Umsetzung und Auswirkung der Maßnahmen zur Überprüfung der Cybersicherheit

PrintMailRate-it
Die Maßnahmen zur Überprüfung der Cybersicherheit (die „Maßnahmen“) treten am 15. Februar 2022 in Kraft. Die Maßnahmen wurden von der Cyberspace Administration of China („CAC“) verabschiedet und von anderen zuständigen Behörden wie der Staatliche Kommission für Entwicklung und Reform, dem Ministerium für Industrie und Informationstechnologie, dem Ministerium für öffentliche Sicherheit usw. genehmigt und bereits am 28. Dezember 2021 veröffentlicht.

Umfang der Anwendung

Um Netzprodukte oder -dienste zu erwerben, muss ein Betreiber kritischer Informationsinfrastrukturen mögliche Risiken für die nationale Sicherheit vorhersehen, nachdem diese Produkte oder Dienste in Betrieb genommen wurden. Er meldet dem Büro für die Überprüfung der Cybersicherheit (Office of Cybersecurity Review) alle Netzprodukte oder -dienste, die die nationale Sicherheit berühren oder berühren könnten, zur Überprüfung der Cybersicherheit. Für die Zwecke dieser Maßnahmen bezieht sich der Begriff „Netzprodukte und -dienste“ hauptsächlich auf Kernnetzausrüstungen, wichtige Kommunikationsprodukte, Hochleistungscomputer und -server, Massenspeichergeräte, große Datenbanken und Anwendungssoftware, Cybersicherheitsausrüstungen, Cloud-Computing-Dienste und andere Netzprodukte und -dienste, die einen erheblichen Einfluss auf die Sicherheit kritischer Informationsinfrastrukturen haben.

Führt ein Betreiber einer Online-Plattform Datenverarbeitungstätigkeiten durch, die die nationale Sicherheit berühren oder berühren könnten, so führt er eine Überprüfung der Cybersicherheit im Einklang mit diesen Maßnahmen durch.

Um im Ausland an die Öffentlichkeit zu treten, muss ein Betreiber einer Online-Plattform, der im Besitz der personenbezogenen Daten von mehr als 1 Million Nutzern ist, dies dem Büro für die Überprüfung der Cybersicherheit zur Überprüfung der Cybersicherheit melden.

Einzureichende Dokumente

Um einen Antrag auf Überprüfung der Cybersicherheit zu stellen, muss der Betreiber die folgenden Erklärungsunterlagen einreichen:
  1. eine schriftliche Erklärung;
  2. einen Analysebericht über die Auswirkungen oder möglichen Auswirkungen auf die nationale Sicherheit;
  3. das Beschaffungsdokument, die Vereinbarung, den abzuschließenden Vertrag oder die vorzulegenden IPO-Materialien usw.; und
  4. sonstige für die Cybersicherheitsüberprüfung erforderliche Unterlagen.

Das Büro für die Überprüfung der Cybersicherheit entscheidet innerhalb von 10 Arbeitstagen nach Eingang der Erklärungsunterlagen, ob eine Überprüfung der Cybersicherheit erforderlich ist, und teilt dies dem Betreiber schriftlich mit.

