Zum Januar 2025 treten in China die Network Data Security Management Regulations (NDSMR) in Kraft. Die neuen Richtlinien zielen darauf ab, das Cybersicherheitsgesetz (CSL), das Datensicherheitsgesetz (DSL) und das Gesetz zum Schutz personenbezogener Daten (PIPL) zu verknüpfen und dadurch den Schutz von Daten zu verstärken, ergänzen und verfeinern. Durch diese Integration wird die Rechtsverbindlichkeit erhöht und die Belastung der Unternehmen verringert, die Behörden erhalten eine detaillierte und praktikable Rechtsgrundlage für zukünftige Durchsetzungsmaßnahmen. Deutsche und europäische Unternehmen mit Niederlassungen in China stehen vor der Aufgabe, ihre IT-Systeme auf die Konformität mit den NDSMR zu kontrollieren und gegebenenfalls zu modernisieren.
Die Überprüfung der IT-Systeme nach den NDSMR erfordert einen strukturierten Audit-Prozess. Zunächst sollte eine umfassende regulatorische Analyse erfolgen, um die Anforderungen der NDSMR im Detail zu verstehen. Eine Gap-Analyse der vorhandenen IT-Systeme hilft dabei, Sicherheitslücken zu identifizieren, gefolgt von der Bewertung der Netzwerksicherheit. Systeme wie Firewalls, VPNs und Intrusion Detection Systems sollten auf ihre Leistungsfähigkeit und Konformität geprüft werden. Ein wichtiger Aspekt ist die Zugangskontrolle, einschließlich Zero-Trust-Modelle und moderner Verschlüsselungs-techniken. Diese Maßnahmen schützen sensible Unternehmensdaten und helfen, den Anforderungen der NDSMR gerecht zu werden. Die Vorschriften erfordern umfassende Überwachungs- und Berichtssysteme, die sicherstellen, dass sicherheitsrelevante Ereignisse frühzeitig erkannt und analysiert werden können.
Nach Abschluss des Audits wird ein detaillierter Bericht erstellt, der Schwachstellen dokumentiert und Modernisierungsempfehlungen gibt. Die Modernisierung nach den NDSMR umfasst wesentliche Hardware- und Softwarekomponenten. Dazu zählen Firewalls und VPNs. Bereits vorhandene westliche Geräte sollten auf ihre Zulässigkeit in China geprüft und ggf. ausgetauscht werden.
Unter den NDSMR kann es regulatorische Einschränkungen bezüglich westlicher Technologien geben, insbesondere im Bereich sicherheitskritischer Infrastruktur. In bestimmten Fällen kann der Einsatz chinesischer Komponenten wie Huawei oder H3C von den Behörden bevorzugt oder sogar vorgeschrieben sein. Westliche Systeme wie Oracle, Cisco oder IBM QRadar sind in China im Einsatz, sofern sie konform mit den lokalen Vorschriften sind und die Datenlokalisierungsvorgaben einhalten. Produkte von Anbietern wie Huawei oder Tencent sind vollständig an die regulatorischen Anforderungen angepasst und bieten Vorteile bei der Integration in lokale Netzwerke. Eine hybride Strategie, die sowohl westliche als auch chinesische Technologien einbezieht, kann für multinationale Unternehmen die beste Lösung sein, um globale Standards mit den lokalen Vorschriften in Einklang zu bringen.
CHINABRAND behandelt das Thema NDSMR in einem Webinar am 23. Januar 2025 um 10:00 Uhr. Der Link zur Anmeldung: https://register.gotowebinar.com/register/6892359450698165852
Quelle: Unsplash
China Intellectual Property Blog 