Betreiber kritischer Informationsinfrastrukturen (Critical Information Infrastructure Operator, CIIO) sind ein zentraler und bislang unscharfer Begriff des neuen chinesischen Systems der Cybersicherheit und des Datenschutzes. Mit den am 1. September 2020 in Kraft getretenen Verordnungen über den Schutz kritischer Informationsinfrastrukturen schafft die Regierung jetzt mehr Transparenz, erhöht aber gleichzeitig den Druck auf die in China tätigen Unternehmen.
Ob ein Unternehmen ein Betreiber kritischer Informationsinfrastrukturen ist, entscheiden letztendlich die Behörden im Einzelfall. Grundsätzliche können CIIOs unter anderem zu Branchen wie Telekommunikation und Information, Energie, Verkehr, Wasserwirtschaft und Finanzen gehören, aber auch „jegliche andere wichtige Netzwerkbetreiber“ sein, die im Falle einer Nicht-Funktion, eines Schadens oder Daten-Leaks die nationale Sicherheit beeinflussen.
Auch ausländische Unternehmen können von den Behörden als CIIOs identifiziert werden und müssen dann die gleichen Anforderungen wie chinesische Unternehmen erfüllen, die in Artikel 6 der Verordnungen spezifiziert werden. So ist es Pflicht, ein Sicherheitsmanagement-System einzurichten, Mitarbeiter in Schlüsselpositionen in Zusammenarbeit mit den Behörden und der Polizei zu überprüfen sowie eine regemäßige Risikoprüfung der gesamten Netzwerksicherheit durchzuführen.
Die strengen und teilweise noch immer unübersichtlichen Vorschriften stellen für Unternehmen, die als CIIO Betreiber klassifiziert werden, eine große Herausforderung dar. Zusammen mit anderen Datenschutz-Gesetzen wie dem am 1. November in Kraft tretenden Personal Information Protection Law (PIPL) steigen die Anforderungen im Bereich Datenschutz stark an.
Non-Compliance kann zu Geldstrafen in Höhe von bis zu 1 Million RMB führen, zusätzlich zu Berichtigungsanweisungen oder Beschlagnahmungen von Firmeneinkünften. Einzelne Personen in Schlüsselpositionen können ebenfalls haftbar gemacht werden. Zudem sind im Falle eines Daten-Leaks nicht nur die CIIOs, sondern auch deren Cybersicherheits-Dienstleister in der Verantwortung.
Bild: Unsplash
China Intellectual Property Blog 