Commonwealth of Australia Bills

[Index] [Search] [Download] [Related Items] [Help]


This is a Bill, not an Act. For current law, see the Acts databases.


SECURITY LEGISLATION AMENDMENT (CRITICAL INFRASTRUCTURE) BILL 2021

 

 

 

2019-2020 

 

The Parliament of the 

Commonwealth of Australia 

 

HOUSE OF REPRESENTATIVES 

 

 

 

 

Presented and read a first time 

 

 

 

 

Security Legislation Amendment 

(Critical Infrastructure) Bill 2020 

 

No.      , 2020 

 

(Home Affairs) 

 

 

 

A Bill for an Act to amend legislation relating to 

critical infrastructure, and for other purposes 

   

   

 

 

No.      , 2020 

Security Legislation Amendment (Critical Infrastructure) Bill 2020 

i

 

 

Contents 

Short title ........................................................................................... 1

 

Commencement ................................................................................. 1

 

Schedules ........................................................................................... 3

 

Schedule 1--Security of critical infrastructure

 

4

 

Part 1--General amendments

 

4

 

Administrative Decisions (Judicial Review) Act 1977

 

4

 

AusCheck Act 2007

 

4

 

Security of Critical Infrastructure Act 2018

 

4

 

Part 2--Application provisions

 

143

 

Part 3--Amendments contingent on the commencement of the 

Federal Circuit and Family Court of Australia Act 

2020

 

144

 

Security of Critical Infrastructure Act 2018

 

144

 

Part 4--Amendments contingent on the commencement of the 

National Emergency Declaration Act 2020

 

145

 

National Emergency Declaration Act 2020

 

145

 

Security of Critical Infrastructure Act 2018

 

145

 

Schedule 2--Australian Signals Directorate

 

146

 

Criminal Code Act 1995

 

146

 

 

 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

1

 

 

A Bill for an Act to amend legislation relating to 

critical infrastructure, and for other purposes 

The Parliament of Australia enacts: 

1  Short title 

 

  This Act is the 

Security Legislation Amendment (Critical 

Infrastructure) Act 2020

2  Commencement 

 

(1)  Each provision of this Act specified in column 1 of the table 

commences, or is taken to have commenced, in accordance with 

column 2 of the table. Any other statement in column 2 has effect 

10 

according to its terms. 

11 

 

12 

  

 

  

 

 

 

2

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

Commencement information 

Column 1 

Column 2 

Column 3 

Provisions 

Commencement 

Date/Details 

1.  Sections 1 to 3 

and anything in 

this Act not 

elsewhere covered 

by this table 

The day this Act receives the Royal Assent. 

 

2.  Schedule 1, 

Parts 1 and 2 

A single day to be fixed by Proclamation. 

However, if the provisions do not commence 

within the period of 6 months beginning on 

the day this Act receives the Royal Assent, 

they commence on the day after the end of 

that period. 

 

3.  Schedule 1, 

Part 3 

The later of: 

(a) immediately after the commencement of 

the provisions covered by table item 2; 

and 

(b) the commencement of the 

Federal 

Circuit and Family Court of Australia 

Act 2020

However, the provisions do not commence 

at all if the event mentioned in paragraph (b) 

does not occur. 

 

4.  Schedule 1, 

Part 4 

The later of: 

(a) immediately after the commencement of 

the provisions covered by table item 2; 

and 

(b) the commencement of the 

National 

Emergency Declaration Act 2020

However, the provisions do not commence 

at all if the event mentioned in paragraph (b) 

does not occur. 

 

5.  Schedule 2 

The day after this Act receives the Royal 

Assent. 

 

Note: 

This table relates only to the provisions of this Act as originally 

enacted. It will not be amended to deal with any later amendments of 

this Act. 

 

 

 

 

  

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

3

 

 

 

(2)  Any information in column 3 of the table is not part of this Act. 

Information may be inserted in this column, or information in it 

may be edited, in any published version of this Act. 

3  Schedules 

 

  Legislation that is specified in a Schedule to this Act is amended or 

repealed as set out in the applicable items in the Schedule 

concerned, and any other item in a Schedule to this Act has effect 

according to its terms. 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

4

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

Schedule 1--Security of critical infrastructure 

Part 1--General amendments 

Administrative Decisions (Judicial Review) Act 1977

 

1  Before paragraph (da) of Schedule 1 

Insert: 

 

(dae)  decisions under Part 3A of the 

Security of Critical 

Infrastructure Act 2018

AusCheck Act 2007

 

2  Subsection 4(1) 

Insert: 

10 

critical infrastructure risk management program

 has the same 

11 

meaning as in the 

Security of Critical Infrastructure Act 2018

12 

3  After paragraph 8(1)(b) 

13 

Insert: 

14 

 

(ba)  critical infrastructure risk management programs are 

15 

required, by rules made under the 

Security of Critical 

16 

Infrastructure Act 2018

, to include provisions that require 

17 

background checks of individuals to be conducted under the 

18 

AusCheck scheme; or 

19 

Security of Critical Infrastructure Act 2018

 

20 

4  Section 3 

21 

Omit "to national security". 

22 

5  At the end of section 3 

23 

Add: 

24 

 

; and (c)  requiring responsible entities for critical infrastructure assets 

25 

to identify and manage risks relating to those assets; and 

26 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

5

 

 

 

(d)  imposing enhanced cyber security obligations on relevant 

entities for systems of national significance in order to 

improve their preparedness for, and ability to respond to, 

cyber security incidents; and 

 

(e)  providing a regime for the Commonwealth to respond to 

serious cyber security incidents. 

6  Section 4 

Repeal the section, substitute: 

4  Simplified outline of this Act 

This Act creates a framework for managing risks relating to critical 

10 

infrastructure. 

11 

The framework consists of the following: 

12 

 

(a) 

the keeping of a register of information in relation to 

13 

critical infrastructure assets (the register will not be 

14 

made public); 

15 

 

(b) 

requiring the responsible entity for one or more critical 

16 

infrastructure assets to have, and comply with, a critical 

17 

infrastructure risk management program; 

18 

 

(c) 

requiring notification of cyber security incidents; 

19 

 

(d) 

imposing enhanced cyber security obligations that relate 

20 

to systems of national significance; 

21 

 

(e) 

requiring certain entities relating to a critical 

22 

infrastructure asset to provide information in relation to 

23 

the asset, and to notify if certain events occur in relation 

24 

to the asset; 

25 

 

(f) 

allowing the Minister to require certain entities relating 

26 

to a critical infrastructure asset to do, or refrain from 

27 

doing, an act or thing if the Minister is satisfied that 

28 

there is a risk of an act or omission that would be 

29 

prejudicial to security; 

30 

 

(g) 

allowing the Secretary to require certain entities relating 

31 

to a critical infrastructure asset to provide certain 

32 

information or documents; 

33 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

6

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(h) 

setting up a regime for the Commonwealth to respond to 

serious cyber security incidents; 

 

(i) 

allowing the Secretary to undertake an assessment of a 

critical infrastructure asset to determine if there is a risk 

to national security relating to the asset. 

Certain information obtained or generated under, or relating to the 

operation of, this Act is protected information. There are 

restrictions on when a person may make a record of, use or 

disclose protected information. 

Civil penalty provisions of this Act may be enforced using civil 

10 

penalty orders, injunctions or infringement notices, and 

11 

enforceable undertakings may be accepted in relation to 

12 

compliance with civil penalty provisions. The Regulatory Powers 

13 

Act is applied for these purposes. Certain provisions of this Act are 

14 

subject to monitoring and investigation under the Regulatory 

15 

Powers Act. Certain provisions of this Act may be enforced by 

16 

imposing a criminal penalty.

 

17 

The Minister may privately declare an asset to be a critical 

18 

infrastructure asset.

 

19 

The Minister may privately declare a critical infrastructure asset to 

20 

be a system of national significance. 

21 

The Secretary must give the Minister reports, for presentation to 

22 

the Parliament, on the operation of this Act. 

23 

7  Section 5 

24 

Insert: 

25 

access

, in relation to a computer program, means the execution of 

26 

the computer program. 

27 

access to computer data

 means: 

28 

 

(a)  in a case where the computer data is held in a computer--the 

29 

display of the data by the computer or any other output of the 

30 

data from the computer; or 

31 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

7

 

 

 

(b)  in a case where the computer data is held in a computer--the 

copying or moving of the data to: 

 

(i)  any other location in the computer; or 

 

(ii)  another computer; or 

 

(iii)  a data storage device; or 

 

(c)  in a case where the computer data is held in a data storage 

device--the copying or moving of the data to: 

 

(i)  a computer; or 

 

(ii)  another data storage device. 

aircraft operator

 has the same meaning as in the 

Aviation 

10 

Transport Security Act 2004

11 

airport

 has the same meaning as in the 

Aviation Transport Security 

12 

Act 2004

13 

airport operator

 has the same meaning as in the 

Aviation 

14 

Transport Security Act 2004

15 

air service

 has the same meaning as in the 

Aviation Transport 

16 

Security Act 2004

17 

approved staff member of the authorised agency

 has the meaning 

18 

given by section 35BJ. 

19 

ASD

 means the Australian Signals Directorate. 

20 

asset

 includes: 

21 

 

(a)  a system; and 

22 

 

(b)  a network; and 

23 

 

(c)  a facility; and 

24 

 

(d)  a computer; and 

25 

 

(e)  a computer device; and 

26 

 

(f)  a computer program; and 

27 

 

(g)  computer data; and 

28 

 

(h)  premises; and 

29 

 

(i)  any other thing. 

30 

associated entity

 has the same meaning as in the 

Corporations Act 

31 

2001

32 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

8

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

associated transmission facility

 means: 

 

(a)  an antenna; or 

 

(b)  a combiner; or 

 

(c)  a feeder system; or 

 

(d)  an apparatus; or 

 

(e)  an item of equipment; or 

 

(f)  a structure; or 

 

(g)  a line; or 

 

(h)  an electricity cable or wire; 

that is associated with a radiocommunications transmitter. 

10 

AusCheck scheme

 has the same meaning as in the

 AusCheck Act 

11 

2007

12 

Australia

, when used in a geographical sense, includes the external 

13 

Territories. 

14 

Australian CS facility licence

 has the same meaning as in 

15 

Chapter 7 of the 

Corporations Act 2001

16 

Australian derivative trade repository licence

 has the same 

17 

meaning as in Chapter 7 of the 

Corporations Act 2001

18 

Australian market licence

 has the same meaning as in Chapter 7 

19 

of the 

Corporations Act 2001

20 

authorised agency

 means ASD. 

21 

authorised deposit-taking institution

 has the same meaning as in 

22 

the 

Banking Act 1959

23 

background check

 has the same meaning as in the

 AusCheck Act 

24 

2007

25 

banking business

 has the same meaning as in the 

Banking Act 

26 

1959

27 

benchmark administrator licence

 has the same meaning as in the 

28 

Corporations Act 2001

29 

broadcasting re-transmission asset

 means: 

30 

 

(a)  a radiocommunications transmitter; or 

31 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

9

 

 

 

(b)  a broadcasting transmission tower; or 

 

(c)  an associated transmission facility; 

that is used in connection with the transmission of a service to 

which, as a result of section 212 of the 

Broadcasting Services Act 

1992

, the regulatory regime established by that Act does not apply. 

broadcasting service

 has the same meaning as in the 

Broadcasting 

Services Act 1992. 

broadcasting transmission asset

 means: 

 

(a)  a radiocommunications transmitter; or 

 

(b)  a broadcasting transmission tower; or 

10 

 

(c)  an associated transmission facility; 

11 

that is used, or is capable of being used, in connection with the 

12 

transmission of: 

13 

 

(d)  a national broadcasting service; or 

14 

 

(e)  a commercial radio broadcasting service; or 

15 

 

(f)  a commercial television broadcasting service. 

16 

broadcasting transmission tower

 has the same meaning as in 

17 

Schedule 4 to the 

Broadcasting Services Act 1992. 

18 

business critical data

 means: 

19 

 

(a)  personal information (within the meaning of the 

Privacy Act 

20 

1988

) that relates to at least 20,000 individuals; or 

21 

 

(b)  information relating to any research and development in 

22 

relation to a critical infrastructure asset; or 

23 

 

(c)  information relating to any systems needed to operate a 

24 

critical infrastructure asset; or 

25 

 

(d)  information needed to operate a critical infrastructure asset; 

26 

or 

27 

 

(e)  information relating to risk management and business 

28 

continuity (however described) in relation to a critical 

29 

infrastructure asset. 

30 

carriage service

 has the same meaning as in the 

31 

Telecommunications Act 1997.

 

32 

carriage service provider

 has the same meaning as in the 

33 

Telecommunications Act 1997.

 

34 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

10

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

carrier

 has the same meaning as in the 

Telecommunications Act 

1997. 

chief executive of the authorised agency

 means the 

Director-General of ASD. 

clearing and settlement facility

 

has the same meaning as in 

Chapter 7 of the 

Corporations Act 2001

commercial radio broadcasting service

 has the same meaning as 

in the 

Broadcasting Services Act 1992.

 

commercial television broadcasting service

 has the same meaning 

as in the 

Broadcasting Services Act 1992. 

10 

communications sector

 means the sector of the Australian 

11 

economy that involves: 

12 

 

(a)  supplying a carriage service; or 

13 

 

(b)  providing a broadcasting service; or 

14 

 

(c)  owning or operating assets that are used in connection with 

15 

the supply of a carriage service; or 

16 

 

(d)  owning or operating assets that are used in connection with 

17 

the transmission of a broadcasting service; or 

18 

 

(e)  administering an Australian domain name system. 

19 

computer

 means all or part of: 

20 

 

(a)  one or more computers; or 

21 

 

(b)  one or more computer systems; or 

22 

 

(c)  one or more computer networks; or 

23 

 

(d)  any combination of the above. 

24 

computer data

 means data held in: 

25 

 

(a)  a computer; or 

26 

 

(b)  a data storage device. 

27 

computer device

 means a device connected to a computer. 

28 

connected

 includes connection otherwise than by means of 

29 

physical contact, for example, a connection by means of 

30 

radiocommunication. 

31 

constable

 has the same meaning as in the 

Crimes Act 1914

32 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

11

 

 

credit facility

 has the meaning given by regulations made for the 

purposes of paragraph 12BAA(7)(k) of the 

Australian Securities 

and Investments Commission Act 2001

credit facility business

 means a business that offers, or provides 

services in relation to, a credit facility. 

critical aviation asset

 means: 

 

(a)  an asset that: 

 

(i)  is used in connection with the provision of an air 

service; and 

 

(ii)  is owned or operated by an aircraft operator; or 

10 

 

(b)  an asset that: 

11 

 

(i)  is used in connection with the provision of an air 

12 

service; and 

13 

 

(ii)  is owned or operated by a regulated air cargo agent; or 

14 

 

(c)  an asset that is used by an airport operator in connection with 

15 

the operation of an airport. 

16 

Note: 

The rules may prescribe that a specified critical aviation asset is not a 

17 

critical infrastructure asset (see section 9). 

18 

critical banking asset

 has the meaning given by section 12G. 

19 

Note: 

The rules may prescribe that a specified critical banking asset is not a 

20 

critical infrastructure asset (see section 9). 

21 

critical broadcasting asset

 has the meaning given by section 12E. 

22 

Note: 

The rules may prescribe that a specified critical broadcasting asset is 

23 

not a critical infrastructure asset (see section 9). 

24 

critical data storage or processing asset

 has the meaning given by 

25 

section 12F. 

26 

Note: 

The rules may prescribe that a specified critical data storage or 

27 

processing asset is not a critical infrastructure asset (see section 9). 

28 

critical defence capability

 includes: 

29 

 

(a)  materiel; and 

30 

 

(b)  technology; and 

31 

 

(c)  a platform; and 

32 

 

(d)  a network; and 

33 

 

(e)  a system; and 

34 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

12

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(f)  a service; 

that is required in connection with: 

 

(g)  the defence of Australia; or 

 

(h)  national security. 

critical defence industry asset

 means an asset that: 

 

(a)  is being, or will be, supplied by an entity to the Defence 

Department, or the Australian Defence Force, under a 

contract; and 

 

(b)  consists of, or enables, a critical defence capability. 

Note: 

The rules may prescribe that a specified critical defence industry asset 

10 

is not a critical infrastructure asset (see section 9). 

11 

critical domain name system

 has the meaning given by 

12 

section 12KA. 

13 

Note: 

The rules may prescribe that a specified critical domain name system 

14 

is not a critical infrastructure asset (see section 9). 

15 

critical education asset

 means a university that is owned or 

16 

operated by an entity that is registered in the Australian university 

17 

category of the National Register of Higher Education Providers. 

18 

Note: 

The rules may prescribe that a specified critical education asset is not 

19 

a critical infrastructure asset (see section 9). 

20 

critical energy market operator

 

asset

 means an asset that: 

21 

 

(a)  is owned or operated by: 

22 

 

(i)  Australian Energy Market Operator Limited (ACN 

23 

072 010 327); or 

24 

 

(ii)  Power and Water Corporation; or 

25 

 

(iii)  Regional Power Corporation; or 

26 

 

(iv)  Electricity Networks Corporation; and 

27 

 

(b)  is used in connection with the operation of an energy market 

28 

or system; and 

29 

 

(c)  is critical to ensuring the security and reliability of an energy 

30 

market; 

31 

but does not include: 

32 

 

(d)  a critical electricity asset; or 

33 

 

(e)  a critical gas asset; or 

34 

 

(f)  a critical liquid fuel asset. 

