Hongkongs neue Cyber-Verteidigung: Kritische Infrastruktur unter Schutz

Hongkong startet mit einem neuen Gesetz in die Ära der digitalen Verteidigung. Ab heute, dem 1. Januar 2026, gilt das Gesetz zum Schutz kritischer Infrastruktur (Computersysteme). Es verpflichtet Betreiber lebenswichtiger Dienste erstmals gesetzlich zu strengen Cybersicherheitsmaßnahmen. Die Regelung soll die Widerstandsfähigkeit der Metropole gegen wachsende Hackerangriffe stärken.

Die konkreten Pflichten für die betroffenen Unternehmen werden jedoch schrittweise eingeführt. Zunächst soll im ersten Quartal 2026 ein neues Beauftragtenamt eingerichtet werden. Erst danach werden die offiziellen „Betreiber Kritischer Infrastruktur“ benannt.

Acht Schlüsselsektoren im Fokus

Das Gesetz, das der Legislativrat im März 2025 verabschiedete, zielt auf acht für die Gesellschaft essentielle Bereiche ab. Dazu gehören Energie, Informationstechnologie, Banken- und Finanzdienstleistungen, Land-, Luft- und Seetransport, Gesundheitsdienste sowie Telekommunikation und Rundfunk.

Ziel ist es, die Kontinuität dieser Dienstleistungen auch bei schwerwiegenden Cyberangriffen zu gewährleisten. Erfasst wird auch Infrastruktur, die für wichtige gesellschaftliche oder wirtschaftliche Aktivitäten zentral ist – etwa große Sportstätten oder Forschungsparks.

Passend zum Thema Cybersicherheit — viele Unternehmen sind bei Hackerangriffen kaum vorbereitet. Ein kostenloses E‑Book fasst die aktuellen Cyber‑Trends, neue gesetzliche Pflichten und praktische Schutzmaßnahmen zusammen, die auch für Betreiber kritischer Infrastruktur relevant sind. Der Leitfaden erklärt in klaren Schritten, wie Sie Schutzlücken priorisieren, Notfallmeldungen organisieren und Ihr Team für Vorfälle rüsten. Jetzt kostenloses Cyber‑Security‑E-Book herunterladen

Rechtsexperten betonen, dass die unmittelbaren Auswirkungen zunächst administrativer Natur sind. Die eigentlichen Compliance-Pflichten greifen erst, wenn ein Unternehmen formell als Betreiber Kritischer Infrastruktur eingestuft wird. Dieser Prozess soll Mitte 2026 beginnen.

Strenge Pflichten: Von der Meldepflicht bis zum Audit

Sind Unternehmen einmal designiert, erwarten sie drei Arten gesetzlicher Pflichten: organisatorische, präventive und Meldeanforderungen.

Organisatorisch muss eine eigene Sicherheitsmanagement-Einheit für die kritischen Computersysteme eingerichtet werden. Zudem ist der Betrieb eines physischen Büros in Hongkong vorgeschrieben, um die lokale Verantwortung sicherzustellen.

Besonders bemerkenswert ist die kurze Meldepflicht bei Vorfällen. Ein „ernster Sicherheitsvorfall“, der einen essenziellen Dienst unterbricht oder zu unterbrechen droht, muss innerhalb von 12 Stunden dem Beauftragtenamt gemeldet werden. Bei anderen signifikanten Vorfällen beträgt die Frist 48 Stunden.

Zur kontinuierlichen Überwachung müssen die Betreiber jährliche Cybersicherheits-Risikobewertungen und alle zwei Jahre unabhängige Sicherheitsaudits durchführen.

Die Strafen bei Nichteinhaltung sind drastisch: Bußgelder von bis zu 5 Millionen Hongkong-Dollar (rund 600.000 Euro) sind möglich. Bei fortgesetzten Verstößen können tägliche Zusatzstrafen verhängt werden.

Breite Befugnisse und internationale Bedenken

Die Durchsetzung des Gesetzes obliegt einem neuen „Beauftragten für Kritische Infrastruktur“. Dessen Amt erhält weitreichende Untersuchungsbefugnisse, die während des Gesetzgebungsverfahrens auf Kritik stießen.

Der Beauftragte kann schriftliche Anweisungen zur Behebung von Sicherheitslücken erteilen. In extremen Fällen kann er sogar richterliche Genehmigungen beantragen, um auf die Computersysteme eines Betreibers zuzugreifen oder Software zur Gefahrenabwehr zu installieren.

Wirtschaftsverbände wie die Asia Internet Coalition warnten während der Konsultationen 2024 vor einem „abschreckenden Effekt“ auf Technologieinvestitionen. Die Befugnisse seien zu weitreichend.

Die Regierung, vertreten durch das Sicherheitsbüro, betont dagegen, das Gesetz diene allein der Infrastruktursicherheit, nicht der Überwachung von Dateninhalten oder persönlichen Informationen. Es habe keine extraterritoriale Wirkung, obwohl gespeicherte Informationen – unabhängig vom Ort – zugänglich gemacht werden müssen.

Der Fahrplan: So geht es 2026 weiter

Für die betroffenen Branchen beginnt nun eine entscheidende Vorbereitungsphase.

• Q1 2026: Einrichtung des Beauftragtenamtes.
• Mitte 2026: Beginn der gestaffelten Benennung der Betreiber Kritischer Infrastruktur. Die Liste wird nicht öffentlich gemacht, um die Unternehmen nicht gezielt angreifbar zu machen.
• Ende 2026: Die designierten Betreiber müssen voraussichtlich ihre ersten Sicherheitsmanagementpläne vorlegen und ihre Sicherheitseinheiten etablieren.

Rechtsberater raten Unternehmen, die Zwischenzeit für eine Überprüfung ihrer bestehenden Cybersicherheits-Systeme zu nutzen. Internationale Konzerne müssen zudem ihre grenzüberschreitenden Datenflüsse prüfen.

Mit dem neuen Gesetz zieht Hongkong mit anderen großen Wirtschaftsräumen wie der EU (mit ihrer NIS2-Richtlinie), Singapur und dem chinesischen Festland gleich. In einer Zeit zunehmend komplexer Cyberbedrohungen wird die Umsetzung zum Lackmustest dafür, ob Hongkong seinen Status als sicherer internationaler Finanz- und Logistik-Hub verteidigen kann.

PS: Sie wollen prüfen, ob Ihr Unternehmen für die neuen Meldepflichten und Audits gewappnet ist? Der Gratis‑Leitfaden zur Cyber‑Security erklärt praxisnah, welche organisatorischen Maßnahmen jetzt Priorität haben, wie Sie Vorfallsprozesse einrichten und welche Dokumentation Aufsichtsbehörden erwarten. Ideal für IT‑Verantwortliche und Compliance‑Teams, die sich schnell auf strengere Regeln vorbereiten wollen. Cyber‑Sicherheits‑Leitfaden jetzt herunterladen