{"id":59809,"date":"2024-03-21T21:26:16","date_gmt":"2024-03-21T12:26:16","guid":{"rendered":"https:\/\/monolith.law\/es\/?p=59809"},"modified":"2024-08-15T16:04:36","modified_gmt":"2024-08-15T07:04:36","slug":"china-cyber-security-law","status":"publish","type":"post","link":"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law","title":{"rendered":"\u00bfQu\u00e9 es la Ley de Ciberseguridad de China? Explicaci\u00f3n de los puntos clave para su cumplimiento"},"content":{"rendered":"\n<p>Seg\u00fan el &#8220;Informe Especial: Tendencias de Expansi\u00f3n de Empresas Japonesas en China (2022)&#8221; del <em>Japanese Teikoku Databank<\/em>, disponible en <a href=\"https:\/\/www.tdb.co.jp\/report\/watching\/press\/p220705.html\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.tdb.co.jp\/report\/watching\/press\/p220705.html[ja]<\/a>, el n\u00famero de empresas japonesas que han expandido sus operaciones a China asciende a 12,706. Es probable que el n\u00famero de empresas que realizan negocios relacionados con China sea a\u00fan mayor. En China, en el a\u00f1o 2017 (Heisei 29), se implement\u00f3 la &#8220;Ley de Ciberseguridad de China&#8221;.<\/p>\n\n\n\n<p>Como resultado, para desarrollar negocios en China, se ha vuelto necesario revisar las regulaciones de acuerdo con la ley y adoptar medidas de protecci\u00f3n t\u00e9cnica. Sin embargo, puede que haya quienes no est\u00e9n seguros de qu\u00e9 implica esta ley o c\u00f3mo abordar su cumplimiento.<\/p>\n\n\n\n<p>Por lo tanto, en este art\u00edculo explicaremos los aspectos generales de la Ley de Ciberseguridad de China, los sujetos regulados y las medidas que se deben tomar. Si usted est\u00e1 desarrollando negocios en China o est\u00e1 considerando expandirse all\u00ed en el futuro, le invitamos a utilizar esta informaci\u00f3n como referencia.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law\/#Resumen_de_la_Ley_de_Ciberseguridad_de_China\" title=\"Resumen de la Ley de Ciberseguridad de China\">Resumen de la Ley de Ciberseguridad de China<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law\/#Objetivos_de_la_regulacion_de_la_Ley_de_Ciberseguridad_de_China\" title=\"Objetivos de la regulaci\u00f3n de la Ley de Ciberseguridad de China\">Objetivos de la regulaci\u00f3n de la Ley de Ciberseguridad de China<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law\/#Contenido_de_la_Ley_de_Ciberseguridad_de_China\" title=\"Contenido de la Ley de Ciberseguridad de China\">Contenido de la Ley de Ciberseguridad de China<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law\/#Establecimiento_de_niveles_de_ciberseguridad\" title=\"Establecimiento de niveles de ciberseguridad\">Establecimiento de niveles de ciberseguridad<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law\/#Conformidad_con_los_estandares_obligatorios_del_pais\" title=\"Conformidad con los est\u00e1ndares obligatorios del pa\u00eds\">Conformidad con los est\u00e1ndares obligatorios del pa\u00eds<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law\/#Se_requiere_registro_con_nombre_real\" title=\"Se requiere registro con nombre real\">Se requiere registro con nombre real<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law\/#Obligaciones_para_los_operadores_de_infraestructuras_criticas_de_informacion\" title=\"Obligaciones para los operadores de infraestructuras cr\u00edticas de informaci\u00f3n\">Obligaciones para los operadores de infraestructuras cr\u00edticas de informaci\u00f3n<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law\/#Construccion_de_un_Sistema_de_Gestion_y_Respuesta\" title=\"Construcci\u00f3n de un Sistema de Gesti\u00f3n y Respuesta\">Construcci\u00f3n de un Sistema de Gesti\u00f3n y