35 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

13

 

 

Note: 

The rules may prescribe that a specified critical energy market 

operator asset is not a critical infrastructure asset (see section 9). 

critical financial market infrastructure asset

 has the meaning 

given by section 12D. 

Note: 

The rules may prescribe that a specified critical financial market 

infrastructure asset is not a critical infrastructure asset (see section 9). 

critical food and grocery asset

 has the meaning given by 

section 12K. 

Note: 

The rules may prescribe that a specified critical food and grocery asset 

is not a critical infrastructure asset (see section 9). 

10 

critical freight infrastructure asset

 has the meaning given by 

11 

section 12B. 

12 

Note: 

The rules may prescribe that a specified critical freight infrastructure 

13 

asset is not a critical infrastructure asset (see section 9). 

14 

critical freight services asset

 has the meaning given by 

15 

section 12C. 

16 

Note: 

The rules may prescribe that a specified critical freight services asset 

17 

is not a critical infrastructure asset (see section 9). 

18 

critical hospital

 means a hospital that has a general intensive care 

19 

unit. 

20 

Note: 

The rules may prescribe that a specified critical hospital is not a 

21 

critical infrastructure asset (see section 9). 

22 

critical infrastructure risk management program

 has the meaning 

23 

given by section 30AH. 

24 

critical infrastructure sector

 has the meaning given by section 8D. 

25 

critical infrastructure sector asset

 has the meaning given by 

26 

subsection 8E(1). 

27 

critical insurance asset

 has the meaning given by section 12H. 

28 

Note: 

The rules may prescribe that a specified critical insurance asset is not 

29 

a critical infrastructure asset (see section 9). 

30 

critical liquid fuel asset

 has the meaning given by section 12A. 

31 

Note: 

The rules may prescribe that a specified critical liquid fuel asset is not 

32 

a critical infrastructure asset (see section 9). 

33 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

14

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

critical public transport asset

 means a public transport network or 

system that: 

 

(a)  is managed by a single entity; and 

 

(b)  is capable of handling at least 5 million passenger journeys 

per month; 

but does not include a critical aviation asset. 

Note: 

The rules may prescribe that a specified critical public transport asset 

is not a critical infrastructure asset (see section 9). 

critical superannuation asset

 has the meaning given by 

section 12J. 

10 

Note: 

The rules may prescribe that a specified critical superannuation asset 

11 

is not a critical infrastructure asset (see section 9). 

12 

critical telecommunications

 

asset

 means: 

13 

 

(a)  a telecommunications network that is: 

14 

 

(i)  owned or operated by a carrier; and 

15 

 

(ii)  used to supply a carriage service; or 

16 

 

(b)  a telecommunications network, or any other asset, that is: 

17 

 

(i)  owned or operated by a carriage service provider; and 

18 

 

(ii)  used in connection with the supply of a carriage service. 

19 

Note: 

The rules may prescribe that a specified critical telecommunications 

20 

asset is not a critical infrastructure asset (see section 9). 

21 

cyber security exercise

 has the meaning given by section 30CN. 

22 

cyber security incident

 has the meaning given by section 12M.

 

23 

data

 includes information in any form. 

24 

data storage

 means data storage that involves information 

25 

technology, and includes data back-up. 

26 

data storage device

 means a thing (for example, a disk or file 

27 

server) containing (whether temporarily or permanently), or 

28 

designed to contain (whether temporarily or permanently), data for 

29 

use by a computer. 

30 

data storage or processing provider

 means an entity that provides 

31 

a data storage or processing service. 

32 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

15

 

 

data storage or processing sector

 means the sector of the 

Australian economy that involves providing data storage or 

processing services. 

data storage or processing service

 means: 

 

(a)  a service that enables end-users to store or back-up data; or 

 

(b)  a data processing service. 

Defence Department

 means the Department of State that deals 

with defence and that is administered by the Defence Minister. 

defence industry sector

 means the sector of the Australian 

economy that involves the provision of critical defence 

10 

capabilities. 

11 

Defence Minister

 means the Minister administering section 1 of 

12 

the 

Defence Act 1903

13 

derivative trade repository

 has the same meaning as in Chapter 7 

14 

of the 

Corporations Act 2001

15 

designated officer

 has the meaning given by section 30DQ. 

16 

Electricity Networks Corporation

 means the Electricity Networks 

17 

Corporation established by section 4 of the 

Electricity 

18 

Corporations Act 2005 

(WA). 

19 

electronic communication

 means a communication of information 

20 

in any form by means of guided or unguided electromagnetic 

21 

energy. 

22 

energy sector

 means the sector of the Australian economy that 

23 

involves: 

24 

 

(a)  the production, transmission, distribution or supply of 

25 

electricity; or 

26 

 

(b)  the production, processing, transmission, distribution or 

27 

supply of gas; or 

28 

 

(c)  the production, processing, transmission, distribution or 

29 

supply of liquid fuel. 

30 

engage in conduct

 means: 

31 

 

(a)  do an act or thing; or 

32 

 

(b)  omit to perform an act or thing. 

33 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

16

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

evaluation report

 has the meaning given by section 30CS. 

external auditor

 means a person authorised under section 30CT to 

be an external auditor for the purposes of this Act. 

financial benchmark

 has the same meaning as in Part 7.5B of the 

Corporations Act 2001

financial market

 has the same meaning as in Chapter 7 of the 

Corporations Act 2001

financial services and markets sector

 means the sector of the 

Australian economy that involves: 

 

(a)  carrying on banking business; or 

10 

 

(b)  operating a superannuation fund; or 

11 

 

(c)  carrying on insurance business; or 

12 

 

(d)  carrying on life insurance business; or 

13 

 

(e)  carrying on health insurance business; or 

14 

 

(f)  operating a financial market; or 

15 

 

(g)  operating a clearing and settlement facility; 

16 

 

(h)  operating a derivative trade repository; or 

17 

 

(i)  administering a financial benchmark; or 

18 

 

(j)  operating a payment system; or 

19 

 

(k)  carrying on financial services business; or 

20 

 

(l)  carrying on credit facility business. 

21 

financial services business

 has the same meaning as in Chapter 7 

22 

of the 

Corporations Act 2001

23 

food

 means food for human consumption. 

24 

food and grocery sector

 means the sector of the Australian 

25 

economy that involves: 

26 

 

(a)  manufacturing; or 

27 

 

(b)  processing; or 

28 

 

(c)  packaging; or 

29 

 

(d)  distributing; or 

30 

 

(e)  supplying; 

31 

food or groceries on a commercial basis. 

32 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

17

 

 

gas

 means a substance that: 

 

(a)  is in a gaseous state at standard temperature and pressure; 

and 

 

(b)  consists of naturally occurring hydrocarbons, or a naturally 

occurring mixture of hydrocarbons and non-hydrocarbons, 

the principal constituent of which is methane; and 

 

(c)  is suitable for consumption. 

general intensive care unit

 means an area within a hospital that: 

 

(a)  is equipped and staffed so that it is capable of providing to a 

patient: 

10 

 

(i)  mechanical ventilation for a period of several days; and 

11 

 

(ii)  invasive cardiovascular monitoring; and 

12 

 

(b)  is supported by: 

13 

 

(i)  during normal working hours--at least one specialist, or 

14 

consultant physician, in the specialty of intensive care, 

15 

who is immediately available, and exclusively rostered, 

16 

to that area; and 

17 

 

(ii)  at all times--at least one medical practitioner who is 

18 

present in the hospital and immediately available to that 

19 

area; and 

20 

 

(iii)  at least 18 hours each day--at least one nurse; and 

21 

 

(c)  has admission and discharge policies in operation. 

22 

government business enterprise

 has the same meaning as in the 

23 

Public Governance, Performance and Accountability Act 2013

24 

health care

 includes: 

25 

 

(a)  services provided by individuals who practise in any of the 

26 

following professions or occupations: 

27 

 

(i)  dental (including the profession of a dentist, dental 

28 

therapist, dental hygienist, dental prosthetist and oral 

29 

health therapist); 

30 

 

(ii)  medical; 

31 

 

(iii)  medical radiation practice; 

32 

 

(iv)  nursing; 

33 

 

(v)  midwifery; 

34 

 

(vi)  occupational therapy; 

35 

 

(vii)  optometry; 

36 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

18

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(viii)  pharmacy; 

 

(ix)  physiotherapy; 

 

(x)  podiatry; 

 

(xi)  psychology; 

 

(xii)  a profession or occupation specified in the rules; and 

 

(b)  treatment and maintenance as a patient at a hospital. 

health care and medical sector

 means the sector of the Australian 

economy that involves: 

 

(a)  the provision of health care; or 

 

(b)  the production, distribution or supply of medical supplies. 

10 

health insurance business

 has the same meaning as in the 

Private 

11 

Health Insurance Act 2007

12 

higher education and research sector

 means the sector of the 

13 

Australian economy that involves: 

14 

 

(a)  being a higher education provider; or 

15 

 

(b)  undertaking a program of research that: 

16 

 

(i)  is supported financially (in whole or in part) by the 

17 

Commonwealth; or 

18 

 

(ii)  is relevant to a critical infrastructure sector (other than 

19 

the higher education and research sector). 

20 

higher education provider

 has the same meaning as in the 

Tertiary 

21 

Education Quality and Standards Agency Act 2011

22 

hospital

 

has the same meaning as in the 

Private Health Insurance 

23 

Act 2007

24 

IGIS official

 means: 

25 

 

(a)  the Inspector-General of Intelligence and Security; or 

26 

 

(b)  any other person covered by subsection 32(1) of the 

27 

Inspector-General of Intelligence and Security Act 1986

28 

impairment of electronic communication to or from a computer

 

29 

includes: 

30 

 

(a)  the prevention of any such communication; and 

31 

 

(b)  the impairment of any such communication on an electronic 

32 

link or network used by the computer; 

33 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

19

 

 

but does not include a mere interception of any such 

communication. 

incident response plan

 has the meaning given by section 30CJ. 

inland waters

 means waters within Australia other than waters of 

the sea. 

insurance business

 has the same meaning as in the 

Insurance Act 

1973

internet carriage service

 means a listed carriage service that 

enables end-users to access the internet. 

life insurance business

 has the same meaning as in the 

Life 

10 

Insurance Act 1995

11 

liquid fuel

 has the same meaning as in the 

Liquid Fuel Emergency 

12 

Act 1984

13 

listed carriage service

 has the same meaning as in the 

14 

Telecommunications Act 1997

15 

local hospital network

 has the same meaning as in the 

National 

16 

Health Reform Act 2011.

 

17 

managed service provider

, in relation to an asset, means an entity 

18 

that: 

19 

 

(a)  manages: 

20 

 

(i)  the asset; or 

21 

 

(ii)  a part of the asset; or 

22 

 

(b)  manages an aspect of: 

23 

 

(i)  the asset; or 

24 

 

(ii)  a part of the asset; or 

25 

 

(c)  manages an aspect of the operation of: 

26 

 

(i)  the asset; or 

27 

 

(ii)  a part of the asset. 

28 

medical supplies

 includes: 

29 

 

(a)  goods for therapeutic use; and 

30 

 

(b)  things specified in the rules. 

31 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

20

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

Ministerial authorisation

 means an authorisation under 

section 35AB. 

modification

 

(a)  in respect of computer data--means: 

 

(i)  the alteration or removal of the data; or 

 

(ii)  an addition to the data; or 

 

(b)  in respect of a computer program--means: 

 

(i)  the alteration or removal of the program; or 

 

(ii)  an addition to the program. 

national broadcasting service

 has the same meaning as in the 

10 

Broadcasting Services Act 1992.

 

11 

National Register of Higher Education Providers

 means the 

12 

register established and maintained under section 198 of the 

13 

Tertiary Education Quality and Standards Agency Act 2011

14 

notification provision

 means: 

15 

 

(a)  subsection 35AE(3); or 

16 

 

(b)  subsection 35AE(4); or 

17 

 

(c)  subsection 35AE(5); or 

18 

 

(d)  subsection 35AE(6); or 

19 

 

(e)  subsection 35AE(7); or 

20 

 

(f)  subsection 35AE(8); or 

21 

 

(g)  subsection 35AH(5); or 

22 

 

(h)  subsection 35AH(6); or 

23 

 

(i)  subsection 35AH(7); or 

24 

 

(j)  subsection 35AY(3); or 

25 

 

(k)  subsection 35AY(4); or 

26 

 

(l)  subsection 35AY(5); or 

27 

 

(m)  subsection 35AY(6); or 

28 

 

(n)  subsection 35AY(7); or 

29 

 

(o)  subsection 35AY(8); or 

30 

 

(p)  subsection 51(3); or 

31 

 

(q)  subsection 52(4); or 

32 

 

(r)  subsection 52B(3); or 

33 

 

(s)  subsection 52D(4). 

34 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

21

 

 

Ombudsman official

 means: 

 

(a)  the Ombudsman; or 

 

(b)  a Deputy Commonwealth Ombudsman; or 

 

(c)  a person who is a member of the staff referred to in 

subsection 31(1) of the 

Ombudsman Act 1976

8  Section 5 (paragraph (b) of the definition of 

operator

Repeal the paragraph, substitute: 

 

(b)  for a critical infrastructure asset other than a critical port--an 

entity that operates the asset or part of the asset. 

9  Section 5 

10 

Insert: 

11 

payment system 

has the same meaning as in the 

Payment Systems 

12 

(Regulation) Act 1998

13 

10  Section 5 

14 

Insert: 

15 

Power and Water Corporation

 means the Power and Water 

16 

Corporation established by section 4 of the 

Power and Water 

17 

Corporation Act 1987 

(NT). 

18 

11  Section 5 (after paragraph (b) of the definition of 

protected 

19 

information

20 

 Insert: 

21 

 

(ba)  records or is the fact that an asset is declared under 

22 

section 52B to be a system of national significance; or 

23 

 

(bb)  records or is the fact that the Minister has: 

24 

 

(i)  given a Ministerial authorisation; or 

25 

 

(ii)  revoked a Ministerial authorisation; or 

26 

 

(bc)  is, or is included in, a critical infrastructure risk management 

27 

program that is adopted by an entity in compliance with 

28 

section 30AC; or 

29 

 

(bd)  is, or is included in, a report that is given under 

30 

section 30AG; or 

31 

 

(be)  is, or is included in, a report under section 30BC or 30BD; or 

32 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

22

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(bf)  is, or is included in, an incident response plan adopted by an 

entity in compliance with section 30CD; or 

 

(bg)  is, or is included in, an evaluation report prepared under 

section 30CQ or 30CR; or 

 

(bh)  is, or is included in, a vulnerability assessment report 

prepared under section 30CZ; or 

 

(bi)  is, or is included in, a report prepared in compliance with: 

 

(i)  a system information periodic reporting notice; or 

 

(ii)  a system information event-based reporting notice; or 

 

(bj)  records or is the fact that the Secretary has: 

10 

 

(i)  given a direction under section 35AK; or 

11 

 

(ii)  revoked such a direction; or 

12 

 

(bk)  records or is the fact that the Secretary has: 

13 

 

(i)  given a direction under section 35AQ; or 

14 

 

(ii)  revoked such a direction; or 

15 

 

(bl)  records or is the fact that the Secretary has: 

16 

 

(i)  given a request under section 35AX; or 

17 

 

(ii)  revoked such a request; or 

18 

12  Section 5 (paragraph (c) of the definition of 

protected 

19 

information

20 

Omit "or (b)", substitute ", (b), (ba), (bb), (bc), (bd), (be), (bf), (bg), 

21 

(bh), (bi), (bj), (bk) or (bl)". 

22 

13  Section 5 

23 

Insert: 

24 

radiocommunications transmitter

 has the same meaning as in the 

25 

Radiocommunications Act 1992

26 

regional centre

 means a city, or a town that has a population of 

27 

10,000 or more people. 

28 

Regional Power Corporation

 means the Regional Power 

29 

Corporation established by section 4 of the 

Electricity 

30 

Corporations Act 2005 

(WA). 

31 

registrable superannuation entity

 has the same meaning as in the 

32 

Superannuation Industry (Supervision) Act 1993

33 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

23

 

 

regulated air cargo agent

 has the same meaning as in the 

Aviation 

Transport Security Act 2004

related body corporate

 has the same meaning as in the 

Corporations Act 2001

relevant Commonwealth regulator

 means: 

 

(a)  a Department that is specified in the rules; or 

 

(b)  a body that is: 

 

(i)  established by a law of the Commonwealth; and 

 

(ii)  specified in the rules. 

relevant entity

, in relation to an asset, means an entity that: 

10 

 

(a)  is the responsible entity for the asset; or 

11 

 

(b)  is a direct interest holder in relation to the asset; or 

12 

 

(c)  is an operator of the asset; or 

13 

 

(d)  is a managed service provider for the asset. 

14 

relevant impact

 has the meaning given by section 8G. 

15 

14  Section 5 (definition of 

relevant industry

16 

Repeal the definition. 

17 

15  Section 5 (definition of 

responsible entity

18 

Repeal the definition, substitute: 

19 

responsible entity

, for an asset, has the meaning given by 

20 

section 12L. 

21 

16  Section 5 (paragraph (a) of the definition of 

security

22 

Omit "10 and 12", substitute "the definition of 

critical energy market 

23 

operator

 

asset

 and sections 10, 12, 12A, 12D, 12G, 12H, 12J, 12M, 

24 

12N, 30AG, 30CB, 30CM, 30CR, 30CU and 30CW". 

25 

17  Section 5 (paragraph (b) of the definition of 

security

26 

Omit "10 and 12", substitute "the definition of 

critical energy market 

27 

operator

 

asset

 and sections 10, 12, 12A, 12D, 12G, 12H, 12J, 12M, 

28 

12N, 30AG, 30CB, 30CM, 30CR, 30CU and 30CW". 

29 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

24

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

18  Section 5 

Insert: 

significant financial benchmark

 has the same meaning as in the 

Corporations Act 2001

space technology sector

 means the sector of the Australian 

economy that involves the commercial provision of space-related 

services. 

Note: 

The following are examples of space-related services: 

(a)  position, navigation and timing services in relation to space 

objects; 

10 

(b)  space situational awareness services; 

11 

(c)  space weather monitoring and forecasting; 

12 

(d)  communications, tracking, telemetry and control in relation to 

13 

space objects; 

14 

(e)  remote sensing earth observations from space; 

15 

(f)  facilitating access to space. 

16 

staff member

, in relation to the authorised agency, means a staff 

17 

member of ASD (within the meaning of the 

Intelligence Services 

18 

Act 2001

). 

19 

system information event-based reporting notice

 

means a notice 

20 

under subsection 30DC(2). 

21 

system information periodic reporting notice

 

means a notice under 

22 

subsection 30DB(2). 

23 

system information software notice

 means a notice under 

24 

subsection 30DJ(2).

 

25 

system of national significance

 has the meaning given by 

26 

section 52B. 

27 

technical assistance notice

 has the same meaning as in Part 15 of 

28 

the 

Telecommunications Act 1997

29 

technical assistance request

 has the same meaning as in Part 15 of 

30 

the 

Telecommunications Act 1997

31 

technical capability notice

 has the same meaning as in Part 15 of 

32 

the 

Telecommunications Act 1997

33 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

25

 

 

telecommunications network

 has the same meaning as in the 

Telecommunications Act 1997. 

therapeutic use

 has the same meaning as in the 

Therapeutic Goods 

Act 1989

transport sector

 means the sector of the Australian economy that 

involves: 

 

(a)  owning or operating assets that are used in connection with 

the transport of goods or passengers on a commercial basis; 

or 

 

(b)  the transport of goods or passengers on a commercial basis. 

10 

unauthorised access, modification or impairment

 has the meaning 

11 

given by section 12N.

 

12 

vulnerability assessment

 has the meaning given by section 30CY. 

13 

vulnerability assessment report

 has the meaning given by 

14 

section 30DA. 

15 

water and sewerage sector

 means the sector of the Australian 

16 

economy that involves: 

17 

 

(a)  operating water or sewerage systems or networks; or 

18 

 

(b)  manufacturing or supplying goods, or providing services, for 

19 

use in connection with the operation of water or sewerage 

20 

systems or networks. 

21 

19  Section 5 (definition of 

water utility

22 

After "water services", insert "or sewerage services, or both". 

23 

20  At the end of section 6 

24 

Add: 

25 

Interest and control information provided by the Commonwealth 

26 

 

(5)  If the first entity: 

27 

 

(a)  is the Governor-General, the Prime Minister or a Minister; 

28 

and 

29 

 

(b)  is a direct interest holder in relation to an asset because of 

30 

paragraph 8(1)(b); 

31 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

26

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

the first entity is not required to provide any interest and control 

information. 

Note: 

The expression 

Minister

 is defined in section 2B of the 

Acts 

Interpretation Act 1901

 

(6)  However, subsection (5) does not affect the obligation of the 

Commonwealth to provide interest and control information in 

relation to the asset if the Commonwealth is also a direct interest 

holder in relation to the asset because of paragraph 8(1)(a) or (b). 

21  After section 8C 

Insert: 

10 

8D  Meaning of 

critical infrastructure sector

 

11 

 

  Each of the following sectors of the Australian economy is a 

12 

critical infrastructure sector

13 

 

(a)  the communications sector; 

14 

 

(b)  the data storage or processing sector; 

15 

 

(c)  the financial services and markets sector; 

16 

 

(d)  the water and sewerage sector; 

17 

 

(e)  the energy sector; 

18 

 

(f)  the health care and medical sector; 

19 

 

(g)  the higher education and research sector; 

20 

 

(h)  the food and grocery sector; 

21 

 

(i)  the transport sector; 

22 

 

(j)  the space technology sector; 

23 

 

(k)  the defence industry sector. 

24 

8E  Meaning of 

critical infrastructure sector asset

 

25 

 

(1)  An asset is a 

critical infrastructure sector asset

 if it is an asset that 

26 

relates to a critical infrastructure sector. 

27 

Deeming--when asset relates to a sector 

28 

 

(2)  For the purposes of this Act, each of the following assets is taken 

29 

to relate to the communications sector: 

30 

 

(a)  a critical telecommunications asset; 

31 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

27

 

 

 

(b)  a critical broadcasting asset; 

 

(c)  a critical domain name system. 

 

(3)  For the purposes of this Act, a critical data storage or processing 

asset is taken to relate to the data storage or processing sector. 

 

(4)  For the purposes of this Act, each of the following assets is taken 

to relate to the financial services and markets sector: 

 

(a)  a critical banking asset; 

 

(b)  a critical superannuation asset; 

 

(c)  a critical insurance asset; 

 

(d)  a critical financial market infrastructure asset. 

10 

 

(5)  For the purposes of this Act, a critical water asset is taken to relate 

11 

to the water and sewerage sector. 

12 

 

(6)  For the purposes of this Act, each of the following assets is taken 

13 

to relate to the energy sector: 

14 

 

(a)  a critical electricity asset; 

15 

 

(b)  a critical gas asset; 

16 

 

(c)  a critical energy market operator asset; 

17 

 

(d)  a critical liquid fuel asset. 

18 

 

(7)  For the purposes of this Act, a critical hospital is taken to relate to 

19 

the health care and medical sector. 

20 

 

(8)  For the purposes of this Act, a critical education asset is taken to 

21 

relate to the higher education and research sector. 

22 

 

(9)  For the purposes of this Act, a critical food and grocery asset is 

23 

taken to relate to the food and grocery sector. 

24 

 

(10)  For the purposes of this Act, each of the following assets is taken 

25 

to relate to the transport sector: 

26 

 

(a)  a critical port; 

27 

 

(b)  a critical freight infrastructure asset; 

28 

 

(c)  a critical freight services asset; 

29 

 

(d)  a critical public transport asset; 

30 

 

(e)  a critical aviation asset. 

31 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

28

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(11)  For the purposes of this Act, a critical defence industry asset is 

taken to relate to the defence industry sector. 

8F  Critical infrastructure sector for a critical infrastructure asset 

 

  For the purposes of this Act, the critical infrastructure sector for a 

critical infrastructure asset is the critical infrastructure sector to 

which the asset relates. 

8G  Meaning of 

relevant impact

 

 

(1)  Each of the following is a 

relevant impact

 of a hazard on a critical 

infrastructure asset: 

 

(a)  the impact (whether direct or indirect) of the hazard on the 

10 

availability of the asset; 

11 

 

(b)  the impact (whether direct or indirect) of the hazard on the 

12 

integrity of the asset; 

13 

 

(c)  the impact (whether direct or indirect) of the hazard on the 

14 

reliability of the asset; 

15 

 

(d)  the impact (whether direct or indirect) of the hazard on the 

16 

confidentiality of: 

17 

 

(i)  information about the asset; or 

18 

 

(ii)  if information is stored in the asset--the information; or 

19 

 

(iii)  if the asset is computer data--the computer data. 

20 

 

(2)  Each of the following is a 

relevant impact

 of a cyber security 

21 

incident on a critical infrastructure asset: 

22 

 

(a)  the impact (whether direct or indirect) of the incident on the 

23 

availability of the asset; 

24 

 

(b)  the impact (whether direct or indirect) of the incident on the 

25 

integrity of the asset; 

26 

 

(c)  the impact (whether direct or indirect) of the incident on the 

27 

reliability of the asset; 

28 

 

(d)  the impact (whether direct or indirect) of the incident on the 

29 

confidentiality of: 

30 

 

(i)  information about the asset; or 

31 

 

(ii)  if information is stored in the asset--the information; or 

32 

 

(iii)  if the asset is computer data--the computer data. 

33 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

29

 

 

 

(3)  Each of the following is a 

relevant impact

 of a cyber security 

incident on a system of national significance: 

 

(a)  the impact (whether direct or indirect) of the incident on the 

availability of the system; 

 

(b)  the impact (whether direct or indirect) of the incident on the 

integrity of the system; 

 

(c)  the impact (whether direct or indirect) of the incident on the 

reliability of the system; 

 

(d)  the impact (whether direct or indirect) of the incident on the 

confidentiality of: 

10 

 

(i)  information about the system; or 

11 

 

(ii)  if information is stored in the system--the information; 

12 

or 

13 

 

(iii)  if the system is computer data--the computer data. 

14 

22  Paragraphs 9(1)(a), (b), (c) and (d) 

15 

Repeal the paragraphs, substitute: 

16 

 

(a)  a critical telecommunications asset; or 

17 

 

(b)  a critical broadcasting asset; or 

18 

 

(c)  a critical domain name system; or 

19 

 

(d)  a critical data storage or processing asset; or 

20 

 

(da)  a critical banking asset; or 

21 

 

(db)  a critical superannuation asset; or 

22 

 

(dc)  a critical insurance asset; or 

23 

 

(dd)  a critical financial market infrastructure asset; or 

24 

 

(de)  a critical water asset; or 

25 

 

(df)  a critical electricity asset; or 

26 

 

(dg)  a critical gas asset; or 

27 

 

(dh)  a critical energy market operator asset; or 

28 

 

(di)  a critical liquid fuel asset; or 

29 

 

(dj)  a critical hospital; or 

30 

 

(dk)  a critical education asset; or 

31 

 

(dl)  a critical food and grocery asset; or 

32 

 

(dm)  a critical port; or 

33 

 

(dn)  a critical freight infrastructure asset; or 

34 

 

(do)  a critical freight services asset; or 

35 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

30

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(dp)  a critical public transport asset; or 

 

(dq)  a critical aviation asset; or 

 

(dr)  a critical defence industry asset; or 

23  At the end of subsection 9(1) 

Add: 

Note: 

For prescription by class, see subsection 13(3) of the 

Legislation Act 

2003

24  Paragraphs 9(2)(a), (b), (c) and (d) 

Repeal the paragraphs, substitute: 

 

(a)  a critical telecommunications asset; or 

10 

 

(b)  a critical broadcasting asset; or 

11 

 

(c)  a critical domain name system; or 

12 

 

(d)  a critical data storage or processing asset; or 

13 

 

(e)  a critical banking asset; or 

14 

 

(f)  a critical superannuation asset; or 

15 

 

(g)  a critical insurance asset; or 

16 

 

(h)  a critical financial market infrastructure asset; or 

17 

 

(i)  a critical water asset; or 

18 

 

(j)  a critical electricity asset; or 

19 

 

(k)  a critical gas asset; or 

20 

 

(l)  a critical energy market operator asset; or 

21 

 

(m)  a critical liquid fuel asset; or 

22 

 

(n)  a critical hospital; or 

23 

 

(o)  a critical education asset; or 

24 

 

(p)  a critical food and grocery asset; or 

25 

 

(q)  a critical port; or 

26 

 

(r)  a critical freight infrastructure asset; or 

27 

 

(s)  a critical freight services asset; or 

28 

 

(t)  a critical public transport asset; or 

29 

 

(u)  a critical aviation asset; or 

30 

 

(v)  a critical defence industry asset; 

31 

25  At the end of subsection 9(2) 

32 

Add: 

33 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

31

 

 

Note: 

For prescription by class, see subsection 13(3) of the 

Legislation Act 

2003

26  After subsection 9(2) 

Insert: 

 

(2A)  If an asset is owned by: 

 

(a)  the Commonwealth; or 

 

(b)  a body corporate established by a law of the Commonwealth 

(other than a government business enterprise); 

the asset is not a critical infrastructure asset unless: 

 

(c)  the asset is declared under section 51 to be a critical 

10 

infrastructure asset; or 

11 

 

(d)  the asset is prescribed by the rules for the purposes of 

12 

paragraph (1)(f). 

13 

 

(2B)  An asset is not a critical infrastructure asset if, or to the extent to 

14 

which, the asset is located outside Australia. 

15 

27  Paragraph 9(3)(b) 

16 

Repeal the paragraph, substitute: 

17 

 

(b)  the asset relates to a critical infrastructure sector. 

18 

28  Subparagraph 9(4)(a)(i) 

19 

Before "located", insert "wholly or partly". 

20 

29  Subparagraph 9(4)(a)(ii) 

21 

Omit "industry for the asset", substitute "critical infrastructure sector". 

22 

30  Paragraph 10(1)(a) 

23 

After "customers", insert "or any other number of customers prescribed 

24 

by the rules". 

25 

31  Paragraph 12(1)(b) 

26 

Repeal the paragraph, substitute: 

27 

 

(b)  a gas storage facility that has a maximum daily withdrawal 

28 

capacity of at least 75 terajoules per day or any other 

29 

maximum daily withdrawal capacity prescribed by the rules; 

30 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

32

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

32  After section 12 

Insert: 

12A  Meaning of 

critical liquid fuel asset

 

 

(1)  An asset is a 

critical liquid fuel asset

 if it is any of the following: 

 

(a)  a liquid fuel refinery that is critical to ensuring the security 

and reliability of a liquid fuel market, in accordance with 

subsection (2); 

 

(b)  a liquid fuel pipeline that is critical to ensuring the security 

and reliability of a liquid fuel market, in accordance with 

subsection (3); 

10 

 

(c)  a liquid fuel storage facility that is critical to ensuring the 

11 

security and reliability of a liquid fuel market, in accordance 

12 

with subsection (4). 

13 

Note: 

The rules may prescribe that a specified critical liquid fuel asset is not 

14 

a critical infrastructure asset (see section 9). 

15 

 

(2)  For the purposes of paragraph (1)(a), the rules may prescribe: 

16 

 

(a)  specified liquid fuel refineries that are critical to ensuring the 

17 

security and reliability of a liquid fuel market; or 

18 

 

(b)  requirements for a liquid fuel refinery to be critical to 

19 

ensuring the security and reliability of a liquid fuel market. 

20 

 

(3)  For the purposes of paragraph (1)(b), the rules may prescribe: 

21 

 

(a)  specified liquid fuel pipelines that are critical to ensuring the 

22 

security and reliability of a liquid fuel market; or 

23 

 

(b)  requirements for a liquid fuel pipeline to be critical to 

24 

ensuring the security and reliability of a liquid fuel market. 

25 

 

(4)  For the purposes of paragraph (1)(c), the rules may prescribe: 

26 

 

(a)  specified liquid fuel storage facilities that are critical to 

27 

ensuring the security and reliability of a liquid fuel market; or 

28 

 

(b)  requirements for a liquid fuel storage facility to be critical to 

29 

ensuring the security and reliability of a liquid fuel market. 

30 

12B  Meaning of 

critical freight infrastructure asset

 

31 

 

(1)  An asset is a 

critical freight infrastructure asset

 if it is any of the 

32 

following: 

33 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

33

 

 

 

(a)  a road network that, in accordance with subsection (2), 

functions as a critical corridor for the transportation of goods 

between: 

 

(i)  2 States; or 

 

(ii)  a State and a Territory; or 

 

(iii)  2 Territories; or 

 

(iv)  2 regional centres; 

 

(b)  a rail network that, in accordance with subsection (3), 

functions as a critical corridor for the transportation of goods 

between: 

10 

 

(i)  2 States; or 

11 

 

(ii)  a State and a Territory; or 

12 

 

(iii)  2 Territories; or 

13 

 

(iv)  2 regional centres; 

14 

 

(c)  an intermodal transfer facility that, in accordance with 

15 

subsection (4), is critical to the transportation of goods 

16 

between: 

17 

 

(i)  2 States; or 

18 

 

(ii)  a State and a Territory; or 

19 

 

(iii)  2 Territories; or 

20 

 

(iv)  2 regional centres. 

21 

Note: 

The rules may prescribe that a specified critical freight infrastructure 

22 

asset is not a critical infrastructure asset (see section 9). 

23 

 

(2)  For the purposes of paragraph (1)(a), the rules may prescribe: 

24 

 

(a)  specified road networks that function as a critical corridor for 

25 

the transportation of goods between: 

26 

 

(i)  2 States; or 

27 

 

(ii)  a State and a Territory; or 

28 

 

(iii)  2 Territories; or 

29 

 

(iv)  2 regional centres; or 

30 

 

(b)  requirements for a road network to function as a critical 

31 

corridor for the transportation of goods between: 

32 

 

(i)  2 States; or 

33 

 

(ii)  a State and a Territory; or 

34 

 

(iii)  2 Territories; or 

35 

 

(iv)  2 regional centres. 

