修法概要
為因應日益嚴峻之資安威脅並強化政府與社會資安韌性,立法院於2025年8月29日通過《資通安全管理法》(下稱「本法」)之修正案(下稱「修正案」),並於9月24日由總統公布之。修正案之施行日期將由行政院定之,預計於近期施行。
數位發展部(下稱「數發部」)將作為本法之主管機關,而數發部下所屬之資通安全署則負責執行本法相關事宜。
本次修正案調整了「特定非公務機關」之定義,擴大本法之適用範圍,要求設置資通安全長及資安專職人員,強化委外作業之資安要求,並賦予數發部行政調查權限。危害國家資通安全產品之使用可能受限制或禁止。此外,修正案亦大幅提高未依規定通報資通安全事件或其他違反本法規定之相關罰則。
修法重點
1. 主管機關
數發部將作為本法之主管機關,而數發部所屬之資通安全署則負責執行資安業務(第2條)。
2. 適用範圍
本法適用於公務機關及特定非公務機關(以下合稱「受監管機構」)。於修法前,特定非公務機關僅包含關鍵基礎設施提供者、公營事業及政府捐助之財團法人。修法後,政府捐助之財團法人修正為特定財團法人(符合財團法人法相關規定之全國性財團法人),另將受政府控制之事業、團體或機構納入監管範圍。
3. 設置資通安全長及資安專職人員
受監管機構須設置資通安全長及資安專職人員(第12、20、21、23條)。
4. 委外要求
當受監管機構委外辦理資通系統之建置、維運或資通服務之提供時,必須確保受託者具備完善之資通安全管理措施或通過公正第三方驗證,須與受託者簽訂書面契約,並配合數發部之規劃辦理資通安全演練作業(第10條)。
5. 行政調查權限
本次修正案賦予中央目的事業主管機關針對特定非公務機關之重大資通安全事件進行行政調查之權限。調查程序可能包含通知特定非公務機關或其受託者到場陳述意見、提供出獨立第三方機構出具之鑑識或調查報告,以及進行現地檢查。特定非公務機關或其受託者不得規避、妨礙或拒絕調查(第25條)。
6. 限制危害國家資通安全產品之使用
中央目的事業主管機關有權限制或禁止特定非公務機關下載、安裝或使用危害國家資通安全產品。這些產品為經數發部認定對國家資通安全具有直接或間接造成危害風險,影響政府運作或社會安定之資通系統、服務或產品。
但因業務需求且無其他替代方案者,則可經中央目的事業主管機關核定後以專案方式使用,並列冊管理(第27條)。此項規定不僅將原先以行政命令所規範之事項提升至法律位階,亦擴大適用範圍至關鍵基礎設施提供者,賦予中央目的事業主管機關明確之執法權限。
影響
本次修正案順應了全球加強監管以因應資安威脅之趨勢(例如歐盟之NIS2指令)。有鑑於本次修正案將帶來更嚴格之法規要求以及罰則之提高,建議企業應評估自身是否屬於「特定非公務機關」。若屬之,應立即檢視並調整現行政策與作業流程,以符合相關規定。如有任何疑問,歡迎隨時與我們聯繫。