Respuesta<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law\/#Disposiciones_en_caso_de_incumplimiento_de_la_Ley_de_Ciberseguridad\" title=\"Disposiciones en caso de incumplimiento de la Ley de Ciberseguridad\">Disposiciones en caso de incumplimiento de la Ley de Ciberseguridad<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law\/#Medidas_que_las_empresas_japonesas_deben_tomar_frente_a_la_ley_de_ciberseguridad\" title=\"Medidas que las empresas japonesas deben tomar frente a la ley de ciberseguridad\">Medidas que las empresas japonesas deben tomar frente a la ley de ciberseguridad<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law\/#Establecer_un_sistema_de_colaboracion_con_los_departamentos_de_sistemas_de_informacion_y_los_relacionados_con_la_transformacion_digital_DX\" title=\"Establecer un sistema de colaboraci\u00f3n con los departamentos de sistemas de informaci\u00f3n y los relacionados con la transformaci\u00f3n digital (DX)\">Establecer un sistema de colaboraci\u00f3n con los departamentos de sistemas de informaci\u00f3n y los relacionados con la transformaci\u00f3n digital (DX)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law\/#Determinar_a_que_nivel_de_clasificacion_corresponden_los_sistemas_propios_de_la_empresa\" title=\"Determinar a qu\u00e9 nivel de clasificaci\u00f3n corresponden los sistemas propios de la empresa\">Determinar a qu\u00e9 nivel de clasificaci\u00f3n corresponden los sistemas propios de la empresa<\/a><ul class='ez-toc-list-level-4'><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law\/#Departamentos_legales_de_administracion_y_de_gestion_de_riesgos\" title=\"Departamentos legales, de administraci\u00f3n y de gesti\u00f3n de riesgos\">Departamentos legales, de administraci\u00f3n y de gesti\u00f3n de riesgos<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law\/#Departamentos_de_sistemas_de_informacion_y_relacionados_con_la_transformacion_digital_DX\" title=\"Departamentos de sistemas de informaci\u00f3n y relacionados con la transformaci\u00f3n digital (DX)\">Departamentos de sistemas de informaci\u00f3n y relacionados con la transformaci\u00f3n digital (DX)<\/a><\/li><\/ul><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law\/#Resumen_Si_tiene_problemas_con_la_respuesta_de_su_empresa_consulte_a_un_experto\" title=\"Resumen: Si tiene problemas con la respuesta de su empresa, consulte a un experto\">Resumen: Si tiene problemas con la respuesta de su empresa, consulte a un experto<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/monolith.law\/es\/general-corporate\/china-cyber-security-law\/#Presentacion_de_las_medidas_de_nuestra_firma\" title=\"Presentaci\u00f3n de las medidas de nuestra firma\">Presentaci\u00f3n de las medidas de nuestra firma<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Resumen_de_la_Ley_de_Ciberseguridad_de_China\"><\/span>Resumen de la Ley de Ciberseguridad de China<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"http:\/\/Monolith.law\/wp-content\/uploads\/2024\/01\/woman.jpg\" alt=\"Mujer dando indicaciones\" class=\"wp-image-63921\" \/><\/figure>\n\n\n\n<p>La Ley de Ciberseguridad de China (\u7f51\u7edc\u5b89\u5168\u6cd5), promulgada en junio de 2017, establece su prop\u00f3sito en el Art\u00edculo 1 de la siguiente manera:<\/p>\n\n\n\n<ul>\n<li>Asegurar la seguridad de la red<\/li>\n\n\n\n<li>Proteger la soberan\u00eda del ciberespacio, la seguridad nacional y los intereses p\u00fablicos<\/li>\n\n\n\n<li>Proteger los derechos e intereses leg\u00edtimos de los ciudadanos, las corporaciones y otros grupos<\/li>\n\n\n\n<li>Promover el desarrollo de la informatizaci\u00f3n econ\u00f3mica y social<\/li>\n<\/ul>\n\n\n\n<p>La &#8220;red&#8221; se define como &#8220;un sistema compuesto por computadoras, otros dispositivos de informaci\u00f3n y equipos relacionados que, siguiendo ciertas reglas y programas, recopilan, almacenan, transmiten, intercambian y procesan informaci\u00f3n (Art\u00edculo 76)&#8221;, lo que incluye tanto a Internet como a las intranets.