National sikkerhed<\/td> 3. niveau<\/td> 4. niveau<\/td> 5. niveau<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\nDesuden er definitionerne for hvert niveau som f\u00f8lger:<\/p>\n\n\n\nNiveau<\/td> Definition<\/td><\/tr> 1. niveau<\/td> Generelle netv\u00e6rk, hvor skade vil p\u00e5virke de lovlige rettigheder og interesser for de ber\u00f8rte borgere, juridiske personer og andre organisationer, men ikke national sikkerhed, social orden eller offentlig interesse.<\/td><\/tr> 2. niveau<\/td> Generelle netv\u00e6rk, hvor skade vil for\u00e5rsage alvorlig skade p\u00e5 de lovlige rettigheder og interesser for de ber\u00f8rte borgere, juridiske personer og andre organisationer, eller skade p\u00e5 social orden og offentlig interesse, men ikke p\u00e5 national sikkerhed.<\/td><\/tr> 3. niveau<\/td> Vigtige netv\u00e6rk, hvor skade vil for\u00e5rsage meget alvorlig skade p\u00e5 de lovlige rettigheder og interesser for de ber\u00f8rte borgere, juridiske personer og andre organisationer, eller skade p\u00e5 national sikkerhed.<\/td><\/tr> 4. niveau<\/td> Meget vigtige netv\u00e6rk, hvor skade vil for\u00e5rsage betydelig skade p\u00e5 social orden og offentlig interesse, eller meget alvorlig skade p\u00e5 national sikkerhed.<\/td><\/tr> 5. niveau<\/td> Ekstremt vigtige netv\u00e6rk, hvor skade vil for\u00e5rsage meget alvorlig skade p\u00e5 national sikkerhed.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\nFor hvert klassifikationsniveau er der fastsat standarder for informationssikkerhed, som skal overholdes. Det er almindeligt, at netv\u00e6rksoperat\u00f8rer skal overholde 2. niveau eller h\u00f8jere, mens operat\u00f8rer af kritisk informationsinfrastruktur skal overholde 3. niveau eller h\u00f8jere.<\/p>\n\n\n\n
For at opn\u00e5 en klassifikation indsender operat\u00f8rerne en selvst\u00e6ndig ans\u00f8gning om klassifikation til myndighederne, men de skal til sidst opn\u00e5 samtykke fra Public Security Department. Desuden kr\u00e6ver klassifikationssystemet for beskyttelse, at 2. niveau og h\u00f8jere skal evalueres af en evalueringsinstitution. Det er vigtigt at v\u00e6re opm\u00e6rksom, da der kan p\u00e5l\u00e6gges b\u00f8der for overtr\u00e6delse af klassifikationssystemet for beskyttelse.<\/p>\n\n\n\n
<\/span>Overensstemmelse med nationale obligatoriske standarder<\/span><\/h3>\n\n\n\nDet er et krav, at udbydere af internetprodukter og -tjenester sikrer, at deres tjenester overholder de nationale obligatoriske standarder (artikel 22). Udbydere m\u00e5 ikke installere ondsindede programmer.<\/p>\n\n\n\n
Desuden, hvis udbyderne opdager defekter, s\u00e5rbarheder eller andre risici i deres produkter eller tjenester, skal de straks tr\u00e6ffe foranstaltninger, informere brugerne og rapportere til de relevante myndigheder.<\/p>\n\n\n\n
I september 2021 (Reiwa 3) blev “Regler for h\u00e5ndtering af sikkerhedss\u00e5rbarheder i internetprodukter (\u7f51\u7edc\u4ea7\u54c1\u5b89\u5168\u6f0f\u6d1e\u7ba1\u7406\u89c4\u5b9a)” indf\u00f8rt, som er rettet mod netv\u00e6rksoperat\u00f8rer. Det er derfor vigtigt at henvise til og overholde disse regler.<\/p>\n\n\n\n