36 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

34

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(3)  For the purposes of paragraph (1)(b), the rules may prescribe: 

 

(a)  specified rail networks that function as a critical corridor for 

the transportation of goods between: 

 

(i)  2 States; or 

 

(ii)  a State and a Territory; or 

 

(iii)  2 Territories; or 

 

(iv)  2 regional centres; or 

 

(b)  requirements for a rail network to function as a critical 

corridor for the transportation of goods between: 

 

(i)  2 States; or 

10 

 

(ii)  a State and a Territory; or 

11 

 

(iii)  2 Territories; or 

12 

 

(iv)  2 regional centres. 

13 

 

(4)  For the purposes of paragraph (1)(c), the rules may prescribe: 

14 

 

(a)  specified intermodal transfer facilities that are critical to the 

15 

transportation of goods between: 

16 

 

(i)  2 States; or 

17 

 

(ii)  a State and a Territory; or 

18 

 

(iii)  2 Territories; or 

19 

 

(iv)  2 regional centres; or 

20 

 

(b)  requirements for an intermodal transfer facility to be critical 

21 

to the transportation of goods between: 

22 

 

(i)  2 States; or 

23 

 

(ii)  a State and a Territory; or 

24 

 

(iii)  2 Territories; or 

25 

 

(iv)  2 regional centres. 

26 

 

(5)  For the purposes of this section, 

road network

 includes a part of a 

27 

road network. 

28 

 

(6)  For the purposes of this section, 

rail network

 includes a part of a 

29 

rail network. 

30 

12C  Meaning of 

critical freight services asset

 

31 

 

(1)  An asset is a 

critical freight services asset

 if it is a network that is 

32 

used by an entity carrying on a business that, in accordance with 

33 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

35

 

 

subsection (2), is critical to the transportation of goods by any or 

all of the following: 

 

(a)  road; 

 

(b)  rail; 

 

(c)  inland waters; 

 

(d)  sea. 

Note: 

The rules may prescribe that a specified critical freight services asset 

is not a critical infrastructure asset (see section 9). 

 

(2)  For the purposes of subsection (1), the rules may prescribe: 

 

(a)  specified businesses that are critical to the transportation of 

10 

goods by any or all of the following: 

11 

 

(i)  road; 

12 

 

(ii)  rail; 

13 

 

(iii)  inland waters; 

14 

 

(iv)  sea; or 

15 

 

(b)  requirements for a business to be critical to the transportation 

16 

of goods by any or all of the following: 

17 

 

(i)  road; 

18 

 

(ii)  rail; 

19 

 

(iii)  inland waters; 

20 

 

(iv)  sea. 

21 

12D  Meaning of 

critical financial market infrastructure asset

 

22 

 

(1)  An asset is a 

critical financial market infrastructure asset

 if it is 

23 

any of the following assets: 

24 

 

(a)  an asset that: 

25 

 

(i)  is owned or operated by an Australian body corporate 

26 

that holds an Australian market licence; and 

27 

 

(ii)  is used in connection with the operation of a financial 

28 

market that, in accordance with subsection (2), is critical 

29 

to the security and reliability of the financial services 

30 

and markets sector; 

31 

 

(b)  an asset that: 

32 

 

(i)  is owned or operated by an associated entity of an 

33 

Australian body corporate that holds an Australian 

34 

market licence; and 

35 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

36

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(ii)  is used in connection with the operation of a financial 

market that, in accordance with subsection (2), is critical 

to the security and reliability of the financial services 

and markets sector; 

 

(c)  an asset that: 

 

(i)  is owned or operated by an Australian body corporate 

that holds an Australian CS facility licence; and 

 

(ii)  is used in connection with the operation of a clearing 

and settlement facility that, in accordance with 

subsection (3), is critical to the security and reliability of 

10 

the financial services and markets sector; 

11 

 

(d)  an asset that: 

12 

 

(i)  is owned or operated by an associated entity of an 

13 

Australian body corporate that holds an Australian CS 

14 

facility licence; and 

15 

 

(ii)  is used in connection with the operation of a clearing 

16 

and settlement facility that, in accordance with 

17 

subsection (3), is critical to the security and reliability of 

18 

the financial services and markets sector; 

19 

 

(e)  an asset that: 

20 

 

(i)  is owned or operated by an Australian body corporate 

21 

that holds a benchmark administrator licence; and 

22 

 

(ii)  is used in connection with the administration of a 

23 

significant financial benchmark that, in accordance with 

24 

subsection (4), is critical to the security and reliability of 

25 

the financial services and markets sector; 

26 

 

(f)  an asset that: 

27 

 

(i)  is owned or operated by an associated entity of an 

28 

Australian body corporate that holds a benchmark 

29 

administrator licence; and 

30 

 

(ii)  is used in connection with the administration of a 

31 

significant financial benchmark that, in accordance with 

32 

subsection (4), is critical to the security and reliability of 

33 

the financial services and markets sector; 

34 

 

(g)  an asset that: 

35 

 

(i)  is owned or operated by an Australian body corporate 

36 

that holds an Australian derivative trade repository 

37 

licence; and 

38 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

37

 

 

 

(ii)  is used in connection with the operation of a derivative 

trade repository that, in accordance with subsection (5), 

is critical to the security and reliability of the financial 

services and markets sector; 

 

(h)  an asset that: 

 

(i)  is owned or operated by an associated entity of an 

Australian body corporate that holds an Australian 

derivative trade repository licence; and 

 

(ii)  is used in connection with the operation of a derivative 

trade repository that, in accordance with subsection (5), 

10 

is critical to the security and reliability of the financial 

11 

services and markets sector; 

12 

 

(i)  an asset that is used in connection with the operation of a 

13 

payment system that, in accordance with subsection (6), is 

14 

critical to the security and reliability of the financial services 

15 

and markets sector. 

16 

Note: 

The rules may prescribe that a specified critical financial market 

17 

infrastructure asset is not a critical infrastructure asset (see section 9). 

18 

 

(2)  For the purposes of paragraphs (1)(a) and (b), the rules may 

19 

prescribe: 

20 

 

(a)  specified financial markets that are critical to the security and 

21 

reliability of the financial services and markets sector; or 

22 

 

(b)  requirements for a financial market to be critical to the 

23 

security and reliability of the financial services and markets 

24 

sector. 

25 

 

(3)  For the purposes of paragraphs (1)(c) and (d), the rules may 

26 

prescribe: 

27 

 

(a)  specified clearing and settlement facilities that are critical to 

28 

the security and reliability of the financial services and 

29 

markets sector; or 

30 

 

(b)  requirements for a clearing and settlement facility to be 

31 

critical to the security and reliability of the financial services 

32 

and markets sector. 

33 

 

(4)  For the purposes of paragraphs (1)(e) and (f), the rules may 

34 

prescribe: 

35 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

38

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(a)  specified significant financial benchmarks that are critical to 

the security and reliability of the financial services and 

markets sector; or 

 

(b)  requirements for a significant financial benchmark to be 

critical to the security and reliability of the financial services 

and markets sector. 

 

(5)  For the purposes of paragraphs (1)(g) and (h), the rules may 

prescribe: 

 

(a)  specified derivative trade repositories that are critical to the 

security and reliability of the financial services and markets 

10 

sector; or 

11 

 

(b)  requirements for a derivative trade repository to be critical to 

12 

the security and reliability of the financial services and 

13 

markets sector. 

14 

 

(6)  For the purposes of paragraph (1)(i), the rules may prescribe: 

15 

 

(a)  specified payment systems that are critical to the security and 

16 

reliability of the financial services and markets sector; or 

17 

 

(b)  requirements for a payment system to be critical to the 

18 

security and reliability of the financial services and markets 

19 

sector. 

20 

 

(7)  For the purposes of this section, 

Australian body corporate

 means 

21 

a body corporate that is incorporated in Australia. 

22 

12E  Meaning of 

critical broadcasting asset

 

23 

 

(1)  One or more broadcasting transmission assets are a 

critical 

24 

broadcasting asset

 if: 

25 

 

(a)  the broadcasting transmission assets are: 

26 

 

(i)  owned or operated by the same entity; and 

27 

 

(ii)  located on a site that, in accordance with subsection (2), 

28 

is a critical transmission site; or 

29 

 

(b)  the broadcasting transmission assets are: 

30 

 

(i)  owned or operated by the same entity; and 

31 

 

(ii)  located on at least 50 different sites; and 

32 

 

(iii)  not broadcasting re-transmission assets; or 

33 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

39

 

 

 

(c)  the broadcasting transmission assets are owned or operated 

by an entity that, in accordance with subsection (3), is critical 

to the transmission of a broadcasting service. 

Note: 

The rules may prescribe that a specified critical broadcasting asset is 

not a critical infrastructure asset (see section 9). 

 

(2)  For the purposes of paragraph (1)(a), the rules may prescribe: 

 

(a)  specified sites that are critical transmission sites; or 

 

(b)  requirements for sites to be critical transmission sites. 

 

(3)  For the purposes of paragraph (1)(c), the rules may prescribe: 

 

(a)  specified entities that are critical to the transmission of a 

10 

broadcasting service; or 

11 

 

(b)  requirements for an entity to be critical to the transmission of 

12 

a broadcasting service. 

13 

12F  Meaning of 

critical

 

data storage or processing asset

 

14 

 

(1)  An asset is a 

critical data storage or processing asset

 if: 

15 

 

(a)  it is owned or operated by an entity that is a data storage or 

16 

processing provider; and 

17 

 

(b)  it is used wholly or primarily to provide a data storage or 

18 

processing service that is provided by the entity on a 

19 

commercial basis to an end-user that is: 

20 

 

(i)  the Commonwealth; or 

21 

 

(ii)  a body corporate established by a law of the 

22 

Commonwealth; or 

23 

 

(iii)  a State; or 

24 

 

(iv)  a body corporate established by a law of a State; or 

25 

 

(v)  a Territory; or 

26 

 

(vi)  a body corporate established by a law of a Territory; and 

27 

 

(c)  the entity knows that the asset is used as described in 

28 

paragraph (b). 

29 

Note: 

The rules may prescribe that a specified critical data storage or 

30 

processing asset is not a critical infrastructure asset (see section 9). 

31 

 

(2)  An asset is a 

critical data storage or processing asset

 if: 

32 

 

(a)  it is owned or operated by an entity that is a data storage or 

33 

processing provider; and 

34 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

40

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(b)  it is used wholly or primarily to provide a data storage or 

processing service that: 

 

(i)  is provided by the entity on a commercial basis to an 

end-user that is the responsible entity for a critical 

infrastructure asset; and 

 

(ii)  relates to business critical data; and 

 

(c)  the entity knows that the asset is used as described in 

paragraph (b). 

Note: 

The rules may prescribe that a specified critical data storage or 

processing asset is not a critical infrastructure asset (see section 9). 

10 

 

(3)  If: 

11 

 

(a)  an entity (the 

first entity

) is the responsible entity for a 

12 

critical infrastructure asset; and 

13 

 

(b)  the first entity becomes aware that a data storage or 

14 

processing service: 

15 

 

(i)  is provided by another entity on a commercial basis to 

16 

the first entity; and 

17 

 

(ii)  relates to business critical data; 

18 

the first entity must: 

19 

 

(c)  take reasonable steps to inform that other entity that the first 

20 

entity has become aware that the data storage or processing 

21 

service: 

22 

 

(i)  is provided by the other entity on a commercial basis to 

23 

the first entity; and 

24 

 

(ii)  relates to business critical data; and 

25 

 

(d)  do so as soon as practicable after becoming so aware. 

26 

Civil penalty for contravention of this subsection:  50 penalty 

27 

units. 

28 

12G  Meaning of 

critical banking asset

 

29 

 

(1)  An asset is a 

critical banking asset

 if it is any of the following 

30 

assets: 

31 

 

(a)  an asset where the following conditions are satisfied: 

32 

 

(i)  the asset is owned or operated by an authorised 

33 

deposit-taking institution; 

34 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

41

 

 

 

(ii)  the authorised deposit-taking institution is an authorised 

deposit-taking institution that, in accordance with 

subsection (2), is critical to the security and reliability of 

the financial services and markets sector; 

 

(iii)  the asset is used in connection with the carrying on of 

banking business; 

 

(b)  an asset where the following conditions are satisfied: 

 

(i)  the asset is owned or operated by a body corporate that 

is a related body corporate of an authorised 

deposit-taking institution; 

10 

 

(ii)  the body corporate is a body corporate that, in 

11 

accordance with subsection (3), is critical to the security 

12 

and reliability of the financial services and markets 

13 

sector; 

14 

 

(iii)  the asset is used in connection with the carrying on of 

15 

banking business. 

16 

Note: 

The rules may prescribe that a specified critical banking asset is not a 

17 

critical infrastructure asset (see section 9). 

18 

 

(2)  For the purposes of subparagraph (1)(a)(ii), the rules may 

19 

prescribe: 

20 

 

(a)  specified authorised deposit-taking institutions that are 

21 

critical to the security and reliability of the financial services 

22 

and markets sector; or 

23 

 

(b)  requirements for an authorised deposit-taking institution to 

24 

be critical to the security and reliability of the financial 

25 

services and markets sector. 

26 

 

(3)  For the purposes of subparagraph (1)(b)(ii), the rules may 

27 

prescribe: 

28 

 

(a)  specified bodies corporate that are critical to the security and 

29 

reliability of the financial services and markets sector; or 

30 

 

(b)  requirements for a body corporate to be critical to the 

31 

security and reliability of the financial services and markets 

32 

sector. 

33 

12H  Meaning of 

critical insurance asset

 

34 

 

(1)  An asset is a 

critical insurance asset

 if it is any of the following 

35 

assets: 

36 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

42

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(a)  an asset where the following conditions are satisfied: 

 

(i)  the asset is owned or operated by an entity that carries 

on insurance business; 

 

(ii)  the entity is an entity that, in accordance with 

subsection (2), is critical to the security and reliability of 

the financial services and markets sector; 

 

(iii)  the asset is used in connection with the carrying on of 

insurance business; 

 

(b)  an asset where the following conditions are satisfied: 

 

(i)  the asset is owned or operated by a body corporate that 

10 

is a related body corporate of an entity that carries on 

11 

insurance business; 

12 

 

(ii)  the body corporate is a body corporate that, in 

13 

accordance with subsection (3), is critical to the security 

14 

and reliability of the financial services and markets 

15 

sector; 

16 

 

(iii)  the asset is used in connection with the carrying on of 

17 

insurance business; 

18 

 

(c)  an asset where the following conditions are satisfied: 

19 

 

(i)  the asset is owned or operated by an entity that carries 

20 

on life insurance business; 

21 

 

(ii)  the entity is an entity that, in accordance with 

22 

subsection (4), is critical to the security and reliability of 

23 

the financial services and markets sector; 

24 

 

(iii)  the asset is used in connection with the carrying on of 

25 

life insurance business; 

26 

 

(d)  an asset where the following conditions are satisfied: 

27 

 

(i)  the asset is owned or operated by a body corporate that 

28 

is a related body corporate of an entity that carries on 

29 

life insurance business; 

30 

 

(ii)  the body corporate is a body corporate that, in 

31 

accordance with subsection (5), is critical to the security 

32 

and reliability of the financial services and markets 

33 

sector; 

34 

 

(iii)  the asset is used in connection with the carrying on of 

35 

life insurance business; 

36 

 

(e)  an asset where the following conditions are satisfied: 

37 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

43

 

 

 

(i)  the asset is owned or operated by an entity that carries 

on health insurance business; 

 

(ii)  the entity is an entity that, in accordance with 

subsection (6), is critical to the security and reliability of 

the financial services and markets sector; 

 

(iii)  the asset is used in connection with the carrying on of 

health insurance business; 

 

(f)  an asset where the following conditions are satisfied: 

 

(i)  the asset is owned or operated by a body corporate that 

is a related body corporate of an entity that carries on 

10 

health insurance business; 

11 

 

(ii)  the body corporate is a body corporate that, in 

12 

accordance with subsection (7), is critical to the security 

13 

and reliability of the financial services and markets 

14 

sector; 

15 

 

(iii)  the asset is used in connection with the carrying on of 

16 

health insurance business. 

17 

Note: 

The rules may prescribe that a specified critical insurance asset is not 

18 

a critical infrastructure asset (see section 9). 

19 

 

(2)  For the purposes of subparagraph (1)(a)(ii), the rules may 

20 

prescribe: 

21 

 

(a)  specified entities that are critical to the security and reliability 

22 

of the financial services and markets sector; or 

23 

 

(b)  requirements for an entity to be critical to the security and 

24 

reliability of the financial services and markets sector. 

25 

 

(3)  For the purposes of subparagraph (1)(b)(ii), the rules may 

26 

prescribe: 

27 

 

(a)  specified bodies corporate that are critical to the security and 

28 

reliability of the financial services and markets sector; or 

29 

 

(b)  requirements for a body corporate to be critical to the 

30 

security and reliability of the financial services and markets 

31 

sector. 

