Op 27 juni 2018 heeft het ministerie van Openbare Veiligheid op basis van artikel 21 van de cyberbeveiligingswet de "Regels inzake niveaus van cyberbeveiliging" opgesteld en zijn ontwerp aangekondigd voor het vragen van meningen van het publiek.
Op dit moment is het ontwerp nog geen officieel afgekondigde wet geworden.
De kernpunten van het ontwerp zijn als volgt:
(1) Het netwerksysteem zal worden onderverdeeld in vijf beveiligingsniveaus op basis van het belang ervan voor de nationale veiligheid, de economische opbouw en het sociale leven.
Het belang van het netwerksysteem neemt geleidelijk toe van het eerste niveau naar het vijfde niveau. (Artikel 15)
Netwerksystemen van verschillende niveaus geven als volgt aan in welke mate relevante belangen kunnen worden geschaad in het geval van een netwerkbeveiligingsincident van het netwerksysteem op dat niveau:
Niveau 1: Nationale veiligheid, sociale orde en publieke belangen komen niet in gevaar;
Niveau 2: de sociale orde en publieke belangen komen in gevaar en de nationale veiligheid komt niet in gevaar;
Niveau 3: de sociale orde en publieke belangen komen ernstig in gevaar, of de nationale veiligheid komt in gevaar;
Niveau 4: De sociale orde en de openbare belangen komen in het bijzonder ernstig in gevaar, of de nationale veiligheid komt ernstig in gevaar;
Niveau 5: De nationale veiligheid wordt bijzonder ernstig in gevaar gebracht.
(2) De netwerkexploitant bepaalt het beveiligingsniveau van het netwerk tijdens de plannings- en ontwerpfase, en de experts en bevoegde autoriteiten bevestigen het niveau ervan. Nadat het niveau is bevestigd, moet de netwerkoperator ook een dossier indienen bij het openbare veiligheidsorgaan. (Artikelen 16, 17, 18)
(3) Netwerkexploitanten dienen de nodige veiligheidsverplichtingen na te komen, en exploitanten van netwerken boven niveau 3 moeten ook bijzondere verplichtingen inzake veiligheidsbescherming nakomen. (Artikelen 20 en 21)
(4) Indien door netwerkexploitanten aangekochte netwerkproducten en -diensten gevolgen kunnen hebben voor de nationale veiligheid, moeten dergelijke producten en diensten nationale veiligheidsbeoordelingen ondergaan die door regelgevende instanties worden georganiseerd. (Artikel 28)
(5) Netwerken boven niveau 3 moeten in het land worden onderhouden en technisch onderhoud op afstand is in het buitenland niet toegestaan. (Artikel 29)
(6) Netwerkexploitanten moeten netwerkbeveiligingsmonitoring en vroegtijdige waarschuwingsinformatie en netwerkbeveiligingsincidenten rapporteren aan regelgevende instanties, belangrijke beschermingsmechanismen voor gegevens- en persoonsgegevens invoeren en noodplannen voor netwerkbeveiliging opstellen en uitvoeren. (Artikelen 30, 31, 32)