韩国将正式把“由高管担任首席信息安全官（CISO）”写入法律。纳入这一要求的《信息通信网络利用促进及信息保护等法》（下称《信息通信网络法》）修订案已于24日获国会通过，具体适用标准将交由施行令进一步细化。

据相关部门27日消息，修订案最快将于下周公布。法案在完成总统签署并刊登官报后生效，原则上自公布之日起满6个月施行，预计落在今年9月底至10月初。考虑到企业现场准备情况，“信息保护水平评估与公开”相关条款将延后至公布满1年后实施。

此次修法源于国会科学技术信息广播通信委员会提出的替代议案，整合协调了朝野议员此前提交的24项法案。此前，SK Telecom、KT、LG Uplus等主要移动通信运营商以及多家金融机构接连发生安全事件，成为推动修法的重要背景。

本轮修法的核心，是要求一定规模以上企业由高管担任CISO。修订案同时扩大了CISO职责范围，新增信息安全人员管理、信息安全预算编制以及向董事会报告信息安全现状等内容。达到一定规模的企业，还必须设立并运行由CISO担任委员长的信息安全委员会，具体适用标准将由施行令另行规定。

针对安全事件的处罚也同步收紧。若企业因故意或重大过失，在5年内两次以上发生安全事件，最高可处年度营业额3%的罚款。调查过程中，如拒绝提交资料、妨碍调查或不履行整改命令，还可按日加处不超过日均营业额0.03%的履行强制金（按日计）。

在报告义务方面，修订案明确，企业应自知悉安全事件起24小时内完成申报；即便尚处于疑似阶段，政府也可启动调查。修订案还新增“发生安全事件时应立即通知用户”的义务。与此同时，韩国科学技术信息通信部将新设安全事件调查审议委员会，并在转为常设机构前暂运行至2030年12月3日。前述“信息保护水平评估与公开”条款仍将延后一年实施。

不过，随着法律通过，企业准备不足的问题也被进一步放大。韩国互联网振兴院（KISA）发布的《2025信息保护披露现状分析报告》显示，在参与披露的757家企业中，已由高管担任CISO的企业占70.9%，即537家；其余220家，占29.1%，仍由非高管担任或尚未指定。

如果只看此次修法直接影响的核心群体——营业额3000亿韩元以上的上市公司，共513家，由高管担任CISO的比例进一步降至67.4%。这意味着约167家企业需要在法律施行前完成CISO职级调整。

从企业条件看，信息安全专职人员不足5人的企业共有512家，其中由高管担任CISO的比例为67.2%；信息安全投入不足1亿韩元的企业共有137家，这一比例仅为64.2%。整体来看，企业规模越小，准备不足的问题越突出。按行业划分，运输和仓储业为40.9%，建筑业为60.0%，批发和零售业为64.9%，均处于较低水平；信息通信业也只有75.4%。

当前争议主要集中在“中型企业”范围。修订案沿用《中小企业基本法》第2条第2款中的中型企业认定标准，但这类企业应以何种方式履行CISO指定义务，仍有待施行令明确。目前，相关施行令的立法预告尚未发布。

有中型IT企业人士表示，公司本身并非安全专业企业，管理层通常按业务和技术条线划分，若将CISO设置为法定义务，势必增加人员和组织负担；与此同时，韩国国内能够出任高管级CISO的信息安全专业人才本就有限，这也是现实难点之一。

另有中型AI企业人士指出，6个月时间不足以完成专业CISO引进和安全体系设计，不少企业可能会考虑由CTO兼任；但如果兼任范围和执行指引迟迟不明确，最终很可能演变为形式上的任命。

对于CISO体系本就薄弱的企业而言，修法后面临的罚款压力也将上升。法律界普遍认为，在认定重复发生安全事件是否构成“故意或重大过失”时，监管部门将综合考量企业是否由高管担任CISO、是否建立向董事会报告机制，以及是否持续投入安全预算和人力等因素。由于安全预算和人员投入已被明确列为罚款减免考量因素，未建立高管级CISO体系的企业，一旦发生事故，可争取的减免空间将相应收窄。

企业未来面临的制度压力还不止于此。目前，韩国国会仍在审议进一步加重“未申报安全事件”处罚力度的相关法案。其中一项提案要求，企业在申报安全事件时自动通知侦查机关；另一项则提出，按延迟申报天数加收行政罚款。

韩国科学技术信息通信部相关人士表示，政府将继续研究包括新设信息安全委员会在内的职能与能力强化方案，并考虑提供可行的配套支持。副总理兼韩国科学技术信息通信部部长Bae Kyung-hoon表示，此次修法将把网络安全事件预防和应对体系提升到新的水平，有助于缓解公众不安，并为企业在更严格的安全基础上实现持续发展提供支撑。