrent un large éventail de cybercrimes (voir Champ d'application et juridiction) et les régulateurs de certains secteurs ont publié des lignes directrices, des circulaires ou des guides de bonnes pratiques, etc., liés à la cybersécurité.

Quels secteurs économiques de votre juridiction sont les plus soumis aux lois et réglementations en matière de cybersécurité?

Les secteurs de la banque, des valeurs mobilières, des assurances et de la santé publique, et le secteur public en général à Hong Kong, ont donné l'exemple dans les initiatives de cybersécurité sous la forme de lignes directrices et de codes de pratique.

Au cours des dernières années, l'Autorité monétaire de Hong Kong (HKMA) a publié diverses directives de cybersécurité non contraignantes à l'intention des agences de proxy. 2016 Il a lancé le système d'évaluation de la cybersécurité (C-RAF) dans le cadre de la Cybersecurity Initiative, qui exige que toutes les autorités procèdent à une évaluation des risques de cybersécurité et à un test de cyberattaque simulé. En outre, parallèlement aux progrès technologiques, la HKMA a publié des directives complètes sur la cybersécurité concernant, entre autres, l'utilisation d'outils de valeur protégés, les systèmes bancaires électroniques et l'intelligence artificielle (IA).

De même, la Securities and Futures Commission (SFC) a publié des lignes directrices et des circulaires relatives à la cybersécurité, y compris des lignes directrices pour réduire et réduire le risque de piratage dans le commerce en ligne (Internet Trading Guidelines), qui décrivent 20 exigences de cybersécurité initiales pour les personnes enregistrées ou autorisées par SFC. les entités engagées dans le commerce en ligne (la HKMA a également autorisé les autorités autorisées à l'indiquer dans la fourniture de services de commerce en ligne). SFC a également publié des directives spécifiques pour les nouvelles technologies, telles que celles liées à l'utilisation du stockage de données électroniques externes (par exemple, les clouds publics et privés).

Récemment, l'Insurance Authority (IA) a publié des directives sur la cybersécurité (GL20), qui sont entrées en vigueur en 2020. 1er janvier Le GL20 établit des normes minimales de cybersécurité qui doivent être respectées par les assureurs agréés (sauf les assureurs et mutuelles maritimes). relation avec leur activité d'assurance.

Dans le domaine de la santé publique, le commissaire aux dossiers de santé électroniques a publié des codes de pratique concernant l'utilisation des systèmes électroniques de partage des dossiers de santé (eHRSS) par les prestataires de soins de santé et les professionnels de la santé. EHRSS est un système financé par le gouvernement qui permet aux fournisseurs de soins de santé publics ou privés enregistrés d'accéder et de partager les dossiers de santé électroniques des patients.

Enfin, le Bureau du dirigeant principal de l'information du gouvernement (OGCIO) a émis diverses recommandations sur les contrôles et les mesures de cybersécurité applicables à divers bureaux et départements du gouvernement.

Votre juridiction a-t-elle adopté des normes internationales de cybersécurité?

Les normes internationales de cybersécurité ne sont pas obligatoires, bien que le gouvernement et divers régulateurs aient encouragé l'adoption volontaire de ces normes.

Les normes internationales ont été abordées par les régulateurs dans leurs directives de cybersécurité. Par exemple, la HKMA a proposé une liste de normes internationales (telles que ISO 27001: 2013 et les objectifs de contrôle des technologies de l'information et des technologies connexes) en tant que «référentiels de confiance» permettant aux organismes autorisés de concevoir et d'évaluer leurs propres contrôles de cybersécurité. Le GL20 suggère également que les assureurs pourraient développer leur propre stratégie de cybersécurité basée sur des normes telles que ISO 27001: 2013 et le Critical Infrastructure Cybersecurity Improvement System (publié par le National Institute of Standards and Technology des États-Unis).

Quelles sont les responsabilités du personnel et des directeurs responsables pour tenir l'organisation suffisamment informée sur la sécurité des réseaux et des données, et comment peuvent-ils être responsables d'une cybersécurité inadéquate?