<\/p>\n\n\n\n<p>La Ley de Ciberseguridad de China, a diferencia del Reglamento General de Protecci\u00f3n de Datos (GDPR) de la UE o de la Ley de Protecci\u00f3n de Informaci\u00f3n Personal de Jap\u00f3n (Japanese Personal Information Protection Act), no solo se enfoca en la &#8220;protecci\u00f3n de la informaci\u00f3n personal y organizacional&#8221;, sino que tambi\u00e9n tiene como objetivo &#8220;proteger la seguridad nacional y los intereses p\u00fablicos de China&#8221;. La ley establece la implementaci\u00f3n de protecci\u00f3n de seguridad cibern\u00e9tica por niveles, el cumplimiento de la normativa y la clarificaci\u00f3n de derechos y obligaciones para las empresas sujetas a ella.<\/p>\n\n\n\n<p>En cuanto a la legislaci\u00f3n de seguridad, tambi\u00e9n existe la Ley de Seguridad de Datos de China.<\/p>\n\n\n\n<p>Art\u00edculo relacionado: <a href=\"https:\/\/monolith.law\/corporate\/china-data-security-law\" target=\"_blank\" rel=\"noreferrer noopener\">\u00bfQu\u00e9 es la Ley de Seguridad de Datos de China? Explicaci\u00f3n de las medidas que deben tomar las empresas japonesas[ja]<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Objetivos_de_la_regulacion_de_la_Ley_de_Ciberseguridad_de_China\"><\/span>Objetivos de la regulaci\u00f3n de la Ley de Ciberseguridad de China<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2024\/01\/rule.jpg\" alt=\"Reglas\" class=\"wp-image-63923\" \/><\/figure>\n\n\n\n<p>Las empresas japonesas se convierten en sujetos de la Ley de Ciberseguridad de China en los siguientes casos:<\/p>\n\n\n\n<ul>\n<li>Cuando manejan informaci\u00f3n dentro de China<\/li>\n\n\n\n<li>Cuando transfieren informaci\u00f3n de China a Jap\u00f3n<\/li>\n<\/ul>\n\n\n\n<p>Incluso si la base de la empresa est\u00e1 en Jap\u00f3n, se aplicar\u00e1 la ley si se cumplen las condiciones mencionadas anteriormente. Adem\u00e1s, entre los sujetos regulados se incluyen &#8220;operadores de redes&#8221; y &#8220;operadores de infraestructuras cr\u00edticas de informaci\u00f3n&#8221;.<\/p>\n\n\n\n<p>Por operadores de redes se entiende a los propietarios o administradores de redes, as\u00ed como a aquellos que proveen servicios de red.<\/p>\n\n\n\n<p>Los operadores de infraestructuras cr\u00edticas de informaci\u00f3n son aquellos que gestionan instalaciones que, en caso de sufrir da\u00f1os, como deterioro o fuga de datos, podr\u00edan amenazar la seguridad nacional en sectores cr\u00edticos (como energ\u00eda, transporte, finanzas, servicios p\u00fablicos, entre otros), y cuyo da\u00f1o podr\u00eda afectar significativamente la seguridad nacional, la vida de los ciudadanos o el inter\u00e9s p\u00fablico.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Contenido_de_la_Ley_de_Ciberseguridad_de_China\"><\/span>Contenido de la Ley de Ciberseguridad de China<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2024\/01\/woman2.jpg\" alt=\"Fotograf\u00eda de una mujer\" class=\"wp-image-63924\" \/><\/figure>\n\n\n<p>La Ley de Ciberseguridad de China establece las siguientes obligaciones:<\/p>\n\n\n\n<ul>\n<li>Establecimiento de niveles de ciberseguridad<\/li>\n\n\n\n<li>Conformidad con los est\u00e1ndares obligatorios del pa\u00eds<\/li>\n\n\n\n<li>Requerimiento de registro con nombre real<\/li>\n\n\n\n<li>Obligaciones para los operadores de infraestructuras cr\u00edticas de informaci\u00f3n<\/li>\n\n\n\n<li>Construcci\u00f3n de un sistema de gesti\u00f3n y respuesta<\/li>\n<\/ul>\n\n\n\n<p>A continuaci\u00f3n, explicaremos cada uno de estos puntos en detalle.