Op 17 augustus 2021 heeft de Raad van State de “Veiligheidsbeschermingsvoorschriften voor kritieke informatie-infrastructuur (hierna “de voorschriften”,关键信息基础设施安全保护条例), die op 1 september 2021 in werking is getreden.
Er zijn 51 artikelen in zes hoofdstukken. De Regeling voorziet in de identificatie van kritieke informatie-infrastructuur, de verantwoordelijkheden en verplichtingen van de exploitanten van kritieke informatie-infrastructuur, de borging en bevordering van de kritieke informatie-infrastructuur en de relevante wettelijke aansprakelijkheden.
Kritieke informatie-infrastructuur in de verordeningen verwijst naar de belangrijke netwerkfaciliteiten en informatiesystemen in belangrijke industrieën en gebieden zoals openbare communicatie- en informatiediensten, energie, transport, waterbeheer, financiën, openbare diensten, e-overheidsdiensten en de wetenschap en technologie-industrie van de landsverdediging, evenals andere belangrijke netwerkfaciliteiten en informatiesystemen die bij schade, storingen of datalekken de nationale veiligheid, de nationale economie, het levensonderhoud of de publieke belangen ernstig in gevaar kunnen brengen.
Op grond van de verordeningen moet een exploitant het systeem voor cyberbeveiliging en verantwoording opzetten en verbeteren, en zorgen voor de inbreng van personele, financiële en materiële middelen. De hoofdverantwoordelijke van de exploitant draagt de algehele verantwoordelijkheid voor de beveiliging van kritieke informatie-infrastructuur, leidt de beveiliging van kritieke informatie-infrastructuur en de verwijdering van grote cyberbeveiligingsgebeurtenissen, en organiseert het onderzoek naar de oplossing van grote cyberbeveiligingsproblemen. Daarnaast voert een exploitant ten minste eenmaal per jaar zelf of een met hem belaste aanbieder van cyberbeveiligingsdiensten cyberbeveiligingsdetectie en risicobeoordeling van de kritieke informatie-infrastructuur uit, corrigeert hij onmiddellijk ontdekte beveiligingsproblemen en rapporteert hij relevante informatie zoals vereist door de beschermingsautoriteiten. Een exploitant die de voorschriften overtreedt, kan worden bevolen om correcties aan te brengen, een waarschuwing krijgen, een boete of andere administratieve sancties opleggen, of zelfs strafrechtelijk worden vervolgd als de handeling een misdrijf vormt.
Omslagfoto door Stephan Tafra (https://unsplash.com/@stafra) op Unsplash
Medewerkers: CJO-team medewerkers