I. Wetten
1. Cyberbeveiligingswet van China (2017) 网络 安全 法
Deze wet is van toepassing op eigenaren, beheerders en netwerkserviceproviders (hierna "operators" genoemd) die netwerken in China bouwen, exploiteren, onderhouden en gebruiken. Kernpunten van deze wet zijn onder meer:
(1) Exploitanten verifiëren de identiteit van de gebruiker bij het verlenen van diensten zoals netwerktoegang, domeinnaamregistratie, telefoonnetwerktoegang of het vrijgeven van informatie en instant messaging voor de gebruiker.
(2) Persoonlijke informatie en belangrijke gegevens moeten in China worden opgeslagen. De gegevensexport is onderworpen aan de controle van de toezichthouder.
(3) Exploitanten verlenen technische ondersteuning en bijstand aan openbare veiligheidsorganen en nationale veiligheidsinstanties.
(4) Wanneer een buitenlandse instelling, organisatie of individuele instantie de kritieke informatie-infrastructuren van China aanvalt, binnendringt, verstoort, vernietigt of anderszins beschadigt, met ernstige gevolgen tot gevolg, is de overtreder onderworpen aan wettelijke aansprakelijkheid in overeenstemming met de wet. De organen voor openbare veiligheid en relevante diensten kunnen besluiten om eigendommen van de instelling, organisatie of persoon te bevriezen of andere noodzakelijke sanctiemaatregelen te nemen.
2. Besluit ter versterking van de bescherming van netwerkinformatie (2012) 关于 加强 网络 信息 保护 的 决定
Het besluit legt, voor het eerst in China, de regels vast voor het verzamelen en gebruiken van persoonlijke informatie en de verplichtingen van netwerkdienstverleners om persoonlijke informatie te beschermen.
De cyberbeveiligingswet, die vervolgens in 2018 is afgekondigd, heeft de meeste inhoud van het besluit overgenomen.
3. Besluit over het handhaven van internetbeveiliging (2000) 关于 维护 互联网 安全 的 决定
Het besluit is de eerste regel van China op het gebied van cyberbeveiliging, met de volgende kernpunten:
(1) Het hacken of vernietigen van het computersysteem is een misdrijf.
(2) Het ondermijnen van de staatsmacht, het vernietigen van de nationale eenheid en de eenheid van nationaliteiten, het stelen van staatsgeheimen en het ontplooien van activiteiten waarbij sekte betrokken is door het publiceren van informatie op internet, is een misdaad.
(3) Het schenden van de legitieme rechten van anderen op internet is een misdrijf.
II Administratieve voorschriften
De belangrijkste punten van de maatregelen zijn onder meer:
(1) Het ministerie van Openbare Veiligheid is verantwoordelijk voor de bescherming van de verbinding tussen het computernetwerk in China en het internationale internet.
(2) Geen enkele entiteit mag het internationale internet gebruiken om illegale inhoud te publiceren of de computerbeveiliging in gevaar te brengen.
De belangrijkste punten van de maatregelen zijn onder meer:
(1) De verordeningen hebben tot doel de beveiliging van computerinformatiesystemen op het grondgebied van China te beschermen.
(2) Het ministerie van Openbare Veiligheid is de bevoegde autoriteit op dit gebied, wiens taken en bevoegdheden onder meer toezicht houden op de relevante veiligheidsbescherming; het onderzoeken en bestraffen van de illegale handelingen die de computerbeveiliging in gevaar brengen.
Op 27 juni 2018 heeft het Ministerie van Openbare Veiligheid op basis van artikel 21 van de Cyber Security-wet de "Regelgeving inzake niveaus van cyberbeveiliging" opgesteld en zijn ontwerp aangekondigd om het publiek om mening te vragen. Op dit moment is het ontwerp nog geen officieel afgekondigde wet geworden.
De kernpunten van het ontwerp zijn als volgt:
(1) Het netwerksysteem zal worden onderverdeeld in vijf beveiligingsniveaus op basis van het belang ervan voor de nationale veiligheid, de economische opbouw en het sociale leven.