Standards und Verfahren für die Überprüfung der Cybersicherheit

Die Überprüfung der Cybersicherheit konzentriert sich auf die Bewertung der nationalen Sicherheitsrisikofaktoren des betreffenden Objekts oder der betreffenden Situation:
  1. Risiken der illegalen Kontrolle, Beeinflussung oder Zerstörung kritischer Informationsinfrastrukturen durch die Nutzung von Produkten und Dienstleistungen;
  2. Schaden, der durch die Unterbrechung der Versorgung mit Produkten und Dienstleistungen für die Geschäftskontinuität kritischer Informationsinfrastrukturen entsteht;
  3. Sicherheit, Offenheit, Transparenz und Vielfalt der Quellen von Produkten und Dienstleistungen, Zuverlässigkeit der Versorgungskanäle und Risiken der Versorgungsunterbrechung aufgrund politischer, diplomatischer, handelspolitischer oder anderer Faktoren;
  4. Informationen über die Einhaltung chinesischer Gesetze, Verwaltungsvorschriften und Dienstvorschriften durch Produkt- und Dienstleistungsanbieter;
  5. Risiken des Diebstahls, der Offenlegung, der Beschädigung, der illegalen Nutzung oder der grenzüberschreitenden Übertragung von Kerndaten, wichtigen Daten oder großen Mengen personenbezogener Informationen;
  6. Risiken der Beeinflussung, Kontrolle oder böswilligen Nutzung von kritischen Informationsinfrastrukturen, Kerndaten, wichtigen Daten oder großen Mengen personenbezogener Informationen durch ausländische Regierungen nach der Notierung im Ausland; und
  7. andere Faktoren, die die Sicherheit kritischer Informationsinfrastrukturen, die Cybersicherheit und die Datensicherheit gefährden können.

Die Überprüfung der Cybersicherheit besteht aus einer Vorprüfung, die vom Büro für die Überprüfung der Cybersicherheit („Büro“) für einen Zeitraum von 30 bis 45 Arbeitstagen durchgeführt wird. Danach dauert es bis zu 15 Arbeitstage, um auf eine schriftliche Antwort der Mitglieder des Arbeitsmechanismus für die Überprüfung der Cybersicherheit und der zuständigen Behörden zu warten, nachdem diese die Ergebnisse der Vorprüfung und die Vorschläge des Büros erhalten haben („Konsultationsprozess“). In umfassenden Fällen wird das Büro außerdem ein mögliches Sonderprüfungsverfahren von 90 Arbeitstagen einleiten, wenn die Ergebnisse der Vorprüfung und des Konsultationsprozesses nicht übereinstimmen.

Auswirkung und Verantwortlichkeiten

Ausländisch investierte Unternehmen, die als Betreiber kritischer Informationsinfrastrukturen in Branchen wie Kommunikations- und Informationsdienste, Energie, Verkehr, Wasserwirtschaft, Finanzen, öffentlicher Dienst usw. eingestuft werden können, müssen diese Maßnahmen strikt befolgen und die Risiken gemäß den für ihre eigene Branche oder ihren eigenen Bereich entwickelten Leitlinien für die Vorabbeurteilung beurteilen, bevor sie den Fall zur Überprüfung einreichen (falls zutreffend). Darüber hinaus sollten ausländisch investierte Unternehmen, die Betreibern kritischer Informationsinfrastrukturen Netzwerkprodukte und -dienste als Zulieferer zur Verfügung stellen, bei der Bereitstellung der erforderlichen Dokumente kooperieren und die Betreiber bei der Ergreifung von Präventiv- und Risikominderungsmaßnahmen gemäß den Anforderungen der Cybersicherheitsüberprüfung unterstützen und sogar die in der Cybersicherheitsüberprüfung eingegangenen Verpflichtungen erfüllen, einschließlich, aber nicht beschränkt auf die Verpflichtung, die Bereitstellung des Produkts oder des Dienstes nicht auszunutzen, um unrechtmäßig Nutzerdaten zu erhalten, die Nutzerausrüstung unrechtmäßig zu kontrollieren und zu manipulieren und die Produktbereitstellung oder die erforderlichen technischen Unterstützungsdienste nicht ohne gerechtfertigte Gründe auszusetzen. Jeder Verstoß gegen diese Maßnahmen wird als Verstoß gegen das Cybersicherheitsgesetz der Volksrepublik China und das Datensicherheitsgesetz der Volksrepublik China angesehen und unterliegt den entsprechenden Haftungsbestimmungen.

Aus dem Newsletter

Kontakt

Contact Person Picture

Li Wang, LL.M.

Legal Counsel (China)

Associate Partner

+ 86 21 6163 5352

Anfrage senden

Wir beraten Sie gern!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu