China verstärkt weiterhin die Kontrolle von Betreibern großer Internet-Plattformen. Neben der am 1. März 2022 in Kraft tretenden Verordnung zur Regulierung der Verwendung von Algorithmen zur Einflussnahme auf das Verhalten von Nutzern, beispielsweise Empfehlungsalgorithmen, werden am 15. Februar 2022 die Cybersecurity Review Measures in Kraft treten.
Diese betreffen neben den Betreibern großer Internetplattformen, die die Daten von mehr als 1 Mio. Nutzer verarbeiten, auch die Betreiber kritischer Infrastruktur sowie Verarbeiter von Daten, die für die nationale Sicherheit relevant sind. Diese müssen vor dem Einsatz neuer Netzwerkprodukte oder Netzwerkservices ein Cyber Security Review durchlaufen. Dabei wird beurteilt, welche Risiken die Nutzung des Produkts bzw. der Dienstleistung mit sich bringt.
Betroffene Produkte und Dienstleistungen sind vor allem Kernnetzwerkausrüstung, wichtige Kommunikationsprodukte, Hochleistungscomputer und -server, Massenspeichergeräte, große Datenbanken und Anwendungssoftware, Netzwerksicherheitsausrüstung, Cloud-Computing-Dienste sowie andere Netzwerkprodukte und -dienste, die einen erheblichen Einfluss auf die Sicherheit kritischer Informationsinfrastrukturen, die Netzwerksicherheit und die Datensicherheit haben.
Für den Review eingereicht werden müssen ein Antrag auf Überprüfung, eine Analyse der Risiken durch ein neues Produkt, eine neue Dienstleistung oder einen Börsengang für die nationale Sicherheit, relevante Dokumente wie Kaufverträge (Entwürfe), Vereinbarungen oder die Unterlagen für den Börsengang sowie weitere von der Behörde angeforderte Dokumente.
Aspekte der Überprüfung sind:
- Risiko der illegalen Kontrolle, Beeinflussung oder Zerstörung kritischer Infrastruktur.
- Gefahr für die Geschäftskontinuität kritischer Infrastruktur durch Unterbrechungen.
- Sicherheit, Offenheit, Transparenz, Diversität der Quellen von Produkten und Dienstleistungen, Zuverlässigkeit der Lieferwege und das Risiko von Unterbrechungen aufgrund politischer, diplomatischer, handelsbezogener oder anderer Faktoren.
- Einhaltung chinesischer Gesetze, Verwaltungsvorschriften und Abteilungsregelungen durch den Anbieter des Produktes oder der Dienstleistung.
- Risiko, dass Kerndaten, wichtige Daten oder große Mengen personenbezogener Daten gestohlen, offengelegt, beschädigt oder illegal verwendet werden, oder illegal aus dem Land geschafft werden.
- Risiko, dass wichtige Infrastruktur, Kerndaten, wichtige Daten oder große Mengen personenbezogener Daten von ausländischen Regierungen beeinflusst, kontrolliert und böswillig verwendet werden, sowie Risiken für die Netzwerksicherheit.
- Weitere Faktoren, die die Sicherheit kritischer Infrastruktur, die Netzwerksicherheit und die Datensicherheit beeinträchtigen können.
Wichtig ist, dass nur entsprechend zertifizierte Cyber Security Produkte in China eingesetzt werden dürfen. Die Prüfung kann 3 Monate dauern und Geschäftsprozesse dementsprechend stark verlangsamen.
China Intellectual Property Blog 