Het belang van het netwerksysteem neemt geleidelijk toe van het eerste niveau naar het vijfde niveau. (Artikel 15)
Netwerksystemen van verschillende niveaus geven als volgt aan in welke mate relevante belangen kunnen worden geschaad in het geval van een netwerkbeveiligingsincident van het netwerksysteem op dat niveau:
Niveau 1: Nationale veiligheid, sociale orde en publieke belangen komen niet in gevaar;
Niveau 2: de sociale orde en publieke belangen komen in gevaar en de nationale veiligheid komt niet in gevaar;
Niveau 3: de sociale orde en publieke belangen komen ernstig in gevaar, of de nationale veiligheid komt in gevaar;
Niveau 4: De sociale orde en de openbare belangen komen in het bijzonder ernstig in gevaar, of de nationale veiligheid komt ernstig in gevaar;
Niveau 5: De nationale veiligheid wordt bijzonder ernstig in gevaar gebracht.
(2) De netwerkexploitant bepaalt het beveiligingsniveau van het netwerk tijdens de plannings- en ontwerpfase, en de experts en bevoegde autoriteiten bevestigen het niveau ervan. Nadat het niveau is bevestigd, moet de netwerkoperator ook een dossier indienen bij het openbare veiligheidsorgaan. (Artikelen 16, 17, 18)
(3) Netwerkexploitanten dienen de nodige veiligheidsverplichtingen na te komen, en exploitanten van netwerken boven niveau 3 moeten ook bijzondere verplichtingen inzake veiligheidsbescherming nakomen. (Artikelen 20 en 21)
(4) Indien door netwerkexploitanten aangekochte netwerkproducten en -diensten gevolgen kunnen hebben voor de nationale veiligheid, moeten dergelijke producten en diensten nationale veiligheidsbeoordelingen ondergaan die door regelgevende instanties worden georganiseerd. (Artikel 28)
(5) Netwerken boven niveau 3 moeten in het land worden onderhouden en technisch onderhoud op afstand is in het buitenland niet toegestaan. (Artikel 29)
(6) Netwerkexploitanten moeten netwerkbeveiligingsmonitoring en vroegtijdige waarschuwingsinformatie en netwerkbeveiligingsincidenten rapporteren aan regelgevende instanties, belangrijke beschermingsmechanismen voor gegevens- en persoonsgegevens invoeren en noodplannen voor netwerkbeveiliging opstellen en uitvoeren. (Artikelen 30, 31, 32)
III. Departementaal Reglement
1. Cybersecurity Review Measures of China (2020) 网络 安全 审查 办法
De maatregelen hebben tot doel toezicht te houden op de vraag of de aankoop van netwerkproducten en -diensten door exploitanten van kritieke informatie-infrastructuur (hierna "exploitanten" genoemd) gevolgen heeft voor de nationale veiligheid. De belangrijkste punten van de maatregelen zijn onder meer:
(1) Als de aankoop van netwerkproducten en -diensten door operators de nationale veiligheid beïnvloedt of kan beïnvloeden, zullen operators voor de netwerkveiligheidsbeoordeling rapporteren aan het netwerkbeveiligingsbeoordelingsbureau dat is aangesloten bij de Cyberspace Administration van China.
(2) De netwerkproducten of -diensten omvatten computers, servers, opslagapparaten, databases, software en clouddiensten.
(3) Het netwerkbeveiligingsonderzoeksbureau zal de volgende risico's beoordelen: of de faciliteiten die dergelijke producten of diensten gebruiken, zullen worden beschadigd; of de gegevens zullen worden gelekt; of het aanvoerkanaal van dergelijke producten of diensten veilig en stabiel is; of de leverancier van dergelijke producten of diensten voldoet aan de Chinese wetgeving.
2. Beveiligingsbeoordelingsmethoden voor cloud computing-services (2019) 云 计算 服务 安全 评估 办法
Deze beveiligingsbeoordelingsmethoden hebben tot doel de veiligheid en controleerbaarheid te beoordelen van cloudcomputerdiensten die zijn aangekocht door de partij en overheidsorganen en sleutelinfrastructuurbeheerders. De belangrijkste punten zijn:
(1) De veiligheidsbeoordeling van cloudcomputerdiensten zal gericht zijn op het volgende: (i) de basisinformatie van exploitanten van cloudplatforms; (ii) de achtergrond en stabiliteit van aanbieders van clouddiensten; (ii) de beveiliging van cloudplatformtechnologie, producten en toeleveringsketen van diensten; (vi) het vermogen om de beveiliging te beheren en de beveiligingsmaatregelen van aanbieders van clouddiensten; (v) de haalbaarheid en het gemak van migratie van klantgegevens; (iv) de bedrijfscontinuïteit van clouddienstverleners.