Dans le secteur des assurances, le GL20 indique clairement que le conseil d'administration de l'assureur (ainsi que l'équipe de direction désignée, le cas échéant) est responsable de la supervision et de l'application des mesures et contrôles de cybersécurité. Pour informer le conseil d'administration (et l'équipe) de l'adéquation de ces mesures, le GL20 nécessite, entre autres, la mise en œuvre d'outils de contrôle systématique, y compris l'audit interne et externe, les tests et la surveillance du réseau, ainsi que l'examen de tous les éléments du système de cybersécurité. au moins une fois par an. En particulier, le GL20 déclare que le non-respect de ses exigences affectera le jugement du PV quant à savoir si les administrateurs ou les contrôleurs de l'assureur sont "aptes et appropriés".

La circulaire HKMA sur la gestion des risques de cybersécurité souligne également que les conseils d'administration et les cadres supérieurs autorisés par l'autorité sont chargés de superviser la gestion des risques de cybersécurité. En particulier, le CRU charge la haute direction d'évaluer périodiquement l'adéquation des contrôles de cybersécurité détenus par l'Autorité (en tenant compte des nouvelles cybermenaces et des normes internationales) et de faire rapport périodiquement sur tout risque de cybersécurité. identifié.

Enfin, les directives de négociation Internet SFC exigent que les responsables ou les cadres supérieurs des entités autorisées soient responsables de la supervision globale de la gestion des risques de cybersécurité des systèmes de négociation en ligne respectifs. En particulier, ils établissent, entre autres, un suivi des menaces et incidents de cybersécurité émergents et un aperçu des résultats des audits de cybersécurité externes et internes.

Comment votre juridiction définit-elle la cybersécurité et la cybercriminalité?

Bien que la cybersécurité ne soit définie dans aucune loi, le GL20 fournit la définition suivante de la cybersécurité: «stratégies, stratégies, normes, pratiques, technologies et innovations liées à la sécurité des systèmes et des opérations des assureurs par procuration qui peuvent couvrir tout l'éventail de l'atténuation des menaces. telles que la réduction de la vulnérabilité, la dissuasion, la présence internationale, la réponse aux incidents, la résilience et les activités de rétablissement. "

Il n'y a pas de définition commune de la cybercriminalité. Voir aussi: «Portée et compétence» pour fournir des définitions statutaires de certains types de cybercriminalité.

Quelles sont les garanties minimales que les organisations doivent mettre en place pour protéger les systèmes de données et de technologie de l'information contre la cyberintimidation?

Il n'y a pas de garanties minimales nécessaires auxquelles les entreprises doivent se conformer, mais les principes de protection des données PDPO sont importants lors de l'utilisation des données personnelles. En particulier, le PDPO DPP 4 (1) prévoit spécifiquement que l'utilisateur des données doit prendre toutes les mesures raisonnables pour protéger ses données personnelles contre tout accès, traitement, suppression, perte ou utilisation non autorisé ou accidentel, en tenant compte de facteurs tels que: le type de données et le niveau des dommages qui pourraient résulter des événements ci-dessus. 2019 Juin Dans un rapport d'enquête publié sur le PCPD, le PCPD a constaté que l'utilisateur des données avait violé DPP4 (1), notamment en omettant de fournir une authentification multifactorielle efficace et en créant une base de données chiffrée pour les utilisateurs d'accès à distance. fichiers de sauvegarde après le transfert de données personnelles.

Les directives spécifiques à l'industrie fournissent également des normes minimales pour la cybersécurité. Par exemple, les directives SFC pour le commerce en ligne exigent qu'une société de négoce en ligne agréée doit au moins:

  • implémenter l'authentification à deux facteurs lorsque les clients se connectent à leurs comptes de trading en ligne;
  • adopter un mécanisme de suivi pour détecter les accès non autorisés aux comptes clients;
  • Avertir les clients lorsque le compte d'un client a fait l'objet d'une certaine activité (comme effectuer un échange ou modifier les informations de compte);
  • Chiffrez certaines données sensibles (telles que votre ID utilisateur et votre mot de passe) et
  • Déployez une infrastructure réseau sécurisée, telle que des pare-feu à plusieurs niveaux pour protéger les systèmes critiques et les données client.

De même, le module TM-E-1 du Manuel de politique de surveillance de la HKMA sur la gestion électronique des risques bancaires (guide eBanking), révisé en 2019. Octobre prévoit que les institutions agréées offrant des services bancaires électroniques doivent au moins:

  • Effectuer une authentification à deux facteurs au moins une fois par session de connexion client avant de lancer des transactions à haut risque (par exemple, des transferts de fonds vers des destinataires tiers non enregistrés ou des transferts en ligne dépassant 10000 HK $ par jour);
  • implémentez des contrôles et des équilibres sur vos systèmes pour rapprocher les équilibres des fichiers de données après la reprise d'une opération;
  • créer une infrastructure Internet sécurisée (par exemple avec des contrôles de détection d'intrusion); et
  • utiliser des outils de chiffrement sécurisés et internationalement reconnus pour protéger les informations des clients transmises sur des réseaux externes (comme Internet) et les informations sensibles telles que les informations d'identification des clients lorsqu'elles sont stockées ou transmises sur des réseaux internes.

Portée et juridiction

Votre juridiction a-t-elle des lois ou des règlements régissant les compensations de propriété intellectuelle?

Non.

Votre juridiction dispose-t-elle de lois ou de réglementations traitant spécifiquement des cybermenaces dans les infrastructures critiques ou des secteurs spécifiques?

Il n'y a pas de lois ou de règlements traitant spécifiquement des cybermenaces contre les infrastructures critiques. La "législation" traite des lignes directrices traitant spécifiquement des cybermenaces dans les secteurs des banques, des valeurs mobilières et des assurances et du secteur public.

En ce qui concerne le secteur de la santé publique, le code de bonnes pratiques pour l'utilisation des dossiers de santé électroniques publié par la Commission des dossiers de santé électroniques oblige les prestataires de soins de santé à mettre en œuvre certaines mesures de cybersécurité pour lutter contre le traitement de la cyberintimidation dans les eHRSS contenant des informations sensibles sur la santé des patients. :

  • appliquer les derniers correctifs de sécurité aux systèmes informatiques et aux logiciels;
  • s'assurer que les utilisateurs autorisés se déconnectent après utilisation;
  • enregistrer et gérer les droits d'accès pour les utilisateurs autorisés;
  • effectuer des vérifications ou des enquêtes sur le SSDSE, le cas échéant, en collaboration avec le service de dossier de santé électronique (bureau du DSE); et
  • signaler les incidents de cybersécurité suspectés au Bureau du DSE dès que possible.

Existe-t-il des lois ou des réglementations en matière de cybersécurité dans votre juridiction qui restreignent spécifiquement l'échange d'informations sur la sécurité des sites Web?

Non, sauf si des informations personnelles sont utilisées dans l'échange d'informations respiratoires électroniques (par exemple, des messages enregistrés concernant une personne dont il est raisonnablement possible d'identifier la personne impliquée), alors les exigences PDPO doivent être respectées. Les banques sont également tenues de garder confidentielles leurs données client (que leur client soit une entreprise ou un particulier), et autant que toutes les données sur les sites Web contiennent des données client, elles ne doivent pas être partagées sans le consentement du client. Dans l'intervalle, les régulateurs ont encouragé l'échange d'informations sur la cybersécurité dans et entre les secteurs afin de renforcer les précautions en matière de cybersécurité (voir «Partage d'informations»).

Quelles sont les principales sanctions contre la cybercriminalité en vertu des lois de votre juridiction?

Bien qu'il n'y ait pas de disposition générale sur la cybercriminalité, il existe les dispositions diffusées suivantes:

  • l'obtention d'un accès non autorisé à un ordinateur par le biais des télécommunications (article 27A de l'ordonnance sur les télécommunications), passible d'une amende pouvant aller jusqu'à 25 000 HK $;
  • l'accès non autorisé à un ordinateur qui a une intention criminelle ou frauduleuse de tirer profit ou de nuire à un autre (article 161 du Code pénal), passible d'une peine d'emprisonnement pouvant aller jusqu'à cinq ans;
  • divulgation de données personnelles sans le consentement de l'utilisateur des données afin de causer ou de causer un préjudice à autrui ou de causer un préjudice psychologique à la personne concernée malgré le consentement (article 64 PDPO), passible d'une amende de HK Million USD et d'une peine pouvant aller jusqu'à cinq ans d'emprisonnement; et
  • la destruction ou les dommages matériels, y compris l'utilisation abusive de tout programme informatique ou des données contenues dans un ordinateur (articles 59 et 60 du Code pénal), passible d'une peine pouvant aller jusqu'à 10 ans d'emprisonnement.