32 

 

(4)  For the purposes of subparagraph (1)(c)(ii), the rules may 

33 

prescribe: 

34 

 

(a)  specified entities that are critical to the security and reliability 

35 

of the financial services and markets sector; or 

36 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

44

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(b)  requirements for an entity to be critical to the security and 

reliability of the financial services and markets sector. 

 

(5)  For the purposes of subparagraph (1)(d)(ii), the rules may 

prescribe: 

 

(a)  specified bodies corporate that are critical to the security and 

reliability of the financial services and markets sector; or 

 

(b)  requirements for a body corporate to be critical to the 

security and reliability of the financial services and markets 

sector. 

 

(6)  For the purposes of subparagraph (1)(e)(ii), the rules may 

10 

prescribe: 

11 

 

(a)  specified entities that are critical to the security and reliability 

12 

of the financial services and markets sector; or 

13 

 

(b)  requirements for an entity to be critical to the security and 

14 

reliability of the financial services and markets sector. 

15 

 

(7)  For the purposes of subparagraph (1)(f)(ii), the rules may 

16 

prescribe: 

17 

 

(a)  specified bodies corporate that are critical to the security and 

18 

reliability of the financial services and markets sector; or 

19 

 

(b)  requirements for a body corporate to be critical to the 

20 

security and reliability of the financial services and markets 

21 

sector. 

22 

12J  Meaning of 

critical superannuation asset

 

23 

 

(1)  An asset is a 

critical superannuation asset

 if: 

24 

 

(a)  it is owned or operated by a registrable superannuation entity 

25 

that, in accordance with subsection (2), is critical to the 

26 

security and reliability of the financial services and markets 

27 

sector; and 

28 

 

(b)  it is used in connection with the operation of a 

29 

superannuation fund. 

30 

Note: 

The rules may prescribe that a specified critical superannuation asset 

31 

is not a critical infrastructure asset (see section 9). 

32 

 

(2)  For the purposes of paragraph (1)(a), the rules may prescribe: 

33 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

45

 

 

 

(a)  specified registrable superannuation entities that are critical 

to the security and reliability of the financial services and 

markets sector; or 

 

(b)  requirements for a registrable superannuation entity to be 

critical to the security and reliability of the financial services 

and markets sector. 

12K  Meaning of 

critical food and grocery asset

 

 

(1)  An asset is a 

critical food and grocery asset

 if it is a network that: 

 

(a)  is used for the distribution or supply of: 

 

(i)  food; or 

10 

 

(ii)  groceries; and 

11 

 

(b)  is owned or operated by an entity that is: 

12 

 

(i)  a critical supermarket retailer, in accordance with 

13 

subsection (2); or 

14 

 

(ii)  a critical food wholesaler, in accordance with 

15 

subsection (3); or 

16 

 

(iii)  a critical grocery wholesaler, in accordance with 

17 

subsection (4). 

18 

Note: 

The rules may prescribe that a specified critical food and grocery asset 

19 

is not a critical infrastructure asset (see section 9). 

20 

 

(2)  For the purposes of subparagraph (1)(b)(i), the rules may prescribe: 

21 

 

(a)  specified entities that are critical supermarket retailers; or 

22 

 

(b)  requirements for an entity to be a critical supermarket 

23 

retailer. 

24 

 

(3)  For the purposes of subparagraph (1)(b)(ii), the rules may 

25 

prescribe: 

26 

 

(a)  specified entities that are critical food wholesalers; or 

27 

 

(b)  requirements for an entity to be a critical food wholesaler. 

28 

 

(4)  For the purposes of subparagraph (1)(b)(iii), the rules may 

29 

prescribe: 

30 

 

(a)  specified entities that are critical grocery wholesalers; or 

31 

 

(b)  requirements for an entity to be a critical grocery wholesaler. 

32 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

46

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

12KA  Meaning of 

critical domain name system 

 

(1)  An asset is a 

critical domain name system

 if it: 

 

(a)  is managed by an entity that, in accordance with 

subsection (2), is critical to the administration of an 

Australian domain name system; and 

 

(b)  is used in connection with the administration of an Australian 

domain name system. 

Note: 

The rules may prescribe that a specified critical domain name system 

is not a critical infrastructure asset (see section 9). 

 

(2)  For the purposes of paragraph (1)(a), the rules may prescribe: 

10 

 

(a)  specified entities that are critical to the administration of an 

11 

Australian domain name system; or 

12 

 

(b)  requirements for an entity to be critical to the administration 

13 

of an Australian domain name system. 

14 

12L  Meaning of 

responsible entity

 

15 

Critical telecommunications asset 

16 

 

(1)  The responsible entity for a critical telecommunications asset is: 

17 

 

(a)  whichever of the following is applicable: 

18 

 

(i)  if the critical telecommunications asset is owned or 

19 

operated by a carrier--the carrier; 

20 

 

(ii)  if the critical telecommunications asset is owned or 

21 

operated by a carriage service provider--the carriage 

22 

service provider; or 

23 

 

(b)  if another entity is prescribed by the rules in relation to the 

24 

asset--that other entity. 

25 

Critical broadcasting asset 

26 

 

(2)  The responsible entity for a critical broadcasting asset is: 

27 

 

(a)  the entity referred to in whichever of the following 

28 

provisions is applicable: 

29 

 

(i)  subparagraph 12E(1)(a)(i); 

30 

 

(ii)  subparagraph 12E(1)(b)(i); 

31 

 

(iii)  paragraph 12E(1)(c); or 

32 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

47

 

 

 

(b)  if another entity is prescribed by the rules in relation to the 

asset--that other entity. 

Critical domain name system 

 

(3)  The responsible entity for a critical domain name system is: 

 

(a)  the entity referred to in paragraph 12KA(1)(a); or 

 

(b)  if another entity is prescribed by the rules in relation to the 

system--that other entity. 

Critical data storage or processing asset 

 

(4)  The responsible entity for a critical data storage or processing asset 

is: 

10 

 

(a)  if the asset is covered by subsection 12F(1)--the entity 

11 

referred to in paragraph 12F(1)(a); or 

12 

 

(b)  if the asset is covered by subsection 12F(2)--the entity 

13 

referred to in paragraph 12F(2)(a); or 

14 

 

(c)  if another entity is prescribed by the rules in relation to the 

15 

asset--that other entity. 

16 

Critical banking asset 

17 

 

(5)  The responsible entity for a critical banking asset is: 

18 

 

(a)  if the asset is covered by paragraph 12G(1)(a)--the 

19 

authorised deposit-taking institution referred to in

 

20 

subparagraph 12G(1)(a)(i); or 

21 

 

(b)  if the asset is covered by paragraph 12G(1)(b)--the body 

22 

corporate referred to in subparagraph 12G(1)(b)(i); or 

23 

 

(c)  if another entity is prescribed by the rules in relation to the 

24 

asset--that other entity. 

25 

Critical superannuation asset 

26 

 

(6)  The responsible entity for a critical superannuation asset is: 

27 

 

(a)  the registrable superannuation entity referred to in 

28 

subsection 12J(1); or 

29 

 

(b)  if another entity is prescribed by the rules in relation to the 

30 

asset--that other entity. 

31 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

48

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

Critical insurance asset 

 

(7)  The responsible entity for a critical insurance asset is: 

 

(a)  if the asset is covered by paragraph 12H(1)(a)--the entity 

referred to in

 

subparagraph 12H(1)(a)(i); or 

 

(b)  if the asset is covered by paragraph 12H(1)(b)--the body 

corporate referred to in subparagraph 12H(1)(b)(i); or 

 

(c)  if the asset is covered by paragraph 12H(1)(c)--the entity 

referred to in

 

subparagraph 12H(1)(c)(i); or 

 

(d)  if the asset is covered by paragraph 12H(1)(d)--the body 

corporate referred to in

 

subparagraph 12H(1)(d)(i); or 

10 

 

(e)  if the asset is covered by paragraph 12H(1)(e)--the entity 

11 

referred to in

 

subparagraph 12H(1)(e)(i); or 

12 

 

(f)  if the asset is covered by paragraph 12H(1)(f)--the body 

13 

corporate referred to in

 

subparagraph 12H(1)(f)(i); or 

14 

 

(g)  if another entity is prescribed by the rules in relation to the 

15 

asset--that other entity. 

16 

Critical financial market infrastructure asset 

17 

 

(8)  The responsible entity for a critical financial market infrastructure 

18 

asset is: 

19 

 

(a)  if the asset is covered by paragraph 12D(1)(a)--the body 

20 

corporate referred to in subparagraph 12D(1)(a)(i); or 

21 

 

(b)  if the asset is covered by paragraph 12D(1)(b)--the 

22 

associated entity referred to in subparagraph 12D(1)(b)(i); or 

23 

 

(c)  if the asset is covered by paragraph 12D(1)(c)--the body 

24 

corporate referred to in subparagraph 12D(1)(c)(i); or 

25 

 

(d)  if the asset is covered by paragraph 12D(1)(d)--the 

26 

associated entity referred to in subparagraph 12D(1)(d)(i); or 

27 

 

(e)  if the asset is covered by paragraph 12D(1)(e)--the body 

28 

corporate referred to in subparagraph 12D(1)(e)(i); or 

29 

 

(f)  if the asset is covered by paragraph 12D(1)(f)--the 

30 

associated entity referred to in subparagraph 12D(1)(f)(i); or 

31 

 

(g)  if the asset is covered by paragraph 12D(1)(g)--the body 

32 

corporate referred to in subparagraph 12D(1)(g)(i); or 

33 

 

(h)  if the asset is covered by paragraph 12D(1)(h)--the 

34 

associated entity referred to in subparagraph 12D(1)(h)(i); or 

35 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

49

 

 

 

(i)  if the asset is covered by paragraph 12D(1)(i)--the entity 

prescribed by the rules; or 

 

(j)  if another entity is prescribed by the rules in relation to the 

asset--that other entity. 

Critical water asset 

 

(9)  The responsible entity for a critical water asset is: 

 

(a)  the water utility that holds the licence, approval or 

authorisation (however described), under a law of the 

Commonwealth, a State or a Territory, to provide the service 

to be delivered by the asset; or 

10 

 

(b)  if another entity is prescribed by the rules in relation to the 

11 

asset--that other entity. 

12 

Critical electricity asset 

13 

 

(10)  The responsible entity for a critical electricity asset is: 

14 

 

(a)  the entity that holds the licence, approval or authorisation 

15 

(however described) to operate the asset to provide the 

16 

service to be delivered by the asset; or 

17 

 

(b)  if another entity is prescribed by the rules in relation to the 

18 

asset--that other entity. 

19 

Critical gas asset 

20 

 

(11)  The responsible entity for a critical gas asset is: 

21 

 

(a)  the entity that holds the licence, approval or authorisation 

22 

(however described) to operate the asset to provide the 

23 

service to be delivered by the asset; or 

24 

 

(b)  if another entity is prescribed by the rules in relation to the 

25 

asset--that other entity. 

26 

Critical energy market operator asset 

27 

 

(12)  The responsible entity for a critical energy market operator asset is: 

28 

 

(a)  if the asset is used by Australian Energy Market Operator 

29 

Limited (ACN 072 010 327)--that company; or 

30 

 

(b)  if the asset is used by Power and Water Corporation--that 

31 

corporation; or 

32 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

50

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(c)  if the asset is used by Regional Power Corporation--that 

corporation; or 

 

(d)  if the asset is used by Electricity Networks Corporation--that 

corporation; or 

 

(e)  if another entity is prescribed by the rules in relation to the 

asset--that other entity. 

Critical liquid fuel asset 

 

(13)  The responsible entity for a critical liquid fuel asset is: 

 

(a)  if the asset is a liquid fuel refinery--the entity that operates 

the liquid fuel refinery; or 

10 

 

(b)  if the asset is a liquid fuel pipeline--the entity that operates 

11 

the liquid fuel pipeline; or 

12 

 

(c)  if the asset is a liquid fuel storage facility--the entity that 

13 

operates the liquid fuel storage facility; or 

14 

 

(d)  if another entity is prescribed by the rules in relation to the 

15 

asset--that other entity. 

16 

Critical hospital 

17 

 

(14)  The responsible entity for a critical hospital is: 

18 

 

(a)  if the critical hospital is a public hospital--the local hospital 

19 

network that operates the hospital; or 

20 

 

(b)  if the critical hospital is a private hospital--the entity that 

21 

holds the licence, approval or authorisation (however 

22 

described), under a law of a State or a Territory to operate the 

23 

hospital; or 

24 

 

(c)  if another entity is prescribed by the rules in relation to the 

25 

hospital--that other entity. 

26 

Critical education asset 

27 

 

(15)  The responsible entity for a critical education asset is: 

28 

 

(a)  the entity referred to in the definition of 

critical education 

29 

asset

 in section 5; or 

30 

 

(b)  if another entity is prescribed by the rules in relation to the 

31 

asset--that other entity. 

32 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

51

 

 

Critical food and grocery asset 

 

(16)  The responsible entity for a critical food and grocery asset is: 

 

(a)  the entity referred to in paragraph 12K(1)(b); or 

 

(b)  if another entity is prescribed by the rules in relation to the 

asset--that other entity. 

Critical port 

 

(17)  The responsible entity for a critical port is: 

 

(a)  the port operator (within the meaning of the 

Maritime 

Transport and Offshore Facilities Security Act 2003

) of the 

port; or 

10 

 

(b)  if another entity is prescribed by the rules in relation to the 

11 

port--that other entity. 

12 

Critical freight infrastructure asset 

13 

 

(18)  The responsible entity for a critical freight infrastructure asset is: 

14 

 

(a)  if the Commonwealth is responsible for the management of 

15 

the asset--the Commonwealth; or 

16 

 

(b)  if a State is responsible for the management of the asset--the 

17 

State; or 

18 

 

(c)  if a Territory is responsible for the management of the 

19 

asset--the Territory; or 

20 

 

(d)  if a body is: 

21 

 

(i)  established by a law of the Commonwealth, a State or a 

22 

Territory; and 

23 

 

(ii)  responsible for the management of the asset; 

24 

 

  that body; or 

25 

 

(e)  if none of paragraphs (a), (b), (c), (d) and (e) apply--the 

26 

entity prescribed by the rules in relation to the asset; or 

27 

 

(f)  if another entity is prescribed by the rules in relation to the 

28 

asset--that other entity. 

29 

Critical freight services asset 

30 

 

(19)  The responsible entity for a critical freight services asset is: 

31 

 

(a)  the entity referred to in subsection 12C(1); or 

32 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

52

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(b)  if another entity is prescribed by the rules in relation to the 

asset--that other entity. 

Critical public transport asset 

 

(20)  The responsible entity for a critical public transport asset is: 

 

(a)  the entity referred to in paragraph (a) of the definition of 

critical public transport asset

 in section 5; or 

 

(b)  if another entity is prescribed by the rules in relation to the 

asset--that other entity. 

Critical aviation asset 

 

(21)  The responsible entity for a critical aviation asset is: 

10 

 

(a)  if the asset is: 

11 

 

(i)  used in connection with the provision of an air service; 

12 

and 

13 

 

(ii)  owned or operated by an aircraft operator; 

14 

 

  the aircraft operator; or 

15 

 

(b)  if the asset is: 

16 

 

(i)  used in connection with the provision of an air service; 

17 

and 

18 

 

(ii)  owned or operated by a regulated air cargo agent; 

19 

 

  the regulated air cargo agent; or 

20 

 

(c)  if the asset is used by an airport operator in connection with 

21 

the operation of an airport--the airport operator; or 

22 

 

(d)  if another entity is prescribed by the rules in relation to the 

23 

asset--that other entity. 

24 

Critical defence industry asset 

25 

 

(22)  The responsible entity for a critical defence industry asset is: 

26 

 

(a)  the entity referred to in paragraph (a) of the definition of 

27 

critical defence industry asset

; or 

28 

 

(b)  if another entity is prescribed by the rules in relation to the 

29 

asset--that other entity. 

30 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

53

 

 

Assets prescribed by the rules 

 

(23)  The responsible entity for an asset prescribed by the rules in 

relation to the asset for the purposes of paragraph 9(1)(f) is the 

entity specified in the rules. 

Assets declared to be a critical infrastructure asset 

 

(24)  The responsible entity for an asset declared under section 51 to be 

a critical infrastructure asset is the entity specified in the 

declaration as the responsible entity for the asset (see 

subsection 51(2)). 

System of national significance 

10 

 

(25)  If a critical infrastructure asset is a system of national significance, 

11 

the responsible entity for the system of national significance is the 

12 

responsible entity for the asset. 

13 

12M  Meaning of 

cyber security incident

 

14 

 

  A 

cyber security incident

 is one or more acts, events or 

15 

circumstances involving any of the following: 

16 

 

(a)  unauthorised access to: 

17 

 

(i)  computer data; or 

18 

 

(ii)  a computer program; 

19 

 

(b)  unauthorised modification of: 

20 

 

(i)  computer data; or 

21 

 

(ii)  a computer program; 

22 

 

(c)  unauthorised impairment of electronic communication to or 

23 

from a computer; 

24 

 

(d)  unauthorised impairment of the availability, reliability, 

25 

security or operation of: 

26 

 

(i)  a computer; or 

27 

 

(ii)  computer data; or 

28 

 

(iii)  a computer program. 