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Establecimiento_de_niveles_de_ciberseguridad\"><\/span>Establecimiento de niveles de ciberseguridad<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>El Art\u00edculo 21 de la Ley de Ciberseguridad de China establece un &#8220;sistema de protecci\u00f3n de niveles&#8221; que los operadores de redes deben cumplir, y las empresas u organizaciones que poseen redes dentro de China deben obtener la certificaci\u00f3n de protecci\u00f3n de nivel.<\/p>\n\n\n\n<p>El sistema de protecci\u00f3n de niveles es un sistema oficial de evaluaci\u00f3n para la gesti\u00f3n de la seguridad de la red. Los \u00e1mbitos que se incluyen en este sistema son los siguientes:<\/p>\n\n\n\n<ul>\n<li>Infraestructura de red<\/li>\n\n\n\n<li>IoT (Internet de las Cosas)<\/li>\n\n\n\n<li>Sistemas de control industrial<\/li>\n\n\n\n<li>Sitios de internet de gran escala y centros de datos<\/li>\n\n\n\n<li>Plataformas de servicios p\u00fablicos<\/li>\n<\/ul>\n\n\n\n<p>En el sistema de protecci\u00f3n de niveles, los sistemas de informaci\u00f3n se clasifican en cinco niveles seg\u00fan el alcance del impacto y la magnitud del da\u00f1o en caso de que se produzca un da\u00f1o.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td rowspan=\"2\"><\/td><td colspan=\"3\">Grado de da\u00f1o sufrido por el objeto<\/td><\/tr><tr><td>Da\u00f1o general<\/td><td>Da\u00f1o grave<\/td><td>Da\u00f1o especialmente grave<\/td><\/tr><tr><td>Ciudadanos y corporaciones, etc.<\/td><td>Primer nivel<\/td><td>Segundo nivel<\/td><td>Tercer nivel<\/td><\/tr><tr><td>Orden social y bien p\u00fablico<\/td><td>Segundo nivel<\/td><td>Tercer nivel<\/td><td>Cuarto nivel<\/td><\/tr><tr><td>Seguridad nacional<\/td><td>Tercer nivel<\/td><td>Cuarto nivel<\/td><td>Quinto nivel<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Adem\u00e1s, las definiciones de cada nivel son las siguientes:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>Nivel<\/td><td>Definici\u00f3n<\/td><\/tr><tr><td>Primer nivel<\/td><td>Red general que, en caso de ser destruida, afectar\u00eda los derechos e intereses leg\u00edtimos de los ciudadanos, corporaciones y otras organizaciones, pero no tendr\u00eda impacto en la seguridad nacional, el orden social o el bien p\u00fablico.<\/td><\/tr><tr><td>Segundo nivel<\/td><td>Red general que, en caso de ser destruida, causar\u00eda da\u00f1os graves a los derechos e intereses leg\u00edtimos de los ciudadanos, corporaciones y otras organizaciones, o perjudicar\u00eda el orden social y el bien p\u00fablico, pero no afectar\u00eda la seguridad nacional.<\/td><\/tr><tr><td>Tercer nivel<\/td><td>Red importante que, en caso de ser destruida, provocar\u00eda da\u00f1os muy graves a los derechos e intereses leg\u00edtimos de los ciudadanos, corporaciones y otras organizaciones, o pondr\u00eda en peligro la seguridad nacional.<\/td><\/tr><tr><td>Cuarto nivel<\/td><td>Red especialmente importante que, en caso de ser destruida, causar\u00eda un da\u00f1o significativo al orden social y al bien p\u00fablico, o un da\u00f1o muy importante a la seguridad nacional.<\/td><\/tr><tr><td>Quinto nivel<\/td><td>Red extremadamente importante que, en caso de ser destruida, provocar\u00eda un da\u00f1o extremadamente grave a la seguridad nacional.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Para cada clasificaci\u00f3n, se establecen est\u00e1ndares de seguridad de la informaci\u00f3n que deben cumplirse. Es com\u00fan que a los operadores de redes se les aplique un nivel de segundo grado o superior, y a los operadores de infraestructuras de informaci\u00f3n cr\u00edtica, un nivel de tercer grado o superior.