Kritische Informationsinfrastrukturen in China – neue Cybersicherheitsvorschriften

Posted by Written by Dezan Shira & Associates Reading Time: 6 minutes

Ab dem 1. September treten in China neue Vorschriften für die Sicherheit und den Schutz kritischer Informationsinfrastrukturen in Kraft. Wir gehen der Frage nach, welche Unternehmen höchstwahrscheinlich als Betreiber kritischer Informationsinfrastrukturen eingestuft werden, welche Verpflichtungen sie erfüllen müssen und welche neuen Möglichkeiten sich aus den zusätzlichen Anforderungen ergeben könnten.

Am 17. August stellte der chinesische Staatsrat die Vorschriften über die Sicherheit und den Schutz kritischer Informationsinfrastrukturen (die Vorschriften”) vor, die auf der Grundlage des chinesischen Cybersicherheitsgesetzes formuliert wurden. Diese Vorschriften werfen ein neues Licht darauf, wie die Regierung die strengen Anforderungen an die Datensicherheit von Betreibern kritischer Informationsinfrastrukturen (KII) regeln will, lassen jedoch einige Fragen unbeantwortet, die Unternehmen seit der Verabschiedung des Cybersicherheitsgesetzes im Jahr 2017 beunruhigt haben.

Nach dem Cybersicherheitsgesetz unterliegen Unternehmen, die als Betreiber kritischer Informationsinfrastrukturen (KII) bezeichnet werden, strengeren Datensicherheitsanforderungen und einer stärkeren staatlichen Aufsicht. Die neuen Vorschriften enthalten genauere Richtlinien für die Verantwortlichkeiten und Pflichten sowohl der KII-Betreiber selbst als auch der für die Überwachung der Einhaltung zuständigen Behörden. Außerdem werden spezifische Strafen für Aktivitäten festgelegt, die die Sicherheit kritischer Informationsinfrastrukturen verletzen.

Die Verordnungen schaffen auch ein Top-Down-System der Aufsicht und Regulierung, bei dem die KII-Betreiber verpflichtet sind, alle Anomalien, Probleme oder Änderungen an den Systemen den Regulierungsbehörden zu melden. Diese Abteilungen wiederum sind verpflichtet, schwerwiegende Probleme, Bedrohungen oder Änderungen an der Infrastruktur an die zentralen Regierungsbehörden, die Cyberspace Administration of China (CAC) und das National Security Bureau (NSB) zu melden.

Allerdings bleibt in den Vorschriften unklar, welche Art von Unternehmen bzw. welche Geschäftsbereiche unter die Kategorie der KII fallen, so dass viele Unternehmen, die sich in einer Grauzone befinden, nicht wissen, welche Regeln für sie gelten.

Da die Vorschriften am 1. September dieses Jahres in Kraft treten, möchten wir die Gelegenheit nutzen, um zu untersuchen, welche Unternehmen höchstwahrscheinlich als KII-Betreiber eingestuft werden, welche Verpflichtungen sie erfüllen müssen, um das Gesetz einzuhalten, und schließlich, welche neuen Möglichkeiten sich aus den neuen Anforderungen ergeben könnten.

Wer wird als Betreiber kritischer Informationsinfrastrukturen eingestuft?

Die Verordnungen definieren KII als Unternehmen, die in “wichtigen Branchen oder Bereichen” tätig sind, darunter:

  • Öffentliche Kommunikations- und Informationsdienste
  • Energie
  • Verkehr
  • Wasser
  • Finanzen
  • Öffentliche Dienste
  • E-Government-Dienste
  • Nationale Verteidigung
  • Alle anderen wichtigen Netzwerkeinrichtungen oder Informationssysteme, die die nationale Sicherheit, die Volkswirtschaft und den Lebensunterhalt der Bevölkerung oder das öffentliche Interesse im Falle einer Störung, eines Schadens oder eines Datenlecks ernsthaft gefährden können.

Unternehmen, die in bestimmten Sektoren tätig sind, gelten eindeutig als KII-Betreiber – Stromnetze, öffentliche Verkehrsbetriebe, militärische Zulieferer usw. – und viele dieser Sektoren überschneiden sich weitgehend mit ähnlichen Klassifizierungen in den Rechtsvorschriften anderer Länder, wie z. B. der Presidential Policy Directive on Critical Infrastructure Security and Resilience (PPD-21) der USA.

Bei anderen Sektoren ist die Bezeichnung weniger eindeutig. Die Formulierung “andere wichtige Netzwerkeinrichtungen oder Informationssysteme” könnte so ausgelegt werden, dass sie große Online-Dienstleister wie WeChat von Tencent oder die Ride-Hailing-Plattform Didi einschließt.