29 

12N  Meaning of 

unauthorised access, modification or impairment

 

30 

 

(1)  For the purposes of this Act: 

31 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

54

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(a)  access to: 

 

(i)  computer data; or 

 

(ii)  a computer program; or 

 

(b)  modification of: 

 

(i)  computer data; or 

 

(ii)  a computer program; or 

 

(c)  the impairment of electronic communication to or from a 

computer; or 

 

(d)  the impairment of the availability, reliability, security or 

operation of: 

10 

 

(i)  a computer; or 

11 

 

(ii)  computer data; or 

12 

 

(iii)  a computer program; 

13 

by a person is unauthorised if the person is not entitled to cause 

14 

that access, modification or impairment. 

15 

 

(2)  For the purposes of subsection (1), it is immaterial whether the 

16 

person can be identified. 

17 

 

(3)  For the purposes of subsection (1), if: 

18 

 

(a)  a person causes any access, modification or impairment of a 

19 

kind mentioned in that subsection; and 

20 

 

(b)  the person does so: 

21 

 

(i)  under a warrant issued under a law of the 

22 

Commonwealth, a State or a Territory; or 

23 

 

(ii)  under an emergency authorisation given to the person 

24 

under Part 3 of the 

Surveillance Devices Act 2004 

or 

25 

under a law of a State or Territory that makes provision 

26 

to similar effect; or 

27 

 

(iii)  under a tracking device authorisation given to the 

28 

person under section 39 of the 

Surveillance Devices Act 

29 

2004

; or 

30 

 

(iv)  in accordance with a technical assistance request; or 

31 

 

(v)  in compliance with a technical assistance notice; or 

32 

 

(vi)  in compliance with a technical capability notice; 

33 

the person is entitled to cause that access, modification or 

34 

impairment. 

35 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

55

 

 

12P  Examples of responding to a cyber security incident 

 

  The following are examples of responding to a cyber security 

incident: 

 

(a)  if the incident is imminent--preventing the incident; 

 

(b)  mitigating a relevant impact of the incident on: 

 

(i)  a critical infrastructure asset; or 

 

(ii)  a critical infrastructure sector asset; 

 

(c)  if a critical infrastructure asset or a critical infrastructure 

sector asset has been, or is being, affected by the incident--

restoring the functionality of the asset. 

10 

33  Paragraph 13(1)(b) 

11 

Omit "that is a reporting entity for,", insert ", so far as the entity is the 

12 

responsible entity for, a reporting entity for, a relevant entity for,". 

13 

34  At the end of paragraph 13(1)(b) 

14 

Add: 

15 

 

or (iv)  used in the course of, or in relation to, banking to which 

16 

paragraph 51(xiii) of the Constitution applies; or 

17 

 

(v)  used in the course of, or in relation to, insurance to 

18 

which paragraph 51(xiv) of the Constitution applies; or 

19 

 

(vi)  used to supply a carriage service; or 

20 

 

(vii)  used in connection with the provision of a broadcasting 

21 

service; or 

22 

 

(viii)  used to administer a domain name system; 

23 

35  Subsection 13(2) 

24 

Omit "also applies", substitute "and section 60AA (acquisition of 

25 

property) also apply". 

26 

36  Division 1 of Part 2 (heading) 

27 

Omit "

Simplified outline of this Part

", substitute "

Introduction

". 

28 

37  At the end of section 18 

29 

Add: 

30 

Note: 

See also section 18A (application of this Part). 

31 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

56

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

38  At the end of Division 1 of Part 2 

Add: 

18A  Application of this Part 

 

(1)  This Part applies to a critical infrastructure asset if: 

 

(a)  the asset is specified in the rules; or 

 

(b)  both: 

 

(i)  the asset is the subject of a declaration under section 51; 

and 

 

(ii)  the declaration determines that this Part applies to the 

asset; or 

10 

 

(c)  immediately before the commencement of this section, the 

11 

asset was a critical infrastructure asset (within the meaning of 

12 

this Act as in force immediately before that commencement). 

13 

Note: 

For specification by class, see subsection 13(3) of the 

Legislation Act 

14 

2003

15 

 

(2)  Subsection (1) has effect subject to subsection (3). 

16 

 

(3)  The rules may provide that, if an asset becomes a critical 

17 

infrastructure asset, this Part does not apply to the asset during the 

18 

period: 

19 

 

(a)  beginning when the asset became a critical infrastructure 

20 

asset; and 

21 

 

(b)  ending at a time ascertained in accordance with the rules. 

22 

18AA  Consultation--rules 

23 

Scope 

24 

 

(1)  This section applies to rules made for the purposes of section 18A. 

25 

Consultation 

26 

 

(2)  Before making or amending the rules, the Minister must: 

27 

 

(a)  cause to be published on the Department's website a notice: 

28 

 

(i)  setting out the draft rules or amendments; and 

29 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

57

 

 

 

(ii)  inviting persons to make submissions to the Minister 

about the draft rules or amendments within 28 days after 

the notice is published; and 

 

(b)  give a copy of the notice to each First Minister; and 

 

(c)  consider any submissions received within the 28-day period 

mentioned in paragraph (a). 

39  After Part 2 

Insert: 

Part 2A--Critical infrastructure risk management 

programs 

10 

   

11 

30AA  Simplified outline of this Part 

12 

•  

The responsible entity for one or more critical infrastructure 

13 

assets must have, and comply with, a critical infrastructure 

14 

risk management program. 

15 

•  

The purpose of a critical infrastructure risk management 

16 

program is to do the following for each of those assets: 

17 

 

(a) 

identify each hazard where there is a material risk that 

18 

the occurrence of the hazard could have a relevant 

19 

impact on the asset; 

20 

 

(b) 

so far as it is reasonably possible to do so--minimise or 

21 

eliminate any material risk of such a hazard occurring; 

22 

 

(c) 

mitigate the relevant impact of such a hazard on the 

23 

asset. 

24 

•  

A responsible entity must give an annual report relating to its 

25 

critical infrastructure risk management program. If the entity 

26 

has a board, council or other governing body, the annual 

27 

report must be approved by the board, council or other 

28 

governing body. 

29 

Note: 

See also section 30AB (application of this Part). 

30 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

58

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

30AB  Application of this Part 

 

(1)  This Part applies to a critical infrastructure asset if: 

 

(a)  the asset is specified in the rules; or 

 

(b)  both: 

 

(i)  the asset is the subject of a declaration under section 51; 

and 

 

(ii)  the declaration determines that this Part applies to the 

asset. 

Note: 

For specification by class, see subsection 13(3) of the 

Legislation Act 

2003

10 

 

(2)  Subsection (1) has effect subject to subsection (3). 

11 

 

(3)  The rules may provide that, if an asset becomes a critical 

12 

infrastructure asset, this Part does not apply to the asset during the 

13 

period: 

14 

 

(a)  beginning when the asset became a critical infrastructure 

15 

asset; and 

16 

 

(b)  ending at a time ascertained in accordance with the rules. 

17 

30ABA  Consultation--rules 

18 

Scope 

19 

 

(1)  This section applies to rules made for the purposes of 

20 

section 30AB. 

21 

Consultation 

22 

 

(2)  Before making or amending the rules, the Minister must: 

23 

 

(a)  cause to be published on the Department's website a notice: 

24 

 

(i)  setting out the draft rules or amendments; and 

25 

 

(ii)  inviting persons to make submissions to the Minister 

26 

about the draft rules or amendments within 28 days after 

27 

the notice is published; and 

28 

 

(b)  give a copy of the notice to each First Minister; and 

29 

 

(c)  consider any submissions received within the 28-day period 

30 

mentioned in paragraph (a). 

31 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

59

 

 

30AC  Responsible entity must have a critical infrastructure risk 

management program 

 

  If an entity is the responsible entity for one or more critical 

infrastructure assets, the entity must: 

 

(a)  adopt; and 

 

(b)  maintain; 

a critical infrastructure risk management program that applies to 

the entity. 

Civil penalty: 

200 penalty units. 

30AD  Compliance with critical infrastructure risk management 

10 

program 

11 

 

  If: 

12 

 

(a)  an entity is the responsible entity for one or more critical 

13 

infrastructure assets; and 

14 

 

(b)  the entity has adopted a critical infrastructure risk 

15 

management program that applies to the entity; 

16 

the entity must comply with: 

17 

 

(c)  the critical infrastructure risk management program; or 

18 

 

(d)  if the program has been varied on one or more occasions--

19 

the program as varied. 

20 

Civil penalty: 

200 penalty units. 

21 

30AE  Review of critical infrastructure risk management program 

22 

 

  If: 

23 

 

(a)  an entity is the responsible entity for one or more critical 

24 

infrastructure assets; and 

25 

 

(b)  the entity has adopted a critical infrastructure risk 

26 

management program that applies to the entity; 

27 

the entity must review the program on a regular basis. 

28 

Civil penalty: 

200 penalty units. 

29 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

60

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

30AF  Update of critical infrastructure risk management program 

 

  If: 

 

(a)  an entity is the responsible entity for one or more critical 

infrastructure assets; and 

 

(b)  the entity has adopted a critical infrastructure risk 

management program that applies to the entity; 

the entity must take all reasonable steps to ensure that the program 

is up to date. 

Civil penalty: 

200 penalty units. 

30AG  Responsible entity must submit annual report 

10 

Scope 

11 

 

(1)  This section applies if, during a period (the 

relevant period

) that 

12 

consists of the whole or a part of a financial year: 

13 

 

(a)  an entity was the responsible entity for one or more critical 

14 

infrastructure assets; and 

15 

 

(b)  the entity had a critical infrastructure risk management 

16 

program that applied to the entity. 

17 

Annual report 

18 

 

(2)  The entity must, within 90 days after the end of the financial year, 

19 

give: 

20 

 

(a)  if there is a relevant Commonwealth regulator that has 

21 

functions relating to the security of those assets--the relevant 

22 

Commonwealth regulator; or 

23 

 

(b)  in any other case--the Secretary; 

24 

a report that: 

25 

 

(c)  if the entity had the program at the end of the financial 

26 

year--includes whichever of the following statements is 

27 

applicable: 

28 

 

(i)  if the program was up to date at the end of the financial 

29 

year--a statement to that effect; 

30 

 

(ii)  if the program was not up to date at the end of the 

31 

financial year--a statement to that effect; and 

32 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

61

 

 

 

(d)  if a hazard had a significant relevant impact on one or more 

of those assets during the relevant period--includes a 

statement that: 

 

(i)  identifies the hazard; and 

 

(ii)  evaluates the effectiveness of the program in mitigating 

the significant relevant impact of the hazard on the 

assets concerned; and 

 

(iii)  if the program was varied during the financial year as a 

result of the occurrence of the hazard--outlines the 

variation; and 

10 

 

(e)  is in the approved form; and 

11 

 

(f)  if the entity has a board, council or other governing body--is 

12 

approved by the board, council or other governing body, as 

13 

the case requires. 

14 

Civil penalty: 

150 penalty units. 

15 

 

(3)  A report given by an entity under subsection (2) is not admissible 

16 

in evidence against the entity in civil proceedings relating to a 

17 

contravention of a civil penalty provision of this Act. 

18 

30AH  Critical infrastructure risk management program 

19 

 

(1)  A 

critical infrastructure risk management program

 is a written 

20 

program: 

21 

 

(a)  that applies to a particular entity that is the responsible entity 

22 

for one or more critical infrastructure assets; and 

23 

 

(b)  the purpose of which is to do the following for each of those 

24 

assets: 

25 

 

(i)  identify each hazard where there is a material risk that 

26 

the occurrence of the hazard could have a relevant 

27 

impact on the asset; 

28 

 

(ii)  so far as it is reasonably possible to do so--minimise or 

29 

eliminate any material risk of such a hazard occurring; 

30 

 

(iii)  mitigate the relevant impact of such a hazard on the 

31 

asset; and 

32 

 

(c)  that complies with such requirements (if any) as are specified 

33 

in the rules. 

34 

 

(2)  Requirements specified under paragraph (1)(c): 

35 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

62

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(a)  may be of general application; or 

 

(b)  may relate to one or more specified critical infrastructure 

assets. 

Note: 

For specification by class, see subsection 13(3) of the 

Legislation Act 

2003

 

(3)  Subsection (2) of this section does not, by implication, limit 

subsection 33(3A) of the 

Acts Interpretation Act 1901

 

(4)  Rules made for the purposes of paragraph (1)(c) may require that a 

critical infrastructure risk management program include provisions 

that require background checks of individuals to be conducted 

10 

under the AusCheck scheme. 

11 

 

(5)  Subsection (4) does not limit paragraph (1)(c). 

12 

 

(6)  In specifying requirements in rules made for the purposes of 

13 

paragraph (1)(c), the Minister must have regard to the following 

14 

matters: 

15 

 

(a)  any existing regulatory system of the Commonwealth, a State 

16 

or a Territory that imposes obligations on responsible 

17 

entities; 

18 

 

(b)  the costs that are likely to be incurred by responsible entities 

19 

in complying with those rules; 

20 

 

(c)  the reasonableness and proportionality of the requirements in 

21 

relation to the purpose referred to in paragraph (1)(b); 

22 

 

(d)  such other matters (if any) as the Minister considers relevant. 

23 

 

(7)  For the purposes of this section, in determining whether a risk is a 

24 

material risk, regard must be had to: 

25 

 

(a)  the likelihood of the hazard occurring; and 

26 

 

(b)  the relevant impact of the hazard on the asset if the hazard 

27 

were to occur. 

28 

 

(8)  The rules may provide that a specified risk is taken to be a material 

29 

risk for the purposes of this section. 

30 

 

(9)  The rules may provide that the taking of specified action in relation 

31 

to a critical infrastructure asset is taken to be action that minimises 

32 

or eliminates any material risk that the occurrence of a specified 

33 

hazard could have a relevant impact on the asset. 

34 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

63

 

 

Note: 

For specification by class, see subsection 13(3) of the 

Legislation Act 

2003

 

(10)  The rules may provide that the taking of specified action in relation 

to a specified critical infrastructure asset is taken to be action that 

minimises or eliminates any material risk that the occurrence of a 

specified hazard could have a relevant impact on the asset. 

Note: 

For specification by class, see subsection 13(3) of the 

Legislation Act 

2003

 

(11)  The rules may provide that the taking of specified action in relation 

to a critical infrastructure asset is taken to be action that mitigates 

10 

the relevant impact of a specified hazard on the asset. 

11 

Note: 

For specification by class, see subsection 13(3) of the 

Legislation Act 

12 

2003

13 

 

(12)  The rules may provide that the taking of specified action in relation 

14 

to a specified critical infrastructure asset is taken to be action that 

15 

mitigates the relevant impact of a specified hazard on the asset. 

16 

Note: 

For specification by class, see subsection 13(3) of the 

Legislation Act 

17 

2003

18 

30AJ  Variation of critical infrastructure risk management program 

19 

 

  A critical infrastructure risk management program may be varied, 

20 

so long as the varied program is a critical infrastructure risk 

21 

management program. 

22 

30AK  Revocation of adoption of critical infrastructure risk 

23 

management program 

24 

 

  If an entity has adopted a critical infrastructure risk management 

25 

program that applies to the entity, this Part does not prevent the 

26 

entity from: 

27 

 

(a)  revoking that adoption; and 

28 

 

(b)  adopting another critical infrastructure risk management 

29 

program that applies to the entity. 

30 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

64

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

30AL  Consultation--rules 

Scope 

 

(1)  This section applies to rules made for the purposes of 

section 30AH. 

Consultation 

 

(2)  Before making or amending the rules, the Minister must: 

 

(a)  cause to be published on the Department's website a notice: 

 

(i)  setting out the draft rules or amendments; and 

 

(ii)  inviting persons to make submissions to the Minister 

about the draft rules or amendments within 28 days after 

10 

the notice is published; and 

11 

 

(b)  give a copy of the notice to each First Minister; and 

12 

 

(c)  consider any submissions received within the 28-day period 

13 

mentioned in paragraph (a). 

14 

 

(3)  Subsection (2) does not apply if: 

15 

 

(a)  the Minister is satisfied that there is an imminent threat that a 

16 

hazard will have a significant relevant impact on a critical 

17 

infrastructure asset; or 

18 

 

(b)  the Minister is satisfied that a hazard has had, or is having, a 

19 

significant relevant impact on a critical infrastructure asset. 

20 

Note: 

See also section 30AM (review of rules). 

21 

30AM  Review of rules 

22 

Scope 

23 

 

(1)  This section applies if, because of subsection 30AL(3), 

24 

subsection 30AL(2) did not apply to the making of: 

25 

 

(a)  rules; or 

26 

 

(b)  amendments. 

27 

Review of rules 

28 

 

(2)  The Secretary must: 

29 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

65

 

 

 

(a)  if paragraph (1)(a) applies--review the operation, 

effectiveness and implications of the rules; and 

 

(b)  if paragraph (1)(b) applies--review the operation, 

effectiveness and implications of the amendments; and 

 

(c)  without limiting paragraph (a) or (b), consider whether any 

amendments should be made; and 

 

(d)  give the Minister: 

 

(i)  a report of the review; and 

 

(ii)  a statement setting out the Secretary's findings. 