<\/p>\n\n\n\n<p>Para obtener un nivel, los operadores deben presentar una solicitud de autoevaluaci\u00f3n a las autoridades, pero al final es necesario obtener la aprobaci\u00f3n del Ministerio de Seguridad P\u00fablica. Adem\u00e1s, el sistema de protecci\u00f3n de niveles requiere que los niveles de segundo grado o superior sean evaluados por una instituci\u00f3n evaluadora. Es importante tener en cuenta que se pueden aplicar multas por incumplimiento del sistema de protecci\u00f3n de niveles.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Conformidad_con_los_estandares_obligatorios_del_pais\"><\/span>Conformidad con los est\u00e1ndares obligatorios del pa\u00eds<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Los proveedores de productos y servicios de Internet deben cumplir con los est\u00e1ndares obligatorios del pa\u00eds (Art\u00edculo 22). Los proveedores no deben instalar programas maliciosos.<\/p>\n\n\n\n<p>Adem\u00e1s, si descubren defectos, vulnerabilidades u otros riesgos en sus productos o servicios, deben tomar medidas inmediatas, notificar a los usuarios y reportar a las autoridades competentes sin demora.<\/p>\n\n\n\n<p>En septiembre de 2021 (Reiwa 3), se implementaron las &#8220;Regulaciones de Gesti\u00f3n de Vulnerabilidades de Seguridad de Productos de Internet (\u7f51\u7edc\u4ea7\u54c1\u5b89\u5168\u6f0f\u6d1e\u7ba1\u7406\u89c4\u5b9a)&#8221; dirigidas a los operadores de redes. Por lo tanto, es necesario referirse a estas regulaciones y actuar en consecuencia.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Se_requiere_registro_con_nombre_real\"><\/span>Se requiere registro con nombre real<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Cuando se proporcionan servicios de conexi\u00f3n a redes, procedimientos de conexi\u00f3n para tel\u00e9fonos fijos y m\u00f3viles, servicios de compartici\u00f3n de informaci\u00f3n, servicios de mensajer\u00eda instant\u00e1nea, entre otros, a los usuarios, se exige que estos se registren con su nombre real. Si el usuario no realiza el registro con su nombre real, no se le debe proporcionar el servicio.<\/p>\n\n\n\n<p>Adem\u00e1s, los operadores de redes tienen la obligaci\u00f3n de revisar que la informaci\u00f3n transmitida por los usuarios no infrinja las leyes.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Obligaciones_para_los_operadores_de_infraestructuras_criticas_de_informacion\"><\/span>Obligaciones para los operadores de infraestructuras cr\u00edticas de informaci\u00f3n<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Los operadores de infraestructuras cr\u00edticas de informaci\u00f3n no solo deben implementar medidas de seguridad impuestas a los operadores de redes, sino que tambi\u00e9n se requiere que adopten las siguientes medidas:<\/p>\n\n\n\n<ul>\n<li>Realizar copias de seguridad peri\u00f3dicas de sistemas y bases de datos<\/li>\n\n\n\n<li>Elaborar un plan de respuesta ante incidentes de seguridad<\/li>\n\n\n\n<li>Evaluaci\u00f3n anual de seguridad<\/li>\n\n\n\n<li>Localizaci\u00f3n de datos<\/li>\n<\/ul>\n\n\n\n<p class=\"has-small-font-size\">Localizaci\u00f3n de datos: proceso de almacenar y procesar datos dentro de las fronteras del pa\u00eds donde se generaron.<\/p>\n\n\n\n<p>La &#8220;Japanese Ordinance on the Security Protection of Critical Information Infrastructure&#8221; (Ordenanza sobre la Protecci\u00f3n de la Seguridad de las Infraestructuras Cr\u00edticas de Informaci\u00f3n), que entr\u00f3 en vigor en septiembre de 2021 (Reiwa 3), establece de manera m\u00e1s concreta la gesti\u00f3n, certificaci\u00f3n y obligaciones de los operadores de dichas infraestructuras, por lo que es necesario tambi\u00e9n consultar esta normativa.