Tatsächlich wird Didi derzeit von der CAC untersucht, unter anderem, weil das Unternehmen einer Aufforderung zur Durchführung einer Datensicherheitsbewertung nicht nachgekommen ist. In der Zwischenzeit hat WeChat Anfang Juli die Registrierung neuer Nutzer ausgesetzt, um die Sicherheitsprotokolle zu verbessern, damit sie den regulatorischen Anforderungen entsprechen. Diese jüngsten Vorkommnisse lassen vermuten, dass die Unternehmen als KII-Betreiber eingestuft wurden, was jedoch umstritten bleibt.

Für die Entscheidung, welche Unternehmen als KII-Betreiber eingestuft werden, sind nach den Vorschriften die staatlichen Regulierungsbehörden zuständig. Die Abteilungen müssen die Benennung auf folgende Kriterien stützen:

  • Wie wichtig die Netzausrüstung oder das Informationssystem für das Kerngeschäft der Branche oder des Bereichs ist
  • das Ausmaß des Schadens, der im Falle einer Störung, eines Verlusts oder eines Datenlecks entstehen kann
  • die Auswirkungen, die die Daten auf andere Branchen oder Bereiche haben.

Obwohl noch unklar ist, welche Unternehmen genau als KII-Betreiber eingestuft werden, sehen die Vorschriften vor, dass die für die Bestimmung von KII-Betreibern zuständigen Regulierungsbehörden die Unternehmen und den Staatsrat informieren müssen, wenn sie ein Unternehmen als solchen identifizieren. In einer Pressekonferenz zu den neuen Vorschriften stellte der stellvertretende Direktor des CAC, Sheng Ronghua, klar, dass auch ausländische Unternehmen als KII-Betreiber benannt werden können und die gleichen Regeln wie inländische Unternehmen einhalten müssen.

Es wird erwartet, dass die Regierung spezifischere Richtlinien für die Benennung von KII-Betreibern für Unternehmen und Regierungsstellen formuliert, aber es ist noch ungewiss, wann diese Richtlinien veröffentlicht werden.

Verantwortung der KII-Betreiber für die Gewährleistung der Cybersicherheit

Das CAC hat den Grundsatz “wer betreibt, trägt die Verantwortung” für den Schutz und die Pflege der KII betont. In diesem Sinne werden in den Verordnungen die Betreiber selbst in die Pflicht genommen, Maßnahmen zu ergreifen. Die Verordnungen sehen vor, dass KII-Betreiber die notwendigen Maßnahmen ergreifen und die erforderliche Technologie einsetzen müssen, um Angriffe auf Netzwerke und andere illegale Aktivitäten zu verhindern, den sicheren und stabilen Betrieb kritischer Informationsinfrastrukturen zu gewährleisten und die Integrität, Geheimhaltung und Verwendbarkeit von Daten zu wahren.

Einige Anmerkungen zu den oben genannten Anforderungen:

Die Mitarbeiter, die für das spezielle Sicherheitsmanagement zuständig sind, haben ihre eigenen Verpflichtungen, die sie erfüllen müssen. Dazu gehören:

  • Einrichtung von Systemen zur Verwaltung, Bewertung und Beurteilung der Netzsicherheit
  • Durchführung von Tests und Risikobewertungen.
  • Ausarbeitung von Notfallplänen, Durchführung regelmäßiger Notfallübungen und Behandlung von Cybersicherheitsvorfällen.
  • Festlegung von Schlüsselpositionen für die Cybersicherheit, Organisation von Arbeitsbewertungen, Formulierung eines Belohnungs- und Bestrafungssystems und Organisation von Aus- und Weiterbildung im Bereich der Netzsicherheit.
  • Einrichtung von Systemen zum Schutz persönlicher Informationen und zur Datensicherheit.
  • Meldung von Sicherheitsvorfällen
  • In den Vorschriften ist ausdrücklich festgelegt, dass keine Einzelperson oder Organisation Schwachstellenanalysen und Penetrationstests (VAPT) an KII durchführen darf, ohne die Genehmigung der Abteilungen für Cybersicherheit oder der Abteilungen für öffentliche Sicherheit des Staatsrats oder die Genehmigung der Regulierungsbehörden oder des KII-Betreibers einzuholen. Diese Aktivitäten müssen auch der Telekommunikationsbehörde des Staatsrats gemeldet werden, bevor sie durchgeführt werden.

Kommt ein KII-Betreiber einer dieser Pflichten nicht nach, erhält er zunächst eine Verwarnung von den Regulierungsbehörden und wird aufgefordert, die Situation zu korrigieren. Weigert sich der Betreiber, die erforderlichen Änderungen vorzunehmen, oder führt der Verstoß zu einer schwerwiegenden Beeinträchtigung der Sicherheit der Netze, wird er mit einer Geldstrafe von 100.000 RMB (15.425 US$) bis 1 Million RMB (154.250 US$) belegt. Die Person, die direkt für die Situation verantwortlich ist, wird ebenfalls persönlich mit einer Geldstrafe von 10.000 RMB (1.543 US$) bis 100.000 RMB belegt.