Comment votre juridiction a-t-elle relevé les défis de sécurité de l'information du cloud computing?

2019 31 octobre SFC a publié une Circulaire pour les sociétés sous licence – Utilisation du stockage électronique externe des données (Circulaire de circulation des données électroniques), qui définit, entre autres, les exigences pour les sociétés agréées de s'engager dans les informations sur les transactions des clients et des entreprises par le biais d'un fournisseur de stockage de données externe (EDSP), y compris des services cloud publics et privés , par exemple:

  • due diligence sur la gestion interne du CEPD, la sécurité de l'infrastructure du réseau et la sous-traitance;
  • veiller à ce que le CEPD protège les informations protégées contre toute divulgation non autorisée ou par inadvertance;
  • définir et définir clairement les responsabilités de la société agréée et de l'EDSP (en particulier les fournisseurs de cloud public qui partagent inévitablement les informations et les contrôles de sécurité avec les utilisateurs); et
  • intégration des dispositions du contrat relatif à l'EDSP dans les procédures de transfert de données de l'EDSP vers les locaux de la société agréée lors de la résiliation.

En outre, si une société agréée gère ses dossiers réglementaires uniquement par le biais du CEPD, elle doit, entre autres, demander l'approbation de SFC conformément à l'article 130 de la Securities and Future Order relative au centre de données utilisé par le CEPD pour le stockage de données. entrées normatives.

De même, OGCIO 2018 Juillet A publié un guide pratique de la sécurité informatique dans le cloud à l'intention de divers services et départements gouvernementaux. En particulier, le guide indique qu'un certain nombre de normes internationales, telles que ISO / IEC 27017: 2015 (Code de bonnes pratiques pour le contrôle de la sécurité de l'information basé sur ISO / IEC 27002, Cloud Services) et 27040: 2015 (Storage Security), sont requises. son application.

Comment les lois sur la cybersécurité de votre juridiction affectent-elles les organisations étrangères faisant des affaires dans votre juridiction? Les obligations réglementaires sont-elles les mêmes pour les organisations étrangères?

Les directives réglementaires pertinentes en matière de cybersécurité s'appliquent aux organisations étrangères de la même manière. Il peut y avoir de légères différences, par exemple, dans le niveau d'application (par exemple, les HKMA effectuent généralement des inspections sur place au moins une fois par an dans les grands bureaux locaux et tous les quatre à cinq ans dans les bureaux à l'étranger) et qui a des responsabilités de supervision de la cybersécurité (par exemple tandis que la HKMA établit la responsabilité du conseil d'administration des entités autorisées à l'étranger ou d'un comité désigné au niveau du conseil), les entités à l'étranger sont une autorité autorisée dont la haute direction locale est supervisée par le siège ou le siège régional).

Bonne pratique

Une protection accrue

Les autorités recommandent-elles une protection supplémentaire en matière de cybersécurité au-delà des exigences légales?

Compléter les normes minimales pour les directives de commerce en ligne, SFC 2017 27 octobre Publication d'une circulaire intitulée "Bonnes pratiques de gestion des risques industriels et de cybersécurité" (Pratiques de gestion des risques informatiques), qui fournit une liste des pratiques de cybersécurité supplémentaires des entités agréées. e-commerce, par exemple:

  • catégoriser les réseaux Internet en différents segments en fonction des contrôles d'accès requis pour les données stockées dans ou connectées à chaque classe;
  • établissement des contrôles de sécurité initiaux applicables aux différentes classifications de données;
  • effectuer une modélisation régulière des cyberattaques et une évaluation indépendante des systèmes Internet; et
  • inclure certaines clauses dans les contrats des fournisseurs, telles que la destruction des données lors de la résiliation et les critères d'escalade des incidents de cybersécurité.