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Construccion_de_un_Sistema_de_Gestion_y_Respuesta\"><\/span>Construcci\u00f3n de un Sistema de Gesti\u00f3n y Respuesta<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>A los operadores de redes se les exige cumplir con lo siguiente (Art\u00edculo 21):<\/p>\n\n\n\n<ul>\n<li>Establecimiento de un sistema de gesti\u00f3n de seguridad y procedimientos operativos<\/li>\n\n\n\n<li>Designaci\u00f3n de un responsable de seguridad de la red<\/li>\n\n\n\n<li>Elaboraci\u00f3n de un plan de respuesta y medidas t\u00e9cnicas frente a incidentes de seguridad<\/li>\n\n\n\n<li>Implementaci\u00f3n de tecnolog\u00edas de monitoreo de la red y conservaci\u00f3n de registros (por lo menos durante 6 meses)<\/li>\n\n\n\n<li>Clasificaci\u00f3n de datos y medidas de protecci\u00f3n como respaldo y cifrado de datos cr\u00edticos<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Disposiciones_en_caso_de_incumplimiento_de_la_Ley_de_Ciberseguridad\"><\/span>Disposiciones en caso de incumplimiento de la Ley de Ciberseguridad<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2024\/01\/caution.jpg\" alt=\"Advertencia de precauci\u00f3n\" class=\"wp-image-63925\" \/><\/figure>\n\n\n\n<p>Si se incumplen los requisitos de seguridad exigidos por el sistema de protecci\u00f3n de niveles, se emitir\u00e1n \u00f3rdenes de correcci\u00f3n y advertencias. Si se rechaza la orden o se amenaza la seguridad de la red, se deber\u00e1 pagar una multa de m\u00e1s de 10,000 yuanes pero menos de 100,000 yuanes. Adem\u00e1s, al responsable directo se le impondr\u00e1 una multa de m\u00e1s de 5,000 yuanes y menos de 50,000 yuanes.<\/p>\n\n\n\n<p>Asimismo, se emitir\u00e1n \u00f3rdenes de correcci\u00f3n y advertencias si se instalan programas maliciosos o si no se toman medidas ante riesgos como defectos en productos o servicios y vulnerabilidades de seguridad. Si se rechazan estas \u00f3rdenes, se incurre en la obligaci\u00f3n de pagar una multa.<\/p>\n\n\n\n<p>La cantidad de la multa var\u00eda seg\u00fan la naturaleza de la infracci\u00f3n, y se puede ordenar el cierre de sitios web, la revocaci\u00f3n de permisos de operaci\u00f3n o la suspensi\u00f3n de actividades comerciales, por lo que es necesario prestar atenci\u00f3n. En el pasado, ha habido casos en los que se impusieron multas por infracciones y se prohibi\u00f3 de por vida al personal responsable trabajar en el mismo sector, lo que demuestra que las medidas de ciberseguridad son indispensables.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Medidas_que_las_empresas_japonesas_deben_tomar_frente_a_la_ley_de_ciberseguridad\"><\/span>Medidas que las empresas japonesas deben tomar frente a la ley de ciberseguridad<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"http:\/\/Monolith.law\/wp-content\/uploads\/2024\/01\/man-guiding.jpg\" alt=\"Hombre guiando\" class=\"wp-image-63914\" \/><\/figure>\n\n\n\n<p>La ley de ciberseguridad de China es compleja y puede que no se sepa por d\u00f3nde empezar. Aqu\u00ed explicaremos las medidas que deben tomar las empresas japonesas.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Establecer_un_sistema_de_colaboracion_con_los_departamentos_de_sistemas_de_informacion_y_los_relacionados_con_la_transformacion_digital_DX\"><\/span>Establecer un sistema de colaboraci\u00f3n con los departamentos de sistemas de informaci\u00f3n y los relacionados con la transformaci\u00f3n digital (DX)<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Para cumplir con la ley de ciberseguridad china, es necesario desarrollar procesos operativos y formular o a\u00f1adir regulaciones de gesti\u00f3n de informaci\u00f3n personal. Adem\u00e1s, para cumplir con el sistema de protecci\u00f3n de clasificaci\u00f3n, son imprescindibles medidas t\u00e9cnicas para los sistemas propios de la empresa.