Apa yang terjadi
Australia's Cyber and Infrastructure Security Centre (CISC) menerbitkan 'Security of Critical Infrastructure Legislation Amendment (Enhanced Critical Infrastructure Risk Management Program) Rules 2026' (instrumen Federal Register F2026L00701), diumumkan 18 Juni 2026. Peraturan Enhanced CIRMP adalah amandemen yang mengikat secara hukum berdasarkan SOCI Act 2018 dan mewajibkan bahwa entitas infrastruktur kritis di seluruh kelas aset energi, listrik, gas, bahan bakar cair, air, penyiaran, DNS, dan pengangkutan harus: (1) menilai dan mengurangi risiko dari teknologi baru/yang berkembang termasuk AI; (2) menerapkan MFA yang tahan terhadap phishing untuk sistem kritis; (3) memisahkan sistem kritis dari sistem non-kritis; (4) mengatasi risiko sistem warisan, rantai pasokan, offshoring, dan ancaman orang dalam. Garis waktu kepatuhan dimulai 2027 dengan periode transisi yang diperpanjang.
Mengapa penting
Ini adalah regulasi Australia pertama yang dapat ditegakkan secara hukum untuk secara eksplisit menamai AI sebagai kategori penilaian risiko wajib bagi operator infrastruktur kritis. Ini menciptakan kewajiban kepatuhan — bukan sekadar panduan — untuk semua entitas yang memegang aset infrastruktur kritis berdasarkan SOCI Act. Ini menetapkan preseden untuk tata kelola risiko AI di seluruh sektor bersama dengan kontrol OT/IT tradisional dan berjalan sejajar dengan Strategi Keamanan Siber Horizon 2 Australia yang dirilis minggu yang sama.
Tindakan yang diperlukan
Operator CI Australia: segera inventarisasi penyebaran AI dan sistem warisan, mulai penilaian risiko CIRMP untuk kasus penggunaan AI, terapkan MFA yang tahan terhadap phishing untuk sistem kritis, dan rencanakan pemisahan sistem. Petakan kontrol ke Peraturan Enhanced CIRMP sebelum tenggat waktu kepatuhan 2027. Tim hukum/kepatuhan harus meninjau instrumen Federal Register F2026L00701.