Chińska Administracja Cyberprzestrzeni („CAC”) opublikowała niedawno projekt decyzji w sprawie zmiany ustawy o cyberbezpieczeństwie Chińskiej Republiki Ludowej. Jeśli CAC przyjmie tę decyzję, będzie to pierwsza nowelizacja ustawy o cyberbezpieczeństwie od czasu jej uchwalenia w 2016 roku. Zakłada m.in. zwiększenie kar i rozszerzenie obowiązków organizacji.
Powody zmian
Chińska ustawa o cyberbezpieczeństwie była jedną z pierwszych ustaw dotyczących bezpieczeństwa systemów informatycznych, uchwalono ją w 2016 r. W międzyczasie, po kilku latach rozważań, chiński rząd uchwalił nowe ustawy:
- w 2021 r. ustawę o bezpieczeństwie danych
- i ustawę o ochronie danych osobowych,
które były podstawą nowego chińskiego systemu sieci cyberbezpieczeństwa i ochrony danych. Obecnie chiński rząd postanowił znowelizować nieaktualną już ustawę o cyberbezpieczeństwie.
Zwiększone kary
Nowelizacja ustawy przede wszystkim zaostrza kary za naruszenie obowiązków dotyczących:
- zgodności z wielopoziomowym systemem ochrony cyberbezpieczeństwa;
- spełniania przez produkty i usługi sieciowe norm krajowych;
- ważności certyfikatów bezpieczeństwa lub testów bezpieczeństwa dla krytycznych urządzeń sieciowych i produktów cyberbezpieczeństwa specjalnego przeznaczenia w celu sprzedaży lub udostępniania;
- uwierzytelniania prawdziwych nazw przez operatorów sieci;
- planów awaryjnych na wypadek incydentów cyberbezpieczeństwa;
- przeprowadzania certyfikacji i testów cyberbezpieczeństwa oraz oceny ryzyka, a także publikowanie ostrzeżeń dotyczących cyberbezpieczeństwa;
- zapewniania wsparcia technicznego i pomocy organom ścigania.
Kary za naruszenie powyższych obowiązków zostały podniesione do górnego limitu grzywien do 1 000 000 yuanów (ok 569 tys. zł) dla operatorów sieci i 100 000 yuanów (ok 5 tys. zł) dla osób bezpośrednio odpowiedzialnych. Wprowadzono również grzywny pieniężne za poważne naruszenia, na wzór ustawy o ochronie danych osobowych, gdzie grzywna wynosi od do 50 mln yuanów lub do 5% rocznego obrotu w poprzednim roku, a osoby bezpośrednio odpowiedzialne podlegają grzywnie w wysokości od 100 000 yuanów do 1 mln yuanów i/lub zakazowi zajmowania stanowisk kierowniczych w Chinach.
Obowiązki związane z infrastruktura krytyczną
Projekt zmian dostosowuje również kary za naruszenie obowiązków operatorów infrastruktury krytycznej w zakresie zapewnienia stabilności biznesowej i ciągłości działania, wdrożenia środków ochrony bezpieczeństwa, zachowania poufności zamówień na produkty i usługi sieciowe oraz przeprowadzania regularnych testów i ocen bezpieczeństwa. Nowe kary obejmują m.in.:
- Nałożenie kar, takich jak otwarta krytyka, zawieszenie działalności gospodarczej w celu jej naprawienia, zamknięcie stron internetowych oraz cofnięcie zezwoleń na prowadzenie działalności lub licencji biznesowych;
- Nałożenie kary z tytułu naruszenia obowiązków związanych z ochroną danych osobowych lub bezpieczeństwa danych.
Ustawa dodatkowo wymaga, aby w przypadku zakupu przez operatora infrastruktury krytycznej produktów i usług sieciowych, które mogą mieć wpływ na bezpieczeństwo narodowe, taki operator musi przejść przegląd bezpieczeństwa narodowego organizowany przez rząd.
Nowe standardy
Projekt zmian w chińskiej ustawie o cyberbezpieczeństwie ma na celu nie tylko podniesienie kar, tak aby były one na poziomie tych z ustawy o ochronie danych osobowych (co pozwoli stworzyć pewien spójny system sankcji), ale również powinien skłonić organizacje do staranniejszego traktowania obowiązków z zakresu cyberbezpieczeństwa. Sam projekt nowelizacji jest zapowiedzią zwiększonych działań w zakresie ich egzekwowania.
Źródło:
