„Είμαι χειριστής CII;“ – Ο νέος κανονισμός στην Κίνα παρέχει περισσότερη σαφήνεια

0
„Είμαι χειριστής CII;“  – Ο νέος κανονισμός στην Κίνα παρέχει περισσότερη σαφήνεια
Έκθεση Προστασίας Δεδομένων - Norton Rose Fulbright

Ο νόμος για την ασφάλεια στον κυβερνοχώρο της Κίνας (CSL), που θεσπίστηκε το 2016, απαιτεί από τους χειριστές υποδομής πληροφοριών ζωτικής σημασίας (CII) να τηρούν ορισμένες βελτιωμένες υποχρεώσεις ασφαλείας, συμπεριλαμβανομένης της αποθήκευσης εντός της Κίνας όλων των προσωπικών πληροφοριών και των σημαντικών δεδομένων που συλλέγονται ή δημιουργούνται κατά τις δραστηριότητές τους στην Κίνα. Δεδομένης της πιο επαχθούς υποχρέωσης για τους φορείς εκμετάλλευσης CII, μας τίθεται συνεχώς η ίδια βασική ερώτηση από τους πελάτες μας που δραστηριοποιούνται επιχειρηματικά στην Κίνα: «Είμαι χειριστής CII;». Τώρα, ένας νέος κανονισμός παρέχει περισσότερη σαφήνεια σε αυτό.

Στις 17 Αυγούστου 2021, το Κρατικό Συμβούλιο της Κίνας δημοσίευσε το Rκανονισμός για την προστασία της ασφάλειας της υποδομής πληροφοριών ζωτικής σημασίας (Κανονισμός Ασφαλείας CII). Έχουν περάσει τέσσερα χρόνια από την αρχική δημοσίευση του σχεδίου αυτού του κανονισμού για δημόσιο σχολιασμό τον Ιούλιο του 2017. Σε σύγκριση με το προσχέδιο του 2017, η τελική έκδοση έχει βελτιωθεί από διάφορες πτυχές και ανταποκρίθηκε στις ανησυχίες που εκφράστηκαν από την αγορά τα τελευταία χρόνια.

Πεδίο εφαρμογής και αναγνώριση του CII

Σύμφωνα με το CSL, ο Κανονισμός Ασφαλείας CII ορίζει το CII ως:

«Σημαντικές εγκαταστάσεις δικτύου, πληροφοριακά συστήματα κ.λπ. σε σημαντικούς κλάδους και τομείς όπως οι δημόσιες υπηρεσίες επικοινωνιών και πληροφοριών, η ενέργεια, οι μεταφορές, το νερό, τα οικονομικά, οι δημόσιες υπηρεσίες, οι υποθέσεις ηλεκτρονικής διακυβέρνησης και οι αμυντικές τεχνολογίεςη οποία, σε περίπτωση βλάβης, απώλειας της λειτουργίας ή διαρροής δεδομένων από αυτήν, θα μπορούσε να θέσει σε σοβαρό κίνδυνο την εθνική ασφάλεια, την εθνική οικονομία και τη διαβίωση των ανθρώπων ή το δημόσιο συμφέρον».

Ωστόσο, αυτός ο νέος κανονισμός διευκρινίζει ότι οι ρυθμιστικές αρχές ή οι διοικητικές και εποπτικές αρχές των σημαντικών βιομηχανιών και τομέων που υπογραμμίζονται παραπάνω (το Προστατευτικές Αρχές) θα:

  1. διαμορφώνουν τους δικούς τους κανόνες για τον προσδιορισμό των CII εντός των αντίστοιχων αρμοδιοτήτων τους (η Κανόνες αναγνώρισης), λαμβάνοντας υπόψη τους ακόλουθους παράγοντες:
  • τη σημασία των εγκαταστάσεων δικτύου, συστημάτων πληροφοριών κ.λπ. για τις βασικές επιχειρήσεις του σχετικού κλάδου ή τομέα·
  • τη βλάβη που μπορεί να προκληθεί από τη βλάβη, την απώλεια λειτουργίας ή τη διαρροή δεδομένων από τις εγκαταστάσεις του δικτύου, τα συστήματα πληροφοριών κ.λπ. και
  • σχετικές επιπτώσεις σε άλλους κλάδους και τομείς·

2. είναι υπεύθυνος για την αναγνώριση των CII στις αντίστοιχες αρμοδιότητές τους σύμφωνα με τους Κανόνες Ταυτοποίησης.

Αυτό σημαίνει ότι οι Προστατευτικές Αρχές θα εντοπίσουν και θα ειδοποιήσουν τους φορείς εκμετάλλευσης των βιομηχανιών τους που έχουν χαρακτηριστεί CII, δίνοντας έτσι στους φορείς εκμετάλλευσης σαφήνεια ως προς το εάν απαιτείται να συμμορφώνονται με τις απαιτήσεις που ισχύουν για τους CII.

Υποχρεώσεις χειριστών CII

Ο Κανονισμός Ασφαλείας CII επιβάλλει διάφορες υποχρεώσεις ασφάλειας στους φορείς εκμετάλλευσης CII επιπλέον αυτών που ορίζονται στο CII, μεταξύ των οποίων:

  • σχεδιάζουν, αναπτύσσουν και εφαρμόζουν μέτρα προστασίας ασφάλειας ταυτόχρονα με το ίδιο το CII·
  • να ιδρύσει ένα ειδικό ίδρυμα διαχείρισης ασφάλειας και να διενεργήσει ελέγχους ιστορικού ασφαλείας στον υπεύθυνο και στο βασικό προσωπικό αυτού του ιδρύματος·
  • να διαμορφώσει ένα σχέδιο αντιμετώπισης έκτακτης ανάγκης και να οργανώσει τακτικές ασκήσεις έκτακτης ανάγκης·
  • αναφέρετε περιστατικά ασφάλειας στον κυβερνοχώρο και άλλες σημαντικές υποθέσεις στις αρχές·
  • διενεργεί δοκιμές ασφάλειας στον κυβερνοχώρο και αξιολόγηση κινδύνου τουλάχιστον μία φορά το χρόνο, διορθώνει τα ζητήματα ασφάλειας που αποκαλύπτονται κατά τη δοκιμή ή την αξιολόγηση και συντάσσει αναφορές σύμφωνα με τις απαιτήσεις των Προστατευτικών Αρχών·
  • δίνουν προτεραιότητα σε ασφαλή και αξιόπιστα προϊόντα και υπηρεσίες δικτύου στις προμήθειες· εάν η εθνική ασφάλεια μπορεί να αφορά η προμήθεια προϊόντων ή υπηρεσιών δικτύου από τον φορέα εκμετάλλευσης CII, πρέπει να περάσει μια επανεξέταση ασφάλειας· και
  • ειδοποιεί τις Προστατευτικές Αρχές σε περίπτωση συγχώνευσης, διάσπασης ή διάλυσης του φορέα εκμετάλλευσης CII και διάθεση του CII σύμφωνα με τις απαιτήσεις των Προστατευτικών Αρχών.

Ποινικές ρήτρες

Οι φορείς εκμετάλλευσης CII ενδέχεται να υπόκεινται σε διάφορες κυρώσεις για μη συμμόρφωση με τις υποχρεώσεις ασφαλείας, συμπεριλαμβανομένων εντολών για διόρθωση, προειδοποιήσεων, διοικητικών προστίμων έως 1 εκατομμύριο RMB ή 10 φορές την τιμή του προϊόντος ή της υπηρεσίας που προμηθεύεται. Ο υπεύθυνος και άλλα άμεσα υπεύθυνα άτομα μπορεί επίσης να ευθύνονται προσωπικά. Οι κυρώσεις που προβλέπονται από τον Κανονισμό Ασφαλείας CII είναι επιπλέον εκείνων που ορίζονται σε άλλους νόμους όπως ο CSL ή το Ποινικό Δίκαιο.

Η άποψή μας

Ο κανονισμός ασφαλείας CII επιβεβαιώνει την άγραφη προσέγγιση που υιοθέτησαν οι κινεζικές αρχές όσον αφορά τα CII (δηλ, οι εταιρείες μπορούν να αναμένουν να λάβουν ειδοποίηση από τις αρμόδιες αρχές προτού οριστούν επίσημα ως φορείς εκμετάλλευσης CII). Αυτό θα δώσει περισσότερη βεβαιότητα στις εταιρείες που δραστηριοποιούνται στην Κίνα, επιτρέποντάς τους να προσδιορίσουν ποιες απαιτήσεις ασφάλειας ισχύουν και να απαλύνουν τις ανησυχίες σχετικά με την επιβολή κυρώσεων για παραβιάσεις των υποχρεώσεων ασφάλειας CII χωρίς να γνωρίζουν ότι ισχύουν.

Ωστόσο, ορισμένες αβεβαιότητες παραμένουν. Πρώτον, δεν υπάρχει επί του παρόντος χρονοδιάγραμμα για την έκδοση των Κανόνων Ταυτοποίησης και μέχρι την έκδοση των Κανόνων Ταυτοποίησης από τις Προστατεύουσες Αρχές, το ακριβές πεδίο εφαρμογής των CII παραμένει αβέβαιο. Επιπλέον, ορισμένες εταιρείες έχουν λάβει επίσημη ειδοποίηση ότι πρόκειται για CII, αλλά αναμένουμε να έρθουν περισσότερα, επομένως οι εταιρείες που δραστηριοποιούνται σε ευαίσθητους ή άκρως ρυθμιζόμενους τομείς όπως η ενέργεια, οι χρηματοοικονομικές υπηρεσίες και οι τηλεπικοινωνίες θα πρέπει να γνωρίζουν ότι η έκδοση ειδοποίησης παραμένει μια πιθανότητα. Δεν είναι επίσης σαφές πόσος χρόνος θα δοθεί σε μια εταιρεία για να συμμορφωθεί πλήρως αφού οριστεί ως φορέας εκμετάλλευσης CII. Επομένως, συνιστούμε στις εταιρείες να παρακολουθούν τις μελλοντικές εξελίξεις και να λαμβάνουν προληπτικά μέτρα που είναι κατάλληλα λαμβάνοντας υπόψη τον κλάδο τους και την ευαισθησία των δεδομένων που χειρίζονται.

Schreibe einen Kommentar