De Australische regering wil dat de inlichtingendienst in het land de bevoegdheid krijgt om in te grijpen bij vitale organisaties die het doelwit van cyberaanvallen zijn om zo netwerken en systemen te beschermen. Ook worden vitale organisaties verplicht om cyberincidenten binnen twaalf uur bij de autoriteiten te melden. Techbedrijven en brancheorganisaties zijn niet blij met het voorstel.

Volgens de Australische regering moeten overheid en bedrijfsleven meer doen om het het land tegen cyberaanvallen te beschermen, en dan met name die tegen de vitale infrastructuur zijn gericht. Met het wetsvoorstel krijgt de Australian Signals Directorate meer bevoegdheden. Zo kan het de vitale infrastructuur "als laatste redmiddel" voor, tijdens en na een grote cyberaanval beschermen, in het geval de betreffende organisatie niet de vereiste acties onderneemt of hier niet toe in staat is. Deze bevoegdheid zou echter alleen in noodgevallen worden ingezet.

"De wetgeving laat de overheid noodhulp of instructies geven meteen voor, tijdens of na een groot cybersecurity-incident om vitale diensten te beschermen en herstellen", aldus minister Karen Andrews van Binnenlandse Zaken. "Deze noodmaatregelen zijn alleen van toepassing in gevallen waar een cyberaanval zo ernstig is dat het de sociale of economische stabiliteit van Australië en de bevolking raakt, de verdediging van Australië of nationale veiligheid, en de industrie niet op het incident kan reageren."

Verder zorgt het wetsvoorstel ervoor dat de definitie van wat de vitale infrastructuur inhoudt wordt uitgebreid en energie, communicatie, financiële diensten, defensiebedrijven, hoger onderwijs en onderzoek, dataopslag- en verwerking, voedsel en supermarkten, gezondheidszorg, ruimtetechnologie, transport en watersector omvat.

De Information Technology Industry Council, Australian Information Industry Association en Cybersecurity Coalition, die naar eigen zeggen honderden bedrijven vertegenwoordigen, hebben in een brief aan minister Andrews kritiek op het voorstel geuit (pdf). De brancheorganisaties hebben met name grote moeite met de bevoegdheid waardoor de Australische overheid direct bij vitale bedrijven kan ingrijpen.

Er zou namelijk geen eerlijk proces aan vooraf gaan, waardoor getroffen organisaties geen bezwaar kunnen maken tegen de beslissing om in te grijpen of die aan een onafhankelijke partij kunnen voorleggen. De brancheorganisaties maken zich naar eigen zeggen zorgen over de wereldwijde impact van het voorstel en hoe het de waarden ondermijnt die Australië internationaal uitdraagt.

Daarnaast vinden de brancheorganisaties dat aangevallen organisaties meer tijd moeten krijgen om een cyberincident te melden. In plaats van de nu gestelde limiet van twaalf uur zou dat bijvoorbeeld 72 uur moeten worden of "zonder onnodige vertraging".