Chancen für die Cybersicherheitsbranche

Die Einhaltung dieser strengen Vorschriften dürfte für Unternehmen, die als KII-Betreiber benannt sind, ein Problem darstellen. Daher dürften diese Vorschriften zusammen mit anderen Datengesetzen, wie dem Gesetz zum Schutz persönlicher Daten (PIPL) und dem Gesetz zur Datensicherheit, die Nachfrage nach Cybersicherheitsprodukten und damit verbundenen Dienstleistungen in die Höhe schnellen lassen.

Im Juli dieses Jahres begann das Ministerium für Industrie und Informationstechnologie (MIIT) mit der Einholung von Stellungnahmen zu einem Aktionsplan für die Entwicklung der Cybersicherheitsbranche in den nächsten drei Jahren. Der Plan zielt darauf ab, die Branche in den nächsten drei Jahren mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von über 15 Prozent wachsen zu lassen, so dass sie im Jahr 2023 ein Volumen von 250 Milliarden RMB (38,6 Milliarden US-Dollar) überschreitet.

Um dies zu erreichen, will das MIIT die Nachfrage ankurbeln, indem die Telekommunikationsbranche und andere Schlüsselindustrien verpflichtet werden, 10 Prozent ihrer Digitalisierungsausgaben in die Cybersicherheit zu investieren. Aus dem Plan geht auch hervor, dass die Regierung die Zusammenarbeit mit ausländischen Unternehmen fördern und die Entwicklung von Technologien und Talenten in der Branche in Zukunft politisch unterstützen wird.

Es ist daher wahrscheinlich, dass es in naher Zukunft neue Anreize und Präferenzregelungen geben wird, um Investitionen in die Branche anzuziehen. Den Akteuren in diesem Bereich wird dringend empfohlen, die Aktualisierungen der Politik aufmerksam zu verfolgen, insbesondere in Regionen mit einer starken Basis für die Technologie- und Internetbranche, wie Shanghai, Hangzhou und der Greater Bay Area.

Schutz kritischer Informationsinfrastrukturen im digitalen Zeitalter

Die neuen Vorschriften für Betreiber kritischer Informationsinfrastrukturen haben lange auf sich warten lassen, doch ihre Notwendigkeit ist noch dringlicher geworden. In dem Maße, in dem Unternehmen und Infrastrukturen digitalisiert werden und sich für ihren Betrieb immer stärker auf Online-Ressourcen und -Daten stützen, machen sie sich auch anfällig für Angriffe oder Manipulationen, was weitreichende negative Folgen haben kann.

Die chinesische Regierung ist sich der Bedrohungen und Schwachstellen des gegenwärtigen chinesischen Systems sehr wohl bewusst. Diese Vorschriften sind der nächste Schritt im langfristigen Plan des Landes, den Schutz von Daten und Netzwerken zu verstärken, die sowohl für die nationale Sicherheit als auch für die Rechte der einzelnen Bürger von Bedeutung sind.

In Anbetracht der kritischen Bedeutung, die der Stärkung der Cybersicherheit zukommt, erwarten wir, dass die neuen Vorschriften strikt durchgesetzt werden und dass Unternehmen, die sich nicht an die Vorschriften halten, mit der vollen Härte des Gesetzes bestraft werden. Unternehmen, deren Tätigkeit sich auf die KII auswirken könnte, werden daher dringend gebeten, die Entwicklungen genau zu verfolgen und nach Möglichkeit engen Kontakt mit den zuständigen Behörden zu halten.

Über uns

China Briefing wird erstellt und veröffentlicht von Dezan Shira & Associates. Die Kanzlei unterstützt ausländische Investoren in China und tut dies seit 1992 durch Büros in Beijing, Tianjin, Dalian, Qingdao, Shanghai, Hangzhou, Ningbo, Suzhou, Guangzhou, Dongguan, Zhongshan, Shenzhen und Hongkong. Bitte kontaktieren Sie die Kanzlei für Unterstützung in China unter china@dezshira.com.

Dezan Shira & Associates hat Büros in Vietnam, Indonesien, Singapur, den Vereinigten Staaten, Deutschland, Italien, Indien und Russland, zusätzlich zu unseren Handelsforschungseinrichtungen entlang der Belt & Road Initiative. Wir haben auch Partnerfirmen, die ausländische Investoren auf den Philippinen, in Malaysia, Thailand und Bangladesch unterstützen.