GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Chiny planują zaostrzyć kary za naruszenia cyberbezpieczeństwa

Chiny planują zaostrzyć kary za naruszenia cyberbezpieczeństwa

Chiny planują zaostrzyć kary za naruszenia cyberbezpieczeństwa

Chińska Administracja Cyberprzestrzeni („CAC”) opublikowała niedawno projekt decyzji w sprawie zmiany ustawy o cyberbezpieczeństwie Chińskiej Republiki Ludowej. Jeśli CAC przyjmie tę decyzję, będzie to pierwsza nowelizacja ustawy o cyberbezpieczeństwie od czasu jej uchwalenia w 2016 roku. Zakłada m.in. zwiększenie kar i rozszerzenie obowiązków organizacji.

Powody zmian

Chińska ustawa o cyberbezpieczeństwie była jedną z pierwszych ustaw dotyczących bezpieczeństwa systemów informatycznych, uchwalono ją w 2016 r. W międzyczasie, po kilku latach rozważań, chiński rząd uchwalił nowe ustawy:

które były podstawą nowego chińskiego systemu sieci cyberbezpieczeństwa i ochrony danych. Obecnie chiński rząd postanowił znowelizować nieaktualną już ustawę o cyberbezpieczeństwie.

Zwiększone kary

Nowelizacja ustawy przede wszystkim zaostrza kary za naruszenie obowiązków dotyczących:

  1. zgodności z wielopoziomowym systemem ochrony cyberbezpieczeństwa;
  2. spełniania przez produkty i usługi sieciowe norm krajowych;
  3. ważności certyfikatów bezpieczeństwa lub testów bezpieczeństwa dla krytycznych urządzeń sieciowych i produktów cyberbezpieczeństwa specjalnego przeznaczenia w celu sprzedaży lub udostępniania;
  4. uwierzytelniania prawdziwych nazw przez operatorów sieci;
  5. planów awaryjnych na wypadek incydentów cyberbezpieczeństwa;
  6. przeprowadzania certyfikacji i testów cyberbezpieczeństwa oraz oceny ryzyka, a także publikowanie ostrzeżeń dotyczących cyberbezpieczeństwa;
  7. zapewniania wsparcia technicznego i pomocy organom ścigania.

Wzrost zagrożeń cyberbezpieczeństwa

Kary za naruszenie powyższych obowiązków zostały podniesione do górnego limitu grzywien do 1 000 000 yuanów (ok 569 tys. zł) dla operatorów sieci i 100 000 yuanów (ok 5 tys. zł) dla osób bezpośrednio odpowiedzialnych. Wprowadzono również grzywny pieniężne za poważne naruszenia, na wzór ustawy o ochronie danych osobowych, gdzie grzywna wynosi od do 50 mln yuanów lub do 5% rocznego obrotu w poprzednim roku, a osoby bezpośrednio odpowiedzialne podlegają grzywnie w wysokości od 100 000 yuanów do 1 mln yuanów i/lub zakazowi zajmowania stanowisk kierowniczych w Chinach.

Chiny z nowymi przepisami, ale i z problemami

Obowiązki związane z infrastruktura krytyczną

Projekt zmian dostosowuje również kary za naruszenie obowiązków operatorów infrastruktury krytycznej w zakresie zapewnienia stabilności biznesowej i ciągłości działania, wdrożenia środków ochrony bezpieczeństwa, zachowania poufności zamówień na produkty i usługi sieciowe oraz przeprowadzania regularnych testów i ocen bezpieczeństwa. Nowe kary obejmują m.in.:

  1. Nałożenie kar, takich jak otwarta krytyka, zawieszenie działalności gospodarczej w celu jej naprawienia, zamknięcie stron internetowych oraz cofnięcie zezwoleń na prowadzenie działalności lub licencji biznesowych;
  2. Nałożenie kary z tytułu naruszenia obowiązków związanych z ochroną danych osobowych lub bezpieczeństwa danych.

Ustawa dodatkowo wymaga, aby w przypadku zakupu przez operatora infrastruktury krytycznej produktów i usług sieciowych, które mogą mieć wpływ na bezpieczeństwo narodowe, taki operator musi przejść przegląd bezpieczeństwa narodowego organizowany przez rząd.

Nowe standardy

Projekt zmian w chińskiej ustawie o cyberbezpieczeństwie ma na celu nie tylko podniesienie kar, tak aby były one na poziomie tych z ustawy o ochronie danych osobowych (co pozwoli stworzyć pewien spójny system sankcji), ale również powinien skłonić organizacje do staranniejszego traktowania obowiązków z zakresu cyberbezpieczeństwa. Sam projekt nowelizacji jest zapowiedzią zwiększonych działań w zakresie ich egzekwowania.

 

Źródło:

https://www.twobirds.com/en/insights/2022/china/china-to-toughen-penalties-for-cybersecurity-breaches