De plus, en 2019. 1 novembre HKMA a publié des principes d'intelligence artificielle de haut niveau en réponse à l'utilisation croissante de l'IA et des applications d'analyse des mégadonnées par les banques de Hong Kong. HKMA attend des banques qu'elles mettent en œuvre ces principes proportionnellement au niveau de risque lié à l'application du programme d'IA. Entre autres choses, les principes obligent les banques à mettre en place des garanties efficaces de protection des données, telles que l'utilisation de données sanitaires à la place des données personnelles liées aux applications d'IA.

Comment le gouvernement encourage-t-il les organisations à améliorer leur cybersécurité?

Office de l'innovation et de la technologie 2016 Novembre Offert des subventions aux entreprises de toutes tailles pour mettre en œuvre des mesures de cybersécurité (sous réserve de certaines exigences) dans le cadre du programme de bons technologiques. Il a également travaillé avec Hong Kong Online Registration Corporation Limited pour fournir un site Web gratuit. services de numérisation pour les petites et moyennes entreprises. Elle a supervisé une plateforme de collaboration et de partage d'informations sur la cybersécurité qui permet aux organisations de partager leurs connaissances en matière de cybersécurité.

En outre, le centre de coordination de l'équipe d'intervention d'urgence informatique de Hong Kong fournit gratuitement des services d'assistance téléphonique 24h / 24 aux organisations pour signaler les incidents de cybersécurité et fournir des recommandations sur la manière de réagir.

Identifier et décrire les principales normes et codes de pratique de l'industrie qui promeuvent la cybersécurité. Où peuvent-ils être atteints?

Les directives importantes émises par HKMA sont les suivantes:

Les directives importantes publiées par SFC comprennent:

Les directives importantes publiées par l'IA sont les suivantes:

D'autres directives importantes incluent:

Les meilleures pratiques et procédures de traitement des violations sont-elles généralement recommandées?

Les lignes directrices publiées par le PCPD sur la gestion et le signalement des violations de données (Guide sur les violations) fournissent les meilleures pratiques généralement applicables pour répondre aux violations de données, telles que la notification des PCPD, des personnes concernées et d'autres organismes de réglementation et parties concernés. (comme les sociétés en ligne) dès que nous détectons une violation et conservons toutes les preuves d'une violation des données pour faciliter les futures enquêtes et actions correctives.

Il convient également de noter les meilleures pratiques sectorielles. Par exemple, la circulaire HKMA sur la protection des données clients prévoit qu'en cas de vol, de perte ou de fuite de données client, les autorités devraient informer les clients concernés (et fournir une justification lorsqu'elles décident de ne pas le faire), prendre des mesures correctives immédiates, et beaucoup. Si les clients sont concernés, envisagez de faire une annonce publique pour informer les clients de l'événement et de son action corrective. En outre, selon son manuel bancaire électronique, si un incident de cybersécurité entraîne une interruption d'un service bancaire électronique critique, la HKMA attend des autorités qu'il publie un communiqué de presse peu après le début de la perturbation.

L'IAS GL20 exige également des assureurs confrontés à un incident de cybersécurité qu'ils signalent aux parties prenantes internes et externes (voir Politique et procédure), en plus d'une évaluation d'impact, et qu'ils identifient et corrigent tout défaut de cybersécurité après la stabilisation des opérations . De même, la pratique de gestion des risques informatiques recommande un examen de l'abattage par des spécialistes indépendants ou externes en cas d'incidents de sécurité majeurs impliquant les services de trading en ligne de l'entité autorisée.

Partage d'informations

Décrivez les pratiques et procédures d'échange volontaire d'informations sur la cyberintimidation dans votre juridiction. Existe-t-il des incitations légales ou politiques?

Les régulateurs de l'industrie à Hong Kong ont mis en place des plateformes de partage des connaissances liées à la cyberintimidation. Dans le secteur bancaire, par exemple, la HKMA s'est associée à la Hong Kong Banking Association pour lancer une initiative de cybersécurité en 2016. Développer une plate-forme d'échange de cyber-intelligence pour permettre aux banques d'échanger des informations sur les banques de cybercriminalité afin d'améliorer la cyber-résilience globale dans le secteur bancaire.

