Hongkongs 'Protection of Critical Infrastructures (Computer Systems) Bill' führt strenge Cybersecurityauflagen für Organisationen in kritischen Sektoren ein. Das Gesetz soll die Cyberhygiene durch umfassende Sicherheitskontrollen stärken, einschließlich regelmäßiger Risikobewertungen, Echtzeit-Systemüberwachung, Penetrationstests und zeitnaher Meldung von Vorfällen.

Unternehmen müssen nicht nur robuste Cybersecuritymaßnahmen umsetzen, sondern auch ihre Wirksamkeit bei der Eindämmung von Cyberbedrohungen nachweisen. Die Nichteinhaltung kann zu schweren Sanktionen führen, weshalb Unternehmen proaktive Maßnahmen zur Erfüllung dieser neuen Verpflichtungen ergreifen müssen. Compliance ist nicht länger optional, sondern eine rechtliche Notwendigkeit – es steht mehr auf dem Spiel als je zuvor.

Die Herausforderung liegt auch in der Mehrdeutigkeit des Gesetzes: Es ist nicht klar definiert, welche Organisationen unter die Klassifikation der „kritischen Infrastruktur“ fallen. Obwohl es sich im Großen und Ganzen an Sektoren wie Finanzen, Telekommunikation, Gesundheitswesen, Energie und Transportwesen richtet, können fehlende Qualifikationskriterien dazu führen, dass einige Unternehmen unsicher sind, ob sie die Vorschriften einhalten müssen.

Das Risiko? Eine unbeabsichtigte Nichteinhaltung kann Sanktionen, Audits oder, schlimmer noch, Schwachstellen während einer Cyberkrise entlarven. Da die Durchsetzung bereits 2026 ansteht, müssen Unternehmen proaktiv handeln und sicherstellen, dass sie angesichts dieser Unsicherheit nicht unvorbereitet getroffen werden.

Das Gesetz richtet sich an große Organisationen, insbesondere an solche, die für die Erbringung grundlegender Dienstleistungen oder die Aufrechterhaltung lebenswichtiger gesellschaftlicher und wirtschaftlicher Funktionen verantwortlich sind. Denken Sie an CIOs von Finanzinstituten, Stromnetzen, Transportnetzen und Telekommunikationsanbietern in Sektoren, in denen ein einziger Cyberangriff den Geschäftsbetrieb lahmlegen oder das tägliche Leben stören könnte.

Da die Durchsetzung am 1. Januar 2026 beginnen soll, müssen die Organisationen jetzt handeln. Nur so können sie wirklich bereit sein und die Anforderungen fristgerecht erfüllen. Wir empfehlen, sich auf folgende Themen zu fokussieren:

Die Gesetzesvorlage zum Schutz kritischer Infrastrukturen (Computersysteme) ist ein Gamechanger – und die Vorbereitungszeit ist kurz.

Wir bei Zühlke verstehen die Komplexität dieser neuen regulatorischen Landschaft. Als globaler Technologiepartner haben wir Organisationen aus verschiedenen Branchen wie BitMEX und Justitia.Swiss, das Schweizer Justizsystem, dabei unterstützt, ihre Cybersecurityrahmen zu stärken und Compliance-Herausforderungen zu meistern.