关键信息基础设施安全保护条例（2021年） 第三十九条

第三十九条 运营者有下列情形之一的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：

在关键信息基础设施发生较大变化，可能影响其认定结果时未及时将相关情况报告保护工作部门的；

安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的；

未建立健全网络安全保护制度和责任制的；

未设置专门安全管理机构的；

未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的；

开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的；

专门安全管理机构未履行本条例第十五条规定的职责的；

未对关键信息基础设施每年至少进行一次网络安全检测和风险评估，未对发现的安全问题及时整改，或者未按照保护工作部门要求报送情况的；

采购网络产品和服务，未按照国家有关规定与网络产品和服务提供者签订安全保密协议的；

发生合并、分立、解散等情况，未及时报告保护工作部门，或者未按照保护工作部门的要求对关键信息基础设施进行处置的。