Une consultation publique sur le nouveau projet de loi sur la cybersécurité est en cours
En bref: Singapour applique déjà une surveillance gouvernementale stricte sur les infrastructures technologiques critiques. Les autorités municipales souhaitent désormais étendre cette surveillance à d’autres fournisseurs « importants » de technologies de l’information.
Singapour s’efforce de modifier le projet de loi sur la cybersécurité de l’État, approuvé en 2018, afin d’imposer de nouvelles obligations aux entreprises tierces fournissant des services technologiques cruciaux. Le pays asiatique a lancé une consultation publique sur l’amendement, sollicitant des commentaires sur une période d’un mois qui durera jusqu’au 15 janvier 2024.
La loi originale sur la cybersécurité accorde à la Cyber Security Agency of Singapore (CSA) des pouvoirs de surveillance sur la cybersécurité nationale à Singapour. Selon l’amendement proposé, depuis la promulgation de la loi, le paysage des cybermenaces et l’environnement des affaires ont constamment évolué. Singapour est devenu l’un des pays les plus connectés numériquement au monde, ce qui entraîne une demande accrue en matière de connectivité, d’informatique et de stockage de données.
Ces besoins changeants ont suscité de nouvelles considérations concernant la cybersécurité et la surveillance gouvernementale. Bien que la CSA ait déjà réglementé les plates-formes d’infrastructures d’information critiques (CII), elle a désormais l’intention d’étendre les directives en matière de cybersécurité à « d’autres systèmes et infrastructures importants ». La loi sur la cybersécurité identifie spécifiquement l’énergie, l’eau, les banques et les finances, les soins de santé, les transports terrestres, les transports maritimes, l’aviation, le gouvernement, l’information, les médias, ainsi que les services de sécurité et d’urgence comme fournisseurs de services CII.
L’amendement proposé au projet de loi sur la cybersécurité introduira la nouvelle catégorie des « infrastructures numériques fondamentales » aux côtés des services CII. Cette nouvelle catégorie devrait englober les centres de données et les services de cloud computing opérant à l’intérieur des frontières de Singapour. Les opérateurs d’infrastructures de base seraient tenus de fournir des garanties supplémentaires aux autorités de Singapour, notamment la fourniture continue de services et la prévention efficace des cyberincidents.
Le CSA s’attend également à ce que les fournisseurs d’infrastructures de base signalent les cyberattaques en quelques heures et se conforment rapidement aux demandes du commissaire David Koh, y compris les audits et les demandes d’informations sur la conception des centres de données. La modification confère au CSA le pouvoir de mener des inspections sur place pour vérifier le respect des nouvelles règles.
Les organisations qui ne se conforment pas seraient passibles d’amendes ou d’autres sanctions, comme indiqué dans l’amendement. Les systèmes temporaires, tels que ceux déployés pour des événements très médiatisés, devraient respecter des règles similaires pendant un an. L’ASC invite les membres du public et les parties prenantes à formuler leurs commentaires en ligne via le formulaire Commentaires sur le projet de loi sur la cybersécurité (modification).