(2) Clouddienstverleners kunnen een veiligheidsbeoordeling aanvragen op cloudplatforms die cloudcomputerdiensten leveren aan de partij en overheidsorganen en belangrijke informatie-infrastructuurbeheerders.
Deze verordeningen hebben tot doel te specificeren hoe openbare veiligheidsorganen veiligheidstoezicht en inspectie moeten uitoefenen op de naleving door internetproviders en internetgebruikers van cyberbeveiligingsverplichtingen.
De belangrijkste punten van de maatregelen zijn onder meer:
(1) Het ministerie van Openbare Veiligheid is verantwoordelijk voor de bescherming van de verbinding tussen het computernetwerk in China en het internationale internet.
(2) Geen enkele entiteit mag het internationale internet gebruiken om illegale inhoud te publiceren of de computerbeveiliging in gevaar te brengen.
5.Reguleringen inzake technische maatregelen voor cyberbeveiliging (2006) 互联网 安全 保护 技术 措施 规定
Dit Reglement erop gericht zijn toezicht te houden op internetproviders en internetgebruikers om technische maatregelen voor cyberbeveiliging te nemen, en om de normale werking van technische maatregelen voor cyberbeveiliging te waarborgen. De afdeling toezicht op de beveiliging van het openbare informatienetwerk van het openbare veiligheidsorgaan is verantwoordelijk voor het toezicht op de uitvoering van de technische maatregelen voor cybersecurity.
IV. Beleid
Deze rampenplannen zijn bedoeld om een systeem en werkingsmechanisme voor noodsituaties op te zetten voor noodsituaties op het gebied van openbare internetveiligheid.
De maatregelen hebben tot doel het toezicht op en de afhandeling van werkzaamheden voor bedreigingen van de cyberbeveiliging van het openbare internet te verbeteren, veiligheidsrisico's te elimineren, aanvallen te stoppen, schade te vermijden en veiligheidsrisico's te verminderen. Bedreigingen voor de cyberbeveiliging van het openbare internet verwijzen naar netwerkbronnen, kwaadaardige programma's, beveiligingsrisico's of beveiligingsincidenten die bestaan of zich verspreiden op het openbare internet, en die het publiek schade kunnen berokkenen of hebben veroorzaakt.
De catalogus bevat 15 soorten apparatuur en producten. De Chinese cyberbeveiligingswet vereist de bescherming van kritieke informatie-infrastructuur tegen aanvallen, indringing, interferentie en schade. In de Catalogus staat welke apparatuur en producten tot de kritieke informatie-infrastructuur behoren.
Deze maatregelen zijn bedoeld als leidraad voor de administratieve werkzaamheden voor lokale regelgevende instanties en internettoegangsbedrijven die zich bezighouden met internetdatacentra (inclusief samenwerkingsdiensten voor internetbronnen), internettoegangsdiensten, netwerken voor het leveren van inhoud en andere diensten bij het beheer van het gebruik en het operationele onderhoud van internet. beheersystemen voor informatiebeveiliging.
Dit advies heeft tot doel de totstandbrenging van een verenigd en gezaghebbend nationaal standaardsysteem en normalisatiemechanisme voor netwerkbeveiliging te bevorderen. De belangrijkste punten zijn:
(1) Tot stand brengen en continu verbeteren van het netwerkbeveiligingsstandaardsysteem.
(2) Actief deelnemen aan de formulering van internationale regels en internationale standaardregels voor cyberspace.
Deze adviezen zijn bedoeld om de discipline-ontwikkeling en talententraining van de Chinese Cybersecurity Academy te versterken.
Deze verklaring is bedoeld om alle overheidsdiensten aan te sporen om de beveiliging van hun officiële websites te verbeteren.
8. Kennisgeving van leidende adviezen over het versterken van industriële internetbeveiliging (2019)
Deze kennisgeving is onderverdeeld in 3 delen, met als doel China te stimuleren om tegen eind 2020 in eerste instantie een industrieel internetbeveiligingssysteem op te zetten.
V. Technische norm
1. Vereisten voor de evaluatie van de bescherming van het netwerkbeveiligingsniveau 信息 安全 网络 网络 等级 等级 保护 要求 要求
2. Netwerkbeveiligingsniveau Basisvereisten 信息 安全 技术 网络 安全 安全 等级 保护 基本 要求
3. Bescherming van netwerkbeveiligingsniveau Ontwerpvereisten voor beveiliging 安全 技术 网络 安全 等级 保护 安全 设计 要求
Foto door Jéan Béller (https://unsplash.com/@jeanbeller) op Unsplash