昨天（2021年8月17日），《关键信息基础设施安全保护条例》（“《条例》”）公布，并将于2021年9月1日起施行。《网络安全法》第三十一条第一款规定，关键信息基础设施的具体范围和安全保护办法由国务院制定。《条例》的出台就是上述规定在关键信息基础设施的安全保护办法部分的落地。

1. 对关键信息基础设施首次进行了定义

      《网络安全法》首次在法律层面提到“关键信息基础设施”这一概念，此后公安部在2020年9月22日制定的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（“《指导意见》”）中引用这一概念时有一定的修改。本次《条例》第二条吸收了《指导意见》的内容，虽与《网络安全法》的结构相同，但在重要行业和领域中加入了“国防科技工业”，并将关键信息基础设施落脚于“重要网络设施、信息系统”。

       至此，关键信息基础设施在法律法规层面上有了定义，明确指向了“重要网络设施、信息系统”。结合《指导意见》第三、（一）条，“重要网络设施、信息系统”具体包括（但不限于）基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施。

2. 关键信息基础设施的认定

       《条例》施行后，最关键的问题就是对于关键信息基础设施的认定，而在此之前，还需要各行业主管部门出台关键信息基础设施的认定规则。此前，《指导意见》曾提到过要求组织认定关键信息基础设施，但《指导意见》毕竟是公安部门的“一家之言”，而关键信息基础设施的认定标准和后续的认定，都需要各行业主管部门的配合和实施。

        根据《条例》第八条，各个重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。这意味着，很多部门都将介入到关键信息基础设施的认定工作。同时，公安部门将获得不小的话语权，因为关键信息基础设施的认定规则的制定需要到公安部门报备，而具体的关键信息基础设施的认定则需通报公安部门。

3. 关键信息基础设施运营者责任义务的细化

       如果企业的网络设施、信息系统被认定为关键信息基础设施，企业作为运营者就应当承担相比于普通网络运营者更高的安全责任义务。

       首先，运营者应当遵守网络安全等级保护的要求。目前国家已出台包括网络安全等级保护基本要求、测评要求、定级指南和实施指南等在内的一整套网络安全等级保护标准可供运营者参考。

       其次，根据《网络安全法》，运营者需要设置专门安全管理机构，而《条例》则进一步细化了专门安全管理机构的职责，包括建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划，应急预案的制定、演练，对关键信息基础设施设计、建设、运行、维护等服务实施安全管理等。

       再次，《条例》还在《网络安全法》的基础上，对运营者提出了新的要求，包括要求运营者每年对关键信息基础设施进行网络安全检测和风险评估，以及运营者发生合并、分立、解散等情况下，向保护工作部门报告并按要求对关键信息基础设施进行处置，以保障安全。

       最后，《条例》还要求各保护工作部门实现网络安全信息共享，通过紧密合作对关键信息基础设施运营者提供指导、协助，切实做好安全防范工作，保障关键信息基础设施的安全运行。

4. 与《网络安全审查办法》的衔接

      《网络安全审查办法》规定，关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当进行网络安全审查。而在《网络安全审查办法（修改草案征求意见稿）》中，更是将关键信息基础设施数据处理者开展数据处理活动纳入网络安全审查的范围。

       在关键信息基础设施逐步被认定后，关键信息基础设施的运营者们在采购网络产品/服务时，若相关产品/服务在投入使用后可能带来国家安全风险的，将需要主动申报网络安全审查。这能够有效降低关键信息基础设施被破坏从而引发功能丧失或数据泄露的风险，对于维护关键信息基础设施的安全稳定具有促进作用。

       综上，《条例》的出台进一步落实了《网络安全法》的规定，也为关键信息基础设施认定规则的出台铺平了道路。但这只是一个起点：随着各行业的关键信息基础设施认定工作的展开，与关键信息基础设施相关的工作才会深入到更为具体的操作层面。