4

China lanza regulaciones de protección de seguridad de infraestructura de información crítica

Presentación de la regulación en Ciberseguridad

El 17 de agosto del 2021, el Consejo de Estado de China publicó las Regulaciones de protección de seguridad de la infraestructura de información crítica (“Regulaciones”) 1 a partir del 1 de septiembre, una regulación administrativa clave en la implementación de la Ley de Ciberseguridad de 2016 (“CSL”) que proporcionó esa infraestructura de información crítica (“CII ”) Deberá recibir protección prioritaria contra los riesgos y amenazas de ciberseguridad en el país y en el extranjero (artículo 5). El Reglamento, finalizado a partir de un borrador de 2017, aclara la definición de CII, las autoridades a cargo de la protección de seguridad de CII, la determinación de CII, las obligaciones de un Operador de CII (“CIIO”), el apoyo y promoción de seguridad de CII y la responsabilidad legal. .

El Reglamento aclara la definición de CII, en gran parte basada en la descripción en la CSL, para incluir las siguientes industrias y sectores:

Otras instalaciones de red y sistemas de información importantes que, una vez dañados, desactivados o sometidos a la divulgación de datos, pueden amenazar gravemente la seguridad nacional, la economía nacional, el sustento de las personas o el interés público (artículo 2).

Servicios de información y comunicaciones públicas
Energía
Transporte
Conservación del agua
Finanzas
Servicios públicos
Gobierno electrónico
Industria de tecnología de defensa

Un CIIO puede estar sujeto a una multa de 100.000 a 1 millón de yuanes si se niega a tomar medidas correctivas o provoca consecuencias tales como un compromiso de la seguridad cibernética, y una multa de 10.000 a 100.000 yuanes al supervisor directamente responsable, en caso de los siguientes, entre otros hechos (artículo 39):

No informar al departamento de trabajo de protección de seguridad de la CII en caso de un gran cambio en la CII que pueda afectar el resultado de la determinación de la CII;

No realizar pruebas de seguridad cibernética y evaluación de riesgos al menos una vez al año, corregir problemas de seguridad identificados o informar al departamento de trabajo de protección de seguridad de CII;
No celebrar un acuerdo de confidencialidad de seguridad con los proveedores de servicios y productos de la red según lo exigen las reglamentaciones pertinentes;

No informar de inmediato al departamento de trabajo de protección de seguridad de CII en caso de fusión, división o disolución, o disponer de CII según lo requiera el departamento de trabajo de protección de seguridad de CII.
Un CIIO que no realice una revisión de seguridad como se requiere al comprar productos y servicios de red que puedan tener un impacto en la seguridad nacional enfrentará una multa de una a diez veces el monto del precio de compra, y una multa de 10,000 a 100,000 RMB en el supervisor directamente responsable o la persona directamente responsable (artículo 41).

Las empresas extranjeras pueden experimentar desafíos para vender productos de red a CIIO, ya que estos productos deben ser “seguros y confiables” según las Regulaciones. Esto es en gran medida coherente con el requisito de revisión de la ciberseguridad establecido en las Medidas de revisión de la ciberseguridad promulgadas el 27 de abril de 2020 por doce departamentos del gobierno chino dirigidos por la CAC. Según las Medidas de revisión de ciberseguridad, los CIIO deben realizar una evaluación / determinación previa sobre si los productos / servicios de red que se adquirirán presentan posibles problemas de seguridad nacional. En caso afirmativo, los CIIO están obligados a enviar una solicitud al gobierno para una revisión de seguridad cibernética antes de adquirir dichos productos y servicios. El requisito de revisión de la ciberseguridad probablemente hará que los CIIO prefieran los productos nacionales sobre los productos extranjeros.

Las Regulaciones no establecen estándares detallados o pautas operativas para determinar quiénes serán vistos como CIIO, y tendremos que esperar reglas de implementación detalladas publicadas por reguladores industriales específicos sobre exactamente quiénes son CIIO, cómo deben verificar la seguridad y confiabilidad de sus productos de la red durante el proceso de adquisición, y cómo dicho proceso de verificación o certificación interactúa con el principio de nivelar el campo de juego entre los actores nacionales y extranjeros en virtud de la nueva Ley de Inversión Extranjera de China.

Fuente: http://www.gov.cn/zhengce/content/2021-08/17/content_5631671.htm.

Abrir Chat
1
Necesitas ayuda?
Hola, necesitas que hablemos?