Cette pratique a ensuite été étendue au secteur des assurances. 2017 L'Association des assureurs de Hong Kong a ouvert une plate-forme de diffusion du renseignement similaire parmi les assureurs. En outre, le GL20 indique clairement que les assureurs devraient participer aux plateformes d'échange d'informations pour fournir des mesures de précaution contre le cyber-risque, à la fois localement et internationalement.

Enfin, en 2018. Septembre OGCIO a créé la première plateforme intersectorielle de partage et de collaboration d'informations sur la cybersécurité (www.cybersechub.hk) qui fournit le partage d'informations sur la cybersécurité et les meilleures pratiques entre les membres de diverses industries.

Comment le gouvernement et le secteur privé travaillent-ils ensemble pour développer des normes et procédures de cybersécurité?

Les régulateurs lancent généralement une consultation publique pour recueillir l'expertise de l'industrie avant de publier des lignes directrices ou des circulaires sur la cybersécurité. Par exemple, les directives de négociation Internet SFC ont pris en compte les réponses reçues du secteur bancaire et des valeurs mobilières au cours de la période de consultation. En participant à cette consultation publique, les secteurs public et privé peuvent mieux s'informer mutuellement sur la manière de mieux articuler les normes et procédures de cybersécurité.

De plus, les entreprises peuvent contribuer en sensibilisant leurs employés à la cybersécurité et en les tenant informés des derniers développements en matière de cybersécurité pour mieux se conformer aux recommandations des autorités réglementaires.

Assurances

Votre juridiction a-t-elle une assurance de cybersécurité et est-ce courant?

L'assurance de la cybersécurité gagne en popularité à Hong Kong. Plusieurs compagnies d'assurance ont récemment signalé une croissance des ventes d'assurance cybersécurité à Hong Kong et s'attendent à ce qu'elle continue de croître dans les années à venir.

Exécution

Réglementation

Quels régulateurs sont principalement responsables de l'application des règles de cybersécurité?

Il n'y a pas à Hong Kong d'autorité chargée de l'application des lois unique responsable des règles de cybersécurité. La conformité aux directives sectorielles de cybersécurité est supervisée par les autorités réglementaires compétentes telles que HKMA, SFC, IA et OGCIO. En cas de problème de confidentialité des données personnelles, le PCPD est responsable de l'application du PDPO. Dans le cas de la cybercriminalité, l'application est de la responsabilité du Bureau de la police de Hong Kong sur la cyber sécurité et les délits technologiques.

Décrire les pouvoirs des autorités pour contrôler la conformité, enquêter et poursuivre les infractions.

Les régulateurs peuvent surveiller le respect des directives de cybersécurité grâce à des dispositions de surveillance continues. Par exemple, la HKMA peut généralement effectuer des inspections sur place et hors site, et peut interroger différents niveaux de personnel pour vérifier que l'organisme agréé se conforme à diverses directives.

Tout d'abord, SFC 2018. Novembre A déclaré qu'il mènera des enquêtes et des inspections auprès des sociétés agréées afin de contrôler la conformité aux lignes directrices sur le commerce Internet.

Quels sont les problèmes d'application les plus courants et comment les régulateurs et le secteur privé les ont-ils résolus?

En général, si un incident de cybersécurité implique une violation du DPP en vertu du PDPO, le PCPD peut enquêter et envoyer un message d'application à l'utilisateur des données, lui demandant de prendre des mesures correctives. Voir aussi: "Pénalités" pour plus d'informations, et "Législation", qui fournit un exemple d'enquête PCPD contre un utilisateur de données pour une violation de la cybersécurité en 2019. Juin

Si un incident de cybersécurité enfreint d'autres directives spécifiques à l'industrie, veuillez vous reporter à la section Sanctions pour les éventuelles mesures d'application de la loi par les autorités réglementaires.

Quelles sont les obligations réglementaires de déclaration pour les entreprises suite à des violations de la cybersécurité? Les personnes concernées doivent-elles être informées?

