事件经过
澳大利亚网络和基础设施安全中心 (CISC) 发布了《关键基础设施安全立法修正案(增强型关键基础设施风险管理计划)规则 2026》(联邦登记簿文件 F2026L00701),已于 2026 年 6 月 18 日宣布。增强型 CIRMP 规则是 SOCI Act 2018 下具有法律约束力的修正案,要求能源、电力、天然气、液体燃料、水、广播、DNS 和货运资产等各类关键基础设施实体必须:(1) 评估和缓解来自新型/新兴技术(包括 AI)的风险;(2) 为关键系统实施抗钓鱼 MFA;(3) 将关键系统与非关键系统分离;(4) 解决遗留系统风险、供应链、离岸外包和内部威胁。合规时间表从 2027 年开始,并设有延长宽限期。
影响分析
这是澳大利亚第一项明确将 AI 列为关键基础设施运营商强制风险评估类别的法律可强制执行的监管规定。它为所有持有 SOCI Act 下关键基础设施资产的实体创建了合规义务 — 而非仅为指导意见 — 。它为部门级 AI 风险治理与传统 OT/IT 控制并行设立了先例,并与澳大利亚同周发布的地平线 2 网络安全战略相平行。
建议行动
澳大利亚关键基础设施运营商:立即清点 AI 部署和遗留系统,针对 AI 用例启动 CIRMP 风险评估,为关键系统实施抗钓鱼 MFA,并规划系统分离。在 2027 年合规截止日期之前,将控制措施映射到增强型 CIRMP 规则。法律/合规团队应审查联邦登记簿文件 F2026L00701。