Rechtsbericht | Malaysia | Cybersicherheitsrecht
Malaysias neues Cybersicherheitsgesetz
Am 26. August 2024 ist der neue malaysische Cyber Security Act 2024 in Kraft getreten. Es ist das erste eigenständige Gesetz Malaysias in Bezug auf die Cybersicherheit.
02.09.2024
Von Julia Merle | Bonn
Im besonderen Fokus des Gesetzes steht die bessere Gewährleistung der Cybersicherheit für staatliche kritische Informationsinfrastrukturen (National Critical Information Infrastructure - NCII), siehe dazu insbesondere Teil IV. Damit sind Computer oder Computersysteme gemeint, bei denen im Falle ihrer (Zer-)Störung eine schädigende Auswirkung auf wesentliche Dienste für unter anderem die Sicherheit, öffentliche Gesundheit, öffentliche Sicherheit und Ordnung oder auch die Wirtschaft Malaysias entstehen würde (siehe Definition in Sec. 4 des Gesetzes). So werden insbesondere auch Verpflichtungen für Unternehmen in diesem Bereich aufgestellt ("NCII entities", Sec. 17 des Gesetzes), darunter die Durchführung von Risikobewertungen und Audits nach Sec. 22 des Gesetzes. Welche Sektoren im Einzelnen zur NCII zählen, ist der Liste im Anhang des Gesetzes zu entnehmen.
Vorgaben zur Untersuchung und dem Verfahren bei einem sogenannten Cybersicherheitsvorfall enthält Sec. 35 des Gesetzes. NCII-Unternehmen haben einen solchen Vorfall zu melden, wenn sie davon Kenntnis erlangen.
Das Gesetz findet gemäß seiner Sec. 3 extraterritorial Anwendung auf Personen in- und außerhalb Malaysias, unabhängig von deren Staatsangehörigkeit. So können bei Zuwiderhandlungen von Personen außerhalb Malaysias diese so behandelt werden, als hätten sie sie in Malaysia begangen: Nach Abs. 2 ist das Gesetz anwendbar, wenn die NCII sich ganz oder teilweise in Malaysia befindet.
Ein sogenanntes National Cyber Security Committee soll geschaffen werden (Teil II). Ferner sind unter anderem Lizenzvorgaben für Anbieter von Cybersicherheitsdiensten vorgesehen (Teil VI).
Schließlich finden sich auch einige Durchsetzungsbefugnisse und Haftungsvorschriften in dem neuen Gesetz. Bei Verstößen gegen das Gesetz drohen beispielsweise im Falle der Verletzung der Meldepflicht bei einem Cybersicherheitsvorfall oder bei Verletzung der Lizenzpflicht Bußgelder in Höhe von bis zu 500.000 Malaysische Ringgit (entspricht ca. 103.000 Euro) und/oder Freiheitsstrafen von bis zu zehn Jahren (Sec. 23, 27 des Gesetzes).
Verabschiedet vom malaysischen Parlament im April 2024, war das Cybersicherheitsgesetz am 26. Juni 2024 im Amtsblatt veröffentlicht worden. Als Datum des Inkrafttretens wurde der 26. August 2024 offiziell bekannt gegeben (Sec. 1 Abs. 2 des Gesetzes). Gleichzeitig traten außerdem vier untergesetzliche Regelungen zur Umsetzung des neuen Gesetzes in Kraft. Sie enthalten konkretere Ausführungen beispielsweise zu den Zeiträumen für die Risikobewertungen und zur Lizensierung von Dienstleistern.
Malaysia hatte im Oktober 2020 eine Cybersicherheitsstrategie 2020-2024 veröffentlicht. Die Cybersicherheitsbehörde National Cyber Security Agency (NACSA) besteht bereits seit dem Jahr 2017.
Zum Thema:
- Gesetzestext und Regelungen abrufbar auf der Webseite der NACSA
- Bekanntgabe des Datums des Inkrafttretens des Cyber Security Act 2024 [Act 854] (Malaysisch/Englisch)
- Malaysische Cybersicherheitsstrategie 2020-2024 (Englisch)
- GTAI-Rechtsbericht Malaysia: Datensicherheit und E-Commerce (Stand: 28. Oktober 2022)