Il n'y a aucune obligation de déclaration obligatoire suite à une violation de la cybersécurité. Cependant, si vos données personnelles sont compromises par des violations de la cybersécurité, veuillez lire la section "Plus de protection" du Guide de violation des données du PCPD. Les directives de l'industrie sont également importantes – voir «Politiques et procédures» (obligations de notification aux autorités réglementaires) et «Protection accrue» (obligations de notification aux autres parties prenantes).

Notamment, en vertu de l'article 307B de l'OFS et des règles de cotation, une société cotée est tenue de divulguer au public (par exemple, par le biais d'une annonce publique) tout événement de cybersécurité qui pourrait affecter de manière significative son cours cet événement serait rendu public.

Amendes

Quelles amendes peuvent être imposées en cas de non-respect des règles de violation de la cybersécurité?

Quant au PDPO, bien qu'une violation du DPP ne soit pas un crime, il peut conduire le PCPD à ouvrir une enquête et à émettre un avis d'exécution demandant des mesures correctives. Le non-respect du rapport équivaut à une amende de 50 000 HK $ plus une peine de deux ans de prison pour la première condamnation, avec une amende quotidienne de 1 000 HK $ pour un délit continu.

Le non-respect des directives ou circulaires sectorielles pertinentes peut affecter le jugement du régulateur quant à savoir si l'entreprise est "apte et appropriée" (ou, dans le cas du GL20, si les administrateurs ou les gestionnaires de l'assureur sont aptes et appropriés) et peuvent entraîner des mesures disciplinaires appropriées. révocation ou non-renouvellement de licence.

Des mesures de cybersécurité insuffisantes peuvent également entraîner le rejet de la demande de licence. Par exemple, sur la base de ses directives d'autorisation de banque virtuelle, lorsqu'elle envisage d'accorder ou non une licence de banque virtuelle, la HKMA exige que les demandeurs de licence fournissent, entre autres, une copie d'un rapport d'évaluation indépendant concernant l'adéquation de la technologie informatique envisagée. système et un rapport plus détaillé avant la mise en service. Des mesures de cybersécurité inadéquates peuvent mettre votre demande de licence en danger.

Quelles sanctions peuvent être imposées en cas de non-respect des règles relatives au signalement des menaces et des infractions?

Jetez un œil ci-dessus.

Comment les parties peuvent-elles saisir les tribunaux pour activité électronique non autorisée ou protection inadéquate des systèmes et des données?

Si une organisation est exposée à une cyberattaque, les parties lésées peuvent s'adresser à l'organisation pour de multiples causes d'action, telles que la rupture de contrat et la négligence, si la cyberattaque a été attribuée à des mesures de cybersécurité inadéquates. En particulier, les cyberattaques ont entraîné des violations de données, les parties lésées peuvent demander réparation pour les dommages (y compris les sentiments) en violation du DPP en vertu de l'article 66 du PDPO, par exemple lorsqu'une organisation n'a pas sécurisé les données personnelles en sa possession contre un accès non autorisé ou accidentel. (en violation de DPP4 (1)).

Les parties concernées peuvent, si nécessaire, intenter des actions civiles supplémentaires contre le contrefacteur. Par exemple, si la divulgation non autorisée de données personnelles en raison d'une activité électronique non autorisée afin de récupérer ou de causer intentionnellement des dommages aux personnes concernées ou de causer un préjudice psychologique aux personnes concernées, les personnes concernées peuvent demander une indemnisation pour les dommages subis en vertu de l'article. 66 en raison de la violation par le contrevenant de la disposition pénale de l'article 64 du PDPO (voir «Points et compétence»).

Détection et signalement des menaces

Politiques et procédures

Quelles stratégies ou procédures les organisations devraient-elles mettre en œuvre pour protéger les systèmes de données ou de technologie de l'information contre les cyber-maladies?

Voir aussi: "Législation".

Décrivez les règles qui obligent les organisations à conserver des enregistrements des cybermenaces ou des attaques.

Aucune règle spécifique n'oblige les organisations à tenir des registres des cybermenaces ou des attaques. Néanmoins, comme indiqué dans la section Partage d'informations, les organisations ont tendance à partager entre elles des informations sur les cyber-blessures.