 

(3)  For the purposes of the review, the Secretary must: 

10 

 

(a)  cause to be published on the Department's website a notice: 

11 

 

(i)  setting out the rules or amendments concerned; and 

12 

 

(ii)  inviting persons to make submissions to the Secretary 

13 

about the rules or amendments concerned within 28 

14 

days after the notice is published; and 

15 

 

(b)  give a copy of the notice to each First Minister; and 

16 

 

(c)  consider any submissions received within the 28-day period 

17 

mentioned in paragraph (a). 

18 

 

(4)  The Secretary must complete the review within 60 days after the 

19 

commencement of the rules or amendments concerned. 

20 

Minister to table statement of findings 

21 

 

(5)  The Minister must cause a copy of the statement of findings to be 

22 

tabled in each House of the Parliament within 15 sitting days of 

23 

that House after the Minister receives it. 

24 

30AN  Application, adoption or incorporation of a law of a State or 

25 

Territory etc. 

26 

Scope 

27 

 

(1)  This section applies to rules made for the purposes of 

28 

section 30AH. 

29 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

66

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

Application, adoption or incorporation of a law of a State or 

Territory 

 

(2)  Despite subsection 14(2) of the 

Legislation Act 2003

, the rules may 

make provision in relation to a matter by applying, adopting or 

incorporating, with or without modification, any matter contained 

in a law of a State or Territory as in force or existing from time to 

time. 

Application, adoption or incorporation of a standard 

 

(3)  Despite subsection 14(2) of the 

Legislation Act 2003

, the rules may 

make provision in relation to a matter by applying, adopting or 

10 

incorporating, with or without modification, any matter contained 

11 

in a standard proposed or approved by Standards Australia as in 

12 

force or existing from time to time. 

13 

Note: 

The expression 

Standards Australia

 is defined in section 2B of the 

14 

Acts Interpretation Act 1901

15 

Part 2B--Notification of cyber security incidents 

16 

   

17 

30BA  Simplified outline of this Part 

18 

If a cyber security incident has a relevant impact on a critical 

19 

infrastructure asset, the responsible entity for the asset may be 

20 

required to give a relevant Commonwealth body a report about the 

21 

incident. 

22 

Note: 

See also section 30BB (application of this Part). 

23 

30BB  Application of this Part 

24 

 

(1)  This Part applies to a critical infrastructure asset if: 

25 

 

(a)  the asset is specified in the rules; or 

26 

 

(b)  both: 

27 

 

(i)  the asset is the subject of a declaration under section 51; 

28 

and 

29 

 

(ii)  the declaration determines that this Part applies to the 

30 

asset. 

31 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

67

 

 

Note: 

For specification by class, see subsection 13(3) of the 

Legislation Act 

2003

 

(2)  Subsection (1) has effect subject to subsection (3). 

 

(3)  The rules may provide that, if an asset becomes a critical 

infrastructure asset, this Part does not apply to the asset during the 

period: 

 

(a)  beginning when the asset became a critical infrastructure 

asset; and 

 

(b)  ending at a time ascertained in accordance with the rules. 

30BBA  Consultation--rules 

10 

Scope 

11 

 

(1)  This section applies to rules made for the purposes of 

12 

section 30BB. 

13 

Consultation 

14 

 

(2)  Before making or amending the rules, the Minister must: 

15 

 

(a)  cause to be published on the Department's website a notice: 

16 

 

(i)  setting out the draft rules or amendments; and 

17 

 

(ii)  inviting persons to make submissions to the Minister 

18 

about the draft rules or amendments within 28 days after 

19 

the notice is published; and 

20 

 

(b)  give a copy of the notice to each First Minister; and 

21 

 

(c)  consider any submissions received within the 28-day period 

22 

mentioned in paragraph (a). 

23 

30BC  Notification of critical cyber security incidents 

24 

 

(1)  If: 

25 

 

(a)  an entity is the responsible entity for a critical infrastructure 

26 

asset; and 

27 

 

(b)  the entity becomes aware that: 

28 

 

(i)  a cyber security incident has occurred or is occurring; 

29 

and 

30 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

68

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(ii)  the incident has had, or is having, a significant impact 

(whether direct or indirect) on the availability of the 

asset; 

the entity must: 

 

(c)  give the relevant Commonwealth body (see section 30BF) a 

report that: 

 

(i)  is about the incident; and 

 

(ii)  includes such information (if any) as is prescribed by 

the rules; and 

 

(d)  do so as soon as practicable, and in any event within 12 

10 

hours, after the entity becomes so aware. 

11 

Civil penalty: 

50 penalty units. 

12 

Form of report etc. 

13 

 

(2)  A report under subsection (1) may be given: 

14 

 

(a)  orally; or 

15 

 

(b)  in writing. 

16 

 

(3)  If a report under subsection (1) is given orally, the entity must: 

17 

 

(a)  do both of the following: 

18 

 

(i)  make a written record of the report in the approved 

19 

form; 

20 

 

(ii)  give a copy of the written record of the report to the 

21 

relevant Commonwealth body (see section 30BF); and 

22 

 

(b)  do so within 48 hours after the report is given. 

23 

Civil penalty: 

50 penalty units. 

24 

 

(4)  If the report is given in writing, the entity must ensure that the 

25 

report is in the approved form. 

26 

Civil penalty: 

50 penalty units. 

27 

30BD  Notification of other cyber security incidents 

28 

 

(1)  If: 

29 

 

(a)  an entity is the responsible entity for a critical infrastructure 

30 

asset; and 

31 

 

(b)  the entity becomes aware that: 

32 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

69

 

 

 

(i)  a cyber security incident has occurred, is occurring or is 

imminent; and 

 

(ii)  the incident has had, is having, or is likely to have, a 

relevant impact on the asset; 

the entity must: 

 

(c)  give the relevant Commonwealth body (see section 30BF) a 

report that: 

 

(i)  is about the incident; and 

 

(ii)  includes such information (if any) as is prescribed by 

the rules; and 

10 

 

(d)  do so as soon as practicable, and in any event within 72 

11 

hours, after the entity becomes so aware. 

12 

Civil penalty: 

50 penalty units. 

13 

Form of report etc. 

14 

 

(2)  A report under subsection (1) may be given: 

15 

 

(a)  orally; or 

16 

 

(b)  in writing. 

17 

 

(3)  If a report under subsection (1) is given orally, the entity must: 

18 

 

(a)  do both of the following: 

19 

 

(i)  make a written record of the report in the approved 

20 

form; 

21 

 

(ii)  give a copy of the written record of the report to the 

22 

relevant Commonwealth body (see section 30BF); and 

23 

 

(b)  do so within 48 hours after the report is given. 

24 

Civil penalty: 

50 penalty units. 

25 

 

(4)  If the report is given in writing, the entity must ensure that the 

26 

report is in the approved form. 

27 

Civil penalty: 

50 penalty units. 

28 

30BE  Liability 

29 

 

(1)  An entity is not liable to an action or other proceeding for damages 

30 

for or in relation to an act done or omitted in good faith in 

31 

compliance with section 30BC or section 30BD. 

32 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

70

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(2)  An officer, employee or agent of an entity is not liable to an action 

or other proceeding for damages for or in relation to an act done or 

omitted in good faith in connection with an act done or omitted by 

the entity as mentioned in subsection (1). 

30BF  Relevant Commonwealth body 

 

  For the purposes of this Part, 

relevant Commonwealth body

 

means: 

 

(a)  a Department that is specified in the rules; or 

 

(b)  a body that is: 

 

(i)  established by a law of the Commonwealth; and 

10 

 

(ii)  specified in the rules; or 

11 

 

(c)  if: 

12 

 

(i)  no rules are in force for the purposes of paragraph (a); 

13 

and 

14 

 

(ii)  no rules are in force for the purposes of paragraph (b); 

15 

 

  ASD. 

16 

Part 2C--Enhanced cyber security obligations 

17 

Division 1--Simplified outline of this Part 

18 

30CA  Simplified outline of this Part 

19 

•  

This Part sets out enhanced cyber security obligations that 

20 

relate to systems of national significance. 

21 

•  

The responsible entity for a system of national significance 

22 

may be subject to statutory incident response planning 

23 

obligations. 

24 

•  

The responsible entity for a system of national significance 

25 

may be required to undertake a cyber security exercise. 

26 

•  

The responsible entity for a system of national significance 

27 

may be required to undertake a vulnerability assessment. 

28 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

71

 

 

•  

If a computer is a system of national significance, or is needed 

to operate a system of national significance, a relevant entity 

for the system may be required to: 

 

(a) 

give ASD periodic reports of system information; or 

 

(b) 

give ASD event-based reports of system information; or 

 

(c) 

install software that transmits system information to 

ASD. 

Note: 

For declaration of a system of national significance, see section 52B. 

Division 2--Statutory incident response planning 

obligations 

10 

Subdivision A--Application of statutory incident response 

11 

planning obligations 

12 

30CB  Application of statutory incident response planning 

13 

obligations--determination by the Secretary 

14 

 

(1)  The Secretary may, by written notice given to an entity that is the 

15 

responsible entity for a system of national significance, determine 

16 

that the statutory incident response planning obligations apply to 

17 

the entity in relation to: 

18 

 

(a)  the system; and 

19 

 

(b)  cyber security incidents. 

20 

 

(2)  A determination under this section takes effect at the time specified 

21 

in the determination. 

22 

 

(3)  The specified time must not be earlier than the end of the 30-day 

23 

period that began when the notice was given. 

24 

 

(4)  Before giving a notice to an entity under this section in relation to a 

25 

system of national significance, the Secretary must consult: 

26 

 

(a)  the entity; and 

27 

 

(b)  if there is a relevant Commonwealth regulator that has 

28 

functions relating to the security of that system--the relevant 

29 

Commonwealth regulator. 

30 

 

(5)  A determination under this section is not a legislative instrument. 

31 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

72

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

30CC  Revocation of determination 

Scope 

 

(1)  This section applies if: 

 

(a)  a determination is in force under section 30CB; and 

 

(b)  notice of the determination was given to a particular entity. 

Power to revoke determination 

 

(2)  The Secretary may, by written notice given to the entity, revoke the 

determination. 

Application of Acts Interpretation Act 1901

 

 

(3)  This section does not, by implication, affect the application of 

10 

subsection 33(3) of the 

Acts Interpretation Act 1901 

to an 

11 

instrument made under a provision of this Act (other than this 

12 

Division). 

13 

Subdivision B--Statutory incident response planning 

14 

obligations 

15 

30CD  Responsible entity must have an incident response plan 

16 

 

  If: 

17 

 

(a)  an entity is the responsible entity for a system of national 

18 

significance; and 

19 

 

(b)  the statutory incident response planning obligations apply to 

20 

the entity in relation to: 

21 

 

(i)  the system; and 

22 

 

(ii)  cyber security incidents; 

23 

the entity must: 

24 

 

(c)  adopt; and 

25 

 

(d)  maintain; 

26 

an incident response plan that applies to the entity in relation to: 

27 

 

(e)  the system; and 

28 

 

(f)  cyber security incidents. 

29 

Civil penalty: 

200 penalty units. 

30 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

73

 

 

30CE  Compliance with incident response plan 

 

  If: 

 

(a)  an entity is the responsible entity for a system of national 

significance; and 

 

(b)  the entity has adopted an incident response plan that applies 

to the entity; 

the entity must comply with: 

 

(c)  the incident response plan; or 

 

(d)  if the plan has been varied on one or more occasions--the 

plan as varied. 

10 

Civil penalty: 

200 penalty units. 

11 

30CF  Review of incident response plan 

12 

 

  If: 

13 

 

(a)  an entity is the responsible entity for a system of national 

14 

significance; and 

15 

 

(b)  the entity has adopted an incident response plan that applies 

16 

to the entity; 

17 

the entity must review the plan on a regular basis. 

18 

Civil penalty: 

200 penalty units. 

19 

30CG  Update of incident response plan 

20 

 

  If: 

21 

 

(a)  an entity is the responsible entity for a system of national 

22 

significance; and 

23 

 

(b)  the entity has adopted an incident response plan that applies 

24 

to the entity; 

25 

the entity must take all reasonable steps to ensure that the plan is 

26 

up to date. 

27 

Civil penalty: 

200 penalty units. 

28 

30CH  Copy of incident response plan must be given to the Secretary 

29 

 

(1)  If: 

30 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

74

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(a)  an entity is the responsible entity for a system of national 

significance; and 

 

(b)  the entity adopts an incident response plan that applies to the 

entity; 

the entity must: 

 

(c)  provide a copy of the incident response plan to the Secretary; 

and 

 

(d)  do so as soon as practicable after the adoption. 

Civil penalty: 

200 penalty units. 

 

(2)  If: 

10 

 

(a)  an entity is the responsible entity for a system of national 

11 

significance; and 

12 

 

(b)  the entity varies an incident response plan that applies to the 

13 

entity; 

14 

the entity must: 

15 

 

(c)  provide a copy of the varied incident response plan to the 

16 

Secretary; and 

17 

 

(d)  do so as soon as practicable after the variation. 

18 

Civil penalty: 

200 penalty units. 

19 

30CJ  Incident response plan 

20 

 

(1)  An 

incident response plan

 is a written plan: 

21 

 

(a)  that applies to an entity that is the responsible entity for a 

22 

system of national significance; and 

23 

 

(b)  that relates to the system; and 

24 

 

(c)  that relates to cyber security incidents; and 

25 

 

(d)  the purpose of which is to plan for responding to cyber 

26 

security incidents that could have a relevant impact on the 

27 

system; and 

28 

 

(e)  that complies with such requirements (if any) as are specified 

29 

in the rules. 

30 

 

(2)  Requirements specified under paragraph (1)(e): 

31 

 

(a)  may be of general application; or 

32 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

75

 

 

 

(b)  may relate to one or more specified systems of national 

significance; or 

 

(c)  may relate to one or more specified types of cyber security 

incidents. 

Note: 

For specification by class, see subsection 13(3) of the 

Legislation Act 

2003

 

(3)  Subsection (2) of this section does not, by implication, limit 

subsection 33(3A) of the 

Acts Interpretation Act 1901

30CK  Variation of incident response plan 

 

  An incident response plan may be varied, so long as the varied plan 

10 

is an incident response plan. 

11 

30CL  Revocation of adoption of incident response plan 

12 

 

  If an entity has adopted an incident response plan that applies to 

13 

the entity, this Division does not prevent the entity from: 

14 

 

(a)  revoking that adoption; and 

15 

 

(b)  adopting another incident response plan that applies to the 

16 

entity. 

17 

Division 3--Cyber security exercises 

18 

30CM  Requirement to undertake cyber security exercise 

19 

 

(1)  The Secretary may, by written notice given to an entity that is the 

20 

responsible entity for a system of national significance, require the 

21 

entity to: 

22 

 

(a)  undertake a cyber security exercise in relation to: 

23 

 

(i)  the system; and 

24 

 

(ii)  all types of cyber security incidents; and 

25 

 

(b)  do so within the period specified in the notice. 

26 

 

(2)  The Secretary may, by written notice given to an entity that is the 

27 

responsible entity for a system of national significance, require the 

28 

entity to: 

29 

 

(a)  undertake a cyber security exercise in relation to: 

30 

 

(i)  the system; and 

31 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

76

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(ii)  one or more specified types of cyber security incidents; 

and 

 

(b)  do so within the period specified in the notice. 

 

(3)  The period specified in a notice under subsection (1) or (2) must 

not be earlier than the end of the 30-day period that began when 

the notice was given. 

 

(4)  A notice under subsection (1) or (2) may also require the entity to 

do any or all of the following things: 

 

(a)  allow one or more specified designated officers to observe 

the cyber security exercise; 

10 

 

(b)  provide those designated officers with access to premises for 

11 

the purposes of observing the cyber security exercise; 

12 

 

(c)  provide those designated officers with reasonable assistance 

13 

and facilities that are reasonably necessary to allow those 

14 

designated officers to observe the cyber security exercise; 

15 

 

(d)  allow those designated officers to make such records as are 

16 

reasonably necessary for the purposes of monitoring 

17 

compliance with the notice; 

18 

 

(e)  give those designated officers reasonable notice of the time 

19 

when the cyber security exercise will begin. 

20 

 

(5)  Before giving a notice to an entity under subsection (1) or (2) in 

21 

relation to a system of national significance, the Secretary must 

22 

consult: 

23 

 

(a)  the entity; and 

24 

 

(b)  if there is a relevant Commonwealth regulator that has 

25 

functions relating to the security of that system--the relevant 

26 

Commonwealth regulator. 