<\/span>Krav om registrering med det rigtige navn<\/span><\/h3>\n\n\n\nN\u00e5r man tilbyder tjenester som netv\u00e6rksforbindelse, fastnet- og mobiltelefontjenester, informationsservices og instant messaging-tjenester, er det et krav, at brugerne registrerer sig med deres rigtige navn. Hvis en bruger ikke registrerer sig med det rigtige navn, m\u00e5 tjenesten ikke tilbydes.<\/p>\n\n\n\n
Desuden har netv\u00e6rksoperat\u00f8rer en pligt til at sikre, at de oplysninger, som brugerne sender, ikke overtr\u00e6der loven.<\/p>\n\n\n\n
<\/span>Forpligtelser for operat\u00f8rer af kritisk informationsinfrastruktur<\/span><\/h3>\n\n\n\nOperat\u00f8rer af kritisk informationsinfrastruktur skal ikke kun implementere de sikkerhedsforanstaltninger, der er p\u00e5lagt netv\u00e6rksoperat\u00f8rer, men ogs\u00e5 f\u00f8lgende foranstaltninger er n\u00f8dvendige:<\/p>\n\n\n\n
\nRegelm\u00e6ssig backup af systemer og databaser<\/li>\n\n\n\n Udarbejdelse af en beredskabsplan for sikkerhedsh\u00e6ndelser<\/li>\n\n\n\n \u00c5rlig sikkerhedsvurdering<\/li>\n\n\n\n Data-lokalisering<\/li>\n<\/ul>\n\n\n\nData-lokalisering: Processen med at opbevare og behandle data inden for gr\u00e6nserne af det land, hvor dataene er genereret<\/p>\n\n\n\n
I september 2021 (Reiwa 3) blev “Japanese Ordinance on the Security Protection of Critical Information Infrastructure” implementeret, som yderligere specificerer forvaltningen af kritisk informationsinfrastruktur, akkreditering og operat\u00f8rernes forpligtelser, s\u00e5 det er ogs\u00e5 n\u00f8dvendigt at henvise til denne.<\/p>\n\n\n\n
<\/span>Opbygning af styrings- og responssystemer<\/span><\/h3>\n\n\n\nDet, der kr\u00e6ves af netv\u00e6rksoperat\u00f8rer, omfatter f\u00f8lgende (Artikel 21):<\/p>\n\n\n\n
\nUdvikling af sikkerhedsstyringssystemer og driftsprocedurer<\/li>\n\n\n\n Udn\u00e6vnelse af en ansvarlig for netv\u00e6rkssikkerhed<\/li>\n\n\n\n Udarbejdelse af en responsplan for sikkerhedsh\u00e6ndelser og etablering af tekniske foranstaltninger<\/li>\n\n\n\n Implementering af netv\u00e6rksoverv\u00e5gningsteknologi og opbevaring af logfiler (i mindst 6 m\u00e5neder)<\/li>\n\n\n\n Dataklassificering og beskyttelsesforanstaltninger s\u00e5som backup og kryptering af kritiske data<\/li>\n<\/ul>\n\n\n\n<\/span>Bestemmelser ved overtr\u00e6delse af den japanske Cybersecurity-lov<\/span><\/h2>\n\n\n\nHvis du overtr\u00e6der de sikkerhedskrav, der er fastsat i gradbeskyttelsessystemet, vil du modtage en rettelsesordre og en advarsel. Hvis du afviser ordren eller truer netv\u00e6rkssikkerheden, skal du betale en b\u00f8de p\u00e5 mellem 10.000 yuan (svarende til ca. 10.000 DKK) og 100.000 yuan (svarende til ca. 100.000 DKK). Desuden vil der blive p\u00e5lagt en b\u00f8de p\u00e5 mellem 5.000 yuan (svarende til ca. 5.000 DKK) og 50.000 yuan (svarende til ca. 50.000 DKK) til den person, der har det direkte ansvar.<\/p>\n\n\n\n
Der vil ogs\u00e5 blive udstedt en rettelsesordre og en advarsel, hvis du installerer ondsindede programmer eller undlader at tr\u00e6ffe foranstaltninger mod risici s\u00e5som mangler i produkter eller tjenester eller sikkerhedshuller. Hvis du afviser dette, vil der blive p\u00e5lagt en b\u00f8de.<\/p>\n\n\n\n