Décrivez les règles qui obligent les organisations à signaler les violations de la cybersécurité aux autorités réglementaires.

Outre les règles des directives sur la violation des données, il existe plusieurs directives spécifiques à l'industrie pour signaler les violations de la cybersécurité aux autorités. Par exemple:

  • GL20 reikalauja, kad draudikai kuo greičiau, bet ne vėliau kaip per 72 valandas nuo aptikimo, praneštų apie bet kokį kibernetinio saugumo incidentą.
  • SFC elgesio kodeksas asmenims, kuriuos licencijavo ar registruoja SFC, reikalauja, kad registruoti ar licencijuoti subjektai nedelsdami praneštų apie bet kokius reikšmingus, inter alia, SFC administruojamų ar išduodamų kodeksų pažeidimus, pateikdami išsamią informaciją apie pažeidimą ar įtariamą pažeidimą ir svarbią informaciją. ir dokumentus.
  • HKMA gairėse įgaliotoms įstaigoms dėl pranešimo apie reikšmingus operatyvinius įvykius HKMA nustatyta, kad įgaliotosios įstaigos praneša HKMA apie bet kokį galimą ar faktinį daugelio klientų duomenų praradimą ar nutekėjimą, arba apie bet kokius nuostolius ar nutekėjimus, kurie gali sukelti reikšmingą žalą. reputacijos rizika įstaigai. Bet kurią ataskaitą tikimasi atlikti nedelsiant (nors HKMA leidžia įgaliotosioms įstaigoms ankstyvą kitos darbo dienos rytą pranešti apie santykinai mažiau laiko kritinį reikšmingą įvykį, kuris nustatomas po darbo valandų). Be to, pagal HKMA aplinkraštį dėl klientų duomenų apsaugos įgaliotosios institucijos turi rimtai apsvarstyti galimybę pranešti apie įvykį Privatumo komisarui pagal Duomenų pažeidimo rekomendacijas ir, jei ji nusprendžia to nedaryti, turi pagrįsti savo sprendimą.
  • Sveikatos priežiūros elektroninio sveikatos įrašo naudojimo praktikos kodeksas įpareigoja sveikatos priežiūros paslaugų teikėjus pranešti EHR biurui apie visus įtariamus saugumo incidentus, privatumo atvejus ir galimus saugumo trūkumus, susijusius su eHRSS prieiga ir naudojimu.

Laiko rėmai

Koks yra ataskaitų valdžios institucijoms pateikimo laikas?

Voir aussi: „Politika ir procedūra“.

Ataskaitų teikimas

Apibūdinkite visas taisykles, pagal kurias reikalaujama, kad organizacijos praneštų apie grėsmes ar pažeidimus kitiems pramonės, klientams ar plačiajai visuomenei.

Voir aussi: „Padidinta apsauga“.

Atnaujinimas ir tendencijos

Atnaujinimas ir tendencijos

Kokie yra pagrindiniai iššūkiai kuriant kibernetinio saugumo taisykles? Kaip įmonės gali padėti sukurti palankią reguliavimo aplinką? How do you anticipate cybersecurity laws and policies will change over the next year in your jurisdiction?

The emergence of new technologies, such as AI and cloud computing, may bring new cybersecurity challenges and risks to organisations. For instance, the HKMA has suggested that AI applications, being data-driven, are particularly vulnerable to new cybersecurity threats, such as data poisoning. It is therefore expected that industry regulators will issue further cybersecurity guidelines to catch up with the introduction and development of new technologies.

Although cybersecurity awareness has generally risen over the past few years, human error remains one of the main causes of cybersecurity incidents. Companies may assist in shaping a favourable regulatory environment by reinforcing cybersecurity education for their staff and customers. For instance, the SFC has recommended, among other things, the evaluation of staff’s understanding of a company IT policy on a regular basis (eg, by conducting phishing attack stimulations).

Law Stated Date

Correct On

Give the date on which the information above is accurate.

12 December 2019.

Cyber ​​sécurité à Hong Kong – Lexologie ® mutuelle santé entreprise
4.9 (98%) 32 votes