27 

30CN  Cyber security exercise 

28 

 

(1)  A 

cyber security exercise

 is an exercise: 

29 

 

(a)  that is undertaken by the responsible entity for a system of 

30 

national significance; and 

31 

 

(b)  that relates to the system; and 

32 

 

(c)  that either: 

33 

 

(i)  relates to all types of cyber security incidents; or 

34 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

77

 

 

 

(ii)  relates to one or more specified types of cyber security 

incidents; and 

 

(d)  if the exercise relates to all types of cyber security 

incidents--the purpose of which is to: 

 

(i)  test the entity's ability to respond appropriately to all 

types of cyber security incidents that could have a 

relevant impact on the system; and 

 

(ii)

 

test the entity's preparedness to respond appropriately to 

all types of cyber security incidents that could have a 

relevant impact on the system; and 

10 

 

(iii)  test the entity's ability to mitigate the relevant impacts 

11 

that all types of cyber security incidents could have on 

12 

the system; and 

13 

 

(e)  if the exercise relates to one or more specified types of cyber 

14 

security incidents--the purpose of which is to: 

15 

 

(i)  test the entity's ability to respond appropriately to those 

16 

types of cyber security incidents that could have a 

17 

relevant impact on the system; and 

18 

 

(ii)

 

test the entity's preparedness to respond appropriately to 

19 

those types of cyber security incidents that could have a 

20 

relevant impact on the system; and 

21 

 

(iii)  test the entity's ability to mitigate the relevant impacts 

22 

that those types of cyber security incidents could have 

23 

on the system; and 

24 

 

(f)  that complies with such requirements (if any) as are specified 

25 

in the rules. 

26 

 

(2)  Requirements specified under paragraph (1)(f): 

27 

 

(a)  may be of general application; or 

28 

 

(b)  may relate to one or more specified systems of national 

29 

significance; or 

30 

 

(c)  may relate to one or more specified types of cyber security 

31 

incidents. 

32 

Note: 

For specification by class, see subsection 13(3) of the 

Legislation Act 

33 

2003

34 

 

(3)  Subsection (2) of this section does not, by implication, limit 

35 

subsection 33(3A) of the 

Acts Interpretation Act 1901

36 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

78

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

30CP  Compliance with requirement to undertake cyber security 

exercise 

 

  An entity must comply with a notice given to the entity under 

section 30CM. 

Civil penalty: 

200 penalty units. 

30CQ  Internal evaluation report 

 

(1)  If an entity undertakes a cyber security exercise under 

section 30CM, the entity must: 

 

(a)  do both of the following: 

 

(i)  prepare an evaluation report relating to the cyber 

10 

security exercise; 

11 

 

(ii)  give a copy of the report to the Secretary; and 

12 

 

(b)  do so: 

13 

 

(i)  within 30 days after the completion of the exercise; or 

14 

 

(ii)  if the Secretary allows a longer period--within that 

15 

longer period. 

16 

Civil penalty: 

200 penalty units. 

17 

 

(2)  An evaluation report prepared by an entity under subsection (1) is 

18 

not admissible in evidence against the entity in civil proceedings 

19 

relating to a contravention of a civil penalty provision of this Act 

20 

(other than subsection (1) of this section or subsection 30CR(6)). 

21 

30CR  External evaluation report 

22 

Scope 

23 

 

(1)  This section applies if an entity has undertaken a cyber security 

24 

exercise under section 30CM, and: 

25 

 

(a)  all of the following conditions are satisfied: 

26 

 

(i)  the entity has prepared, or purported to prepare, an 

27 

evaluation report under section 30CQ relating to the 

28 

exercise; 

29 

 

(ii)  the entity has given a copy of the report to the 

30 

Secretary; 

31 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

79

 

 

 

(iii)  the Secretary has reasonable grounds to believe that the 

report was not prepared appropriately; or 

 

(b)  the entity has contravened section 30CQ. 

Requirement 

 

(2)  The Secretary may, by written notice given to the entity, require 

the entity to: 

 

(a)  appoint an external auditor; and 

 

(b)  arrange for the external auditor to prepare an evaluation 

report (the 

new evaluation report

) relating to the exercise; 

and 

10 

 

(c)  arrange for the external auditor to give the new evaluation 

11 

report to the entity; and 

12 

 

(d)  give the Secretary a copy of the new evaluation report within: 

13 

 

(i)  the period specified in the notice; or 

14 

 

(ii)  if the Secretary allows a longer period--that longer 

15 

period. 

16 

 

(3)  The notice must specify: 

17 

 

(a)  the matters to be covered by the new evaluation report; and 

18 

 

(b)  the form of the new evaluation report and the kinds of details 

19 

it is to contain. 

20 

Consultation 

21 

 

(4)  Before giving a notice to an entity under this section in connection 

22 

with a cyber security exercise that relates to a system of national 

23 

significance, the Secretary must consult: 

24 

 

(a)  the entity; and 

25 

 

(b)  if there is a relevant Commonwealth regulator that has 

26 

functions relating to the security of that system--the relevant 

27 

Commonwealth regulator. 

28 

Eligibility for appointment as an external auditor 

29 

 

(5)  An individual is not eligible to be appointed an external auditor by 

30 

the entity if the individual is an officer, employee or agent of the 

31 

entity. 

32 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

80

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

Compliance 

 

(6)  An entity must comply with a requirement under subsection (2). 

Civil penalty: 

200 penalty units. 

Immunity 

 

(7)  The new evaluation report is not admissible in evidence against the 

entity in civil proceedings relating to a contravention of a civil 

penalty provision of this Act (other than subsection (6)). 

30CS  Meaning of 

evaluation report

 

 

  An 

evaluation report

, in relation to a cyber security exercise that 

was undertaken in relation to a system of national significance, is a 

10 

written report: 

11 

 

(a)  if the exercise relates to all types of cyber security 

12 

incidents--the purpose of which is to: 

13 

 

(i)  evaluate the entity's ability to respond appropriately to 

14 

all types of cyber security incidents that could have a 

15 

relevant impact on the system; and 

16 

 

(ii)

 

evaluate the entity's preparedness to respond 

17 

appropriately to all types of cyber security incidents that 

18 

could have a relevant impact on the system; and 

19 

 

(iii)  evaluate the entity's ability to mitigate the relevant 

20 

impacts that all types of cyber security incidents could 

21 

have on the system; and 

22 

 

(b)  if the exercise relates to one or more specified types of cyber 

23 

security incidents--the purpose of which is to: 

24 

 

(i)  evaluate the entity's ability to respond appropriately to 

25 

those types of cyber security incidents that could have a 

26 

relevant impact on the system; and 

27 

 

(ii)

 

evaluate the entity's preparedness to respond 

28 

appropriately to those types of cyber security incidents 

29 

that could have a relevant impact on the system; and 

30 

 

(iii)  evaluate the entity's ability to mitigate the relevant 

31 

impacts that those types of cyber security incidents 

32 

could have on the system; and 

33 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

81

 

 

 

(c)  that complies with such requirements (if any) as are specified 

in the rules. 

30CT  External auditors 

 

(1)  The Secretary may, by writing, authorise a specified individual to 

be an external auditor for the purposes of this Act. 

Note: 

For specification by class, see subsection 33(3AB) of the 

Acts 

Interpretation Act 1901

 

(2)  An authorisation under subsection (1) is not a legislative 

instrument. 

Division 4--Vulnerability assessments 

10 

30CU  Requirement to undertake vulnerability assessment 

11 

 

(1)  The Secretary may, by written notice given to an entity that is the 

12 

responsible entity for a system of national significance, require the 

13 

entity to: 

14 

 

(a)  undertake, or cause to be undertaken, a vulnerability 

15 

assessment in relation to: 

16 

 

(i)  the system; and 

17 

 

(ii)  all types of cyber security incidents; and 

18 

 

(b)  do so within the period specified in the notice. 

19 

 

(2)  The Secretary may, by written notice given to an entity that is the 

20 

responsible entity for a system of national significance, require the 

21 

entity to: 

22 

 

(a)  undertake, or cause to be undertaken, a vulnerability 

23 

assessment in relation to: 

24 

 

(i)  the system; and 

25 

 

(ii)  one or more specified types of cyber security incidents; 

26 

and 

27 

 

(b)  do so within the period specified in the notice. 

28 

 

(3)  Before giving a notice to an entity under subsection (1) or (2) in 

29 

relation to the system of national significance, the Secretary must 

30 

consult: 

31 

 

(a)  the entity; and 

32 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

82

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(b)  if there is a relevant Commonwealth regulator that has 

functions relating to the security of that system--the relevant 

Commonwealth regulator. 

30CV  Compliance with requirement to undertake a vulnerability 

assessment 

 

  An entity must comply with a notice given to the entity under 

section 30CU. 

Civil penalty: 

200 penalty units. 

30CW  Designated officers may undertake a vulnerability assessment 

Scope 

10 

 

(1)  This section applies if: 

11 

 

(a)  an entity is the responsible entity for a system of national 

12 

significance; and 

13 

 

(b)  either: 

14 

 

(i)  the Secretary has reasonable grounds to believe that if 

15 

the entity were to be given a notice under 

16 

subsection 30CU(1) or (2), the entity would not be 

17 

capable of complying with the notice; or 

18 

 

(ii)  the entity has not complied with a notice given to the 

19 

entity under subsection 30CU(1) or (2). 

20 

Request 

21 

 

(2)  The Secretary may give a designated officer a written request to: 

22 

 

(a)  undertake a vulnerability assessment in relation to: 

23 

 

(i)  the system; and 

24 

 

(ii)  all types of cyber security incidents; and 

25 

 

(b)  do so within the period specified in the request. 

26 

 

(3)  The Secretary may give a designated officer a written request to: 

27 

 

(a)  undertake a vulnerability assessment in relation to: 

28 

 

(i)  the system; and 

29 

 

(ii)  one or more specified types of cyber security incidents; 

30 

and 

31 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

83

 

 

 

(b)  do so within the period specified in the request. 

 

(4)  Before giving a request under subsection (2) or (3) in relation to 

the system of national significance, the Secretary must consult: 

 

(a)  the entity; and 

 

(b)  if there is a relevant Commonwealth regulator that has 

functions relating to the security of that system--the relevant 

Commonwealth regulator. 

Requirement 

 

(5)  If a request under subsection (2) or (3) is given to a designated 

officer, the Secretary may, by written notice given to the entity, 

10 

require the entity to do any or all of the following things: 

11 

 

(a)  provide the designated officer with access to premises for the 

12 

purposes of undertaking the vulnerability assessment; 

13 

 

(b)  provide the designated officer with access to computers for 

14 

the purposes of undertaking the vulnerability assessment; 

15 

 

(c)  provide the designated officer with reasonable assistance and 

16 

facilities that are reasonably necessary to allow the 

17 

designated officer to undertake the vulnerability assessment. 

18 

Notification of request 

19 

 

(6)  If a request under subsection (2) or (3) is given to a designated 

20 

officer, the Secretary must give a copy of the request to the entity. 

21 

30CX  Compliance with requirement to provide reasonable 

22 

assistance etc. 

23 

 

  An entity must comply with a notice given to the entity under 

24 

subsection 30CW(5). 

25 

Civil penalty: 

200 penalty units. 

26 

30CY  Vulnerability assessment 

27 

 

(1)  A 

vulnerability assessment

 is an assessment: 

28 

 

(a)  that relates to a system of national significance; and 

29 

 

(b)  that either: 

30 

 

(i)  relates to all types of cyber security incidents; or 

31 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

84

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(ii)  relates to one or more specified types of cyber security 

incidents; and 

 

(c)  if the assessment relates to all types of cyber security 

incidents--the purpose of which is to test the vulnerability of 

the system to all types of cyber security incidents; and 

 

(d)  if the assessment relates to one or more specified types of 

cyber security incidents--the purpose of which is to test the 

vulnerability of the system to those types of cyber security 

incidents; and 

 

(e)  that complies with such requirements (if any) as are specified 

10 

in the rules. 

11 

 

(2)  Requirements specified under paragraph (1)(e): 

12 

 

(a)  may be of general application; or 

13 

 

(b)  may relate to one or more specified systems of national 

14 

significance; or 

15 

 

(c)  may relate to one or more specified types of cyber security 

16 

incidents. 

17 

Note: 

For specification by class, see subsection 13(3) of the 

Legislation Act 

18 

2003

19 

 

(3)  Subsection (2) of this section does not, by implication, limit 

20 

subsection 33(3A) of the 

Acts Interpretation Act 1901

21 

30CZ  Vulnerability assessment report 

22 

 

(1)  If an entity undertakes, or causes to be undertaken, a vulnerability 

23 

assessment under section 30CU, the entity must: 

24 

 

(a)  do both of the following: 

25 

 

(i)  prepare, or cause to be prepared, a vulnerability 

26 

assessment report relating to the assessment; 

27 

 

(ii)  give a copy of the report to the Secretary; and 

28 

 

(b)  do so: 

29 

 

(i)  within 30 days after the completion of the assessment; 

30 

or 

31 

 

(ii)  if the Secretary allows a longer period--within that 

32 

longer period. 

33 

Civil penalty: 

200 penalty units. 

34 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

85

 

 

 

(2)  If a designated officer undertakes a vulnerability assessment in 

accordance with a request given to the designated officer under 

section 30CW, the designated officer must: 

 

(a)  do both of the following: 

 

(i)  prepare a vulnerability assessment report relating to the 

assessment; 

 

(ii)  give a copy of the report to the Secretary; and 

 

(b)  do so: 

 

(i)  within 30 days after the completion of the assessment; 

or 

10 

 

(ii)  if the Secretary allows a longer period--within that 

11 

longer period. 

12 

 

(3)  If an entity prepares, or causes to be prepared, a report under 

13 

subsection (1), the report is not admissible in evidence against the 

14 

entity in civil proceedings relating to a contravention of a civil 

15 

penalty provision of this Act (other than subsection (1)). 

16 

30DA  Meaning of 

vulnerability assessment report

 

17 

 

  A 

vulnerability assessment report

, in relation to a vulnerability 

18 

assessment that was undertaken in relation to a system of national 

19 

significance,

 

is a written report: 

20 

 

(a)  if the assessment relates to all types of cyber security 

21 

incidents--the purpose of which is to assess the vulnerability 

22 

of the system to all types of cyber security incidents; and 

23 

 

(b)  if the assessment relates to one or more specified types of 

24 

cyber security incidents--the purpose of which is to assess 

25 

the vulnerability of the system to those types of cyber 

26 

security incidents; and 

27 

 

(c)  that complies with such requirements (if any) as are specified 

28 

in the rules. 

29 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

86

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

Division 5--Access to system information 

Subdivision A--System information reporting notices 

30DB  Secretary may require periodic reporting of system 

information 

Scope 

 

(1)  This section applies if: 

 

(a)  a computer: 

 

(i)  is needed to operate a system of national significance; 

or 

 

(ii)  is a system of national significance; and 

10 

 

(b)  the Secretary believes on reasonable grounds that a relevant 

11 

entity for the system of national significance is technically 

12 

capable of preparing periodic reports consisting of 

13 

information that: 

14 

 

(i)  relates to the operation of the computer; and 

15 

 

(ii)  may assist with determining whether a power under this 

16 

Act should be exercised in relation to the system of 

17 

national significance; and 

18 

 

(iii)  is not personal information (within the meaning of the 

19 

Privacy Act 1988

). 

20 

Requirement 

21 

 

(2)  The Secretary may, by written notice given to the entity, require 

22 

the entity to: 

23 

 

(a)  prepare periodic reports that: 

24 

 

(i)  consist of any such information; and 

25 

 

(ii)  relate to such regular intervals as are specified in the 

26 

notice; and 

27 

 

(b)  prepare those periodic reports: 

28 

 

(i)  in the manner and form specified in the notice; and 

29 

 

(ii)  in accordance with the information technology 

30 

requirements specified in the notice; and 

31 

Security of critical infrastructure 

 Schedule 1

 

General amendments 

 Part 1 

 

 

No.      , 2020

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

87

 

 

 

(c)  give each of those periodic reports to ASD within the period 

ascertained in accordance with the notice in relation to the 

periodic report concerned. 

 

(3)  A notice under subsection (2) is to be known as a 

system 

information periodic reporting notice

 

(4)  In deciding whether to give a system information periodic 

reporting notice to the entity, the Secretary must have regard to: 

 

(a)  the costs that are likely to be incurred by the entity in 

complying with the notice; and 

 

(b)  such other matters (if any) as the Secretary considers 

10 

relevant. 

11 

Matters to be set out in notice 

12 

 

(5)  A system information periodic reporting notice must set out the 

13 

effect of section 30DF. 

14 

Other powers not limited 

15 

 

(6)  This section does not, by implication, limit a power conferred by 

16 

another provision of this Act. 

17 

30DC  Secretary may require event-based reporting of system 

18 

information 

19 

Scope 

20 

 

(1)  This section applies if: 

21 

 

(a)  a computer: 

22 

 

(i)  is needed to operate a system of national significance; 

23 

or 

24 

 

(ii)  is a system of national significance; and 

25 

 

(b)  the Secretary believes on reasonable grounds that, each time 

26 

a particular kind of event occurs, a relevant entity for the 

27 

system of national significance will be technically capable of 

28 

preparing a report consisting of information that: 

29 

 

(i)  relates to the operation of the computer; and 

30 

Schedule 1

  Security of critical infrastructure

 

Part 1

  General amendments

 

 

 

88

 

Security Legislation Amendment (Critical Infrastructure) Bill 2020

 

No.      , 2020

 

 

 

(ii)  may assist with determining whether a power under this 

Act should be exercised in relation to the system of 

national significance; and 

 

(iii)  is not personal information (within the meaning of the 

Privacy Act 1988

). 

Requirement 

 

(2)