St\u00f8rrelsen p\u00e5 b\u00f8den varierer afh\u00e6ngigt af overtr\u00e6delsens art, og du kan ogs\u00e5 risikere at f\u00e5 din hjemmeside lukket, din forretningslicens annulleret eller din virksomheds drift stoppet, s\u00e5 det er vigtigt at v\u00e6re opm\u00e6rksom. Der har tidligere v\u00e6ret tilf\u00e6lde, hvor overtr\u00e6delser har f\u00f8rt til b\u00f8destraf, og den ansvarlige person er blevet forbudt at arbejde i samme branche for livstid, s\u00e5 det er afg\u00f8rende at tage forholdsregler mod cybersikkerhedstrusler.<\/p>\n\n\n\n
<\/span>Cybersikkerhedsforanstaltninger japanske virksomheder b\u00f8r tage<\/span><\/h2>\n\n\n\nDen kinesiske cybersikkerhedslov er kompleks, og det kan v\u00e6re sv\u00e6rt at vide, hvor man skal starte. Her forklarer vi de foranstaltninger, som japanske virksomheder b\u00f8r tage.<\/p>\n\n\n\n
<\/span>Etablere et samarbejde mellem IT-afdelingen og DX-relaterede afdelinger<\/span><\/h3>\n\n\n\nFor at overholde den kinesiske cybersikkerhedslov er det n\u00f8dvendigt at udvikle driftsprocesser og udforme eller tilf\u00f8je persondatah\u00e5ndteringsregler. Derudover er tekniske foranstaltninger afg\u00f8rende for at overholde beskyttelsesniveau-systemet for virksomhedens egne systemer.<\/p>\n\n\n\n
Det er ikke nok, at juridiske og administrative afdelinger h\u00e5ndterer dette individuelt; der skal etableres et samarbejde mellem IT-afdelingen og DX-relaterede afdelinger.<\/p>\n\n\n\n
<\/span>Vurdere hvilket niveau virksomhedens systemer opfylder<\/span><\/h3>\n\n\n\nF\u00f8rst skal virksomhedens systemer klassificeres efter niveau. Afh\u00e6ngigt af dette niveau skal de forskellige afdelinger implementere cybersikkerhedsforanstaltninger. Juridiske, administrative og risikostyringsafdelinger skal revidere og opdatere politikker og procedurer i overensstemmelse med loven, mens IT- og DX-relaterede afdelinger skal h\u00e5ndtere de tekniske aspekter. Her forklarer vi de forskellige tilgange.<\/p>\n\n\n\n
<\/span>Juridiske, administrative og risikostyringsafdelinger<\/span><\/h4>\n\n\n\nSammenlign de krav, der er fastsat i de forskellige niveauer, med virksomhedens nuv\u00e6rende styring og informationssikkerhedssystemer, og overvej tilf\u00f8jelse af politikker og revision af driftsprocedurer. Det kan ogs\u00e5 v\u00e6re n\u00f8dvendigt at udvikle og \u00e6ndre systemer.<\/p>\n\n\n\n
Hvis niveauet er klasse 2 eller h\u00f8jere, skal der ogs\u00e5 indberettes til myndighederne. Hvis virksomheden anses for at v\u00e6re en operat\u00f8r af kritisk informationsinfrastruktur, kr\u00e6ves der certificering for beskyttelsesniveau klasse 3 eller h\u00f8jere. Derudover skal virksomheden h\u00e5ndtere data-lokalisering, regelm\u00e6ssig informationssikkerhedsuddannelse og teknisk tr\u00e6ning af medarbejdere. Hvis der er en chance for at blive betragtet som en operat\u00f8r af kritisk informationsinfrastruktur, er det en god id\u00e9 at konsultere en r\u00e5dgivende advokat for at fastl\u00e6gge en handlingsplan.<\/p>\n\n\n\n
I de senere \u00e5r har Kina indf\u00f8rt en r\u00e6kke sikkerhedsrelaterede regler. Risikostyringsafdelingerne skal derfor tilpasse sig nye regler og h\u00e5ndtere risici i overensstemmelse hermed.<\/p>\n\n\n\n