China regelt die Meldung von Cybersicherheitsvorfällen in einem neuen Gesetz, das jetzt im Entwurf vorliegt. Ein zentraler Aspekt ist die Meldepflicht für Unternehmen, die in China Netzwerke aufbauen, betreiben oder Dienste über Netzwerke bereitstellen. Besondere Aufmerksamkeit wird den unterschiedlichen Meldewegen für zentrale Organe, kritische Infrastrukturen und andere Netz- und Systembetreiber gewidmet, deren klar definiert sind. Der Entwurf legt fest, dass Meldungen präzise Informationen über Zeit, Ort, Art und Auswirkungen der Vorfälle enthalten müssen. Bei Ransomware-Angriffen wird die Offenlegung von Details wie dem geforderten Lösegeldbetrag gefordert.
Um sicherzustellen, dass Betreiber ihre Meldepflichten erfüllen, soll ein sozialer Überwachungsmechanismus implementiert werden. Organisationen und Einzelpersonen, die Dienstleistungen für Betreiber erbringen, werden aufgefordert, erhebliche Cybersicherheitsvorfälle zu melden. Darüber hinaus wird eine Erinnerung zur Meldung eingeführt, damit Betreiber ihre Verpflichtungen ernst nehmen.
Das Gesetz legt klare Standards für die Klassifizierung von Cybersicherheitsvorfällen fest und unterscheidet zwischen besonders schwerwiegenden, schwerwiegenden, erheblichen und allgemeinen Vorfällen. Dadurch wird eine klare Struktur für die Beurteilung von Vorfällen und die Festlegung angemessener Reaktionen geboten.
Betreiber, die Meldungen versäumen oder ungenaue Angaben machen, werden gemäß den einschlägigen Gesetzen und Verwaltungsvorschriften bestraft. Der Entwurf betont auch die Bedeutung einer umfassenden Analyse nach dem Vorfall und legt fest, dass die Einhaltung der Meldungsbestimmungen den Betreiber von Haftung befreien oder die Sanktionen mildern kann. Wir empfehlen Unternehmen in China, ihr Management des Cybervorfall-Meldewesens im Rahmen der IT-Compliance anzupassen.
Bild>Unsplash
China Intellectual Property Blog 