<\/p>\n\n\n\n<p>No basta con que los departamentos legales y de administraci\u00f3n respondan individualmente, sino que es necesario establecer un sistema de colaboraci\u00f3n con los departamentos de sistemas de informaci\u00f3n y los relacionados con la transformaci\u00f3n digital (DX).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Determinar_a_que_nivel_de_clasificacion_corresponden_los_sistemas_propios_de_la_empresa\"><\/span>Determinar a qu\u00e9 nivel de clasificaci\u00f3n corresponden los sistemas propios de la empresa<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Primero, se determina el nivel de clasificaci\u00f3n de los sistemas propios de la empresa. Seg\u00fan ese nivel, cada departamento debe actuar de acuerdo con la ciberseguridad. Los departamentos legales, de administraci\u00f3n y de gesti\u00f3n de riesgos deben revisar y modificar las regulaciones y operaciones para cumplir con la ley, mientras que los departamentos de sistemas de informaci\u00f3n y relacionados con la transformaci\u00f3n digital (DX) deben abordar los aspectos t\u00e9cnicos. A continuaci\u00f3n, explicaremos cada una de estas respuestas.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Departamentos_legales_de_administracion_y_de_gestion_de_riesgos\"><\/span>Departamentos legales, de administraci\u00f3n y de gesti\u00f3n de riesgos<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Se comparan los elementos definidos en la clasificaci\u00f3n con la situaci\u00f3n actual de gesti\u00f3n y el sistema de seguridad de la informaci\u00f3n de la empresa, revisando y a\u00f1adiendo regulaciones y sistemas operativos. Luego, se considera c\u00f3mo responder y se lleva a cabo el desarrollo y la modificaci\u00f3n de sistemas.<\/p>\n\n\n\n<p>Si el nivel de clasificaci\u00f3n es de segundo grado o superior, tambi\u00e9n se debe notificar a las autoridades. Si la empresa se considera operadora de infraestructuras cr\u00edticas de informaci\u00f3n, se requerir\u00e1 la certificaci\u00f3n de protecci\u00f3n de clasificaci\u00f3n de tercer grado o superior. Adem\u00e1s, se deben realizar otras acciones como cumplir con las regulaciones de localizaci\u00f3n de datos, proporcionar educaci\u00f3n y entrenamiento t\u00e9cnico en seguridad de la informaci\u00f3n a los empleados, entre otras. Si existe la posibilidad de que la empresa sea considerada operadora de infraestructuras cr\u00edticas de informaci\u00f3n, es recomendable consultar con un abogado asesor y establecer una pol\u00edtica de respuesta.<\/p>\n\n\n\n<p>En China, se han implementado una serie de sistemas relacionados con la seguridad en los \u00faltimos a\u00f1os. Por lo tanto, el departamento de gesti\u00f3n de riesgos necesitar\u00e1 adaptarse a las nuevas regulaciones.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Departamentos_de_sistemas_de_informacion_y_relacionados_con_la_transformacion_digital_DX\"><\/span>Departamentos de sistemas de informaci\u00f3n y relacionados con la transformaci\u00f3n digital (DX)<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Los departamentos de sistemas de informaci\u00f3n y relacionados con la transformaci\u00f3n digital (DX) deben implementar medidas de protecci\u00f3n de seguridad acordes con el nivel de clasificaci\u00f3n. Primero, se revisan las medidas de protecci\u00f3n de seguridad de los sistemas existentes de la empresa y, si hay deficiencias, se integran sistemas acordes con la ley de ciberseguridad.<\/p>\n\n\n\n<p>Adem\u00e1s de la ley de ciberseguridad, tambi\u00e9n es necesario abordar regulaciones de localizaci\u00f3n de datos, restricciones transfronterizas y acceso gubernamental. Es necesario comprender qu\u00e9 datos se est\u00e1n transfiriendo fuera de China y revisar la situaci\u00f3n de adquisici\u00f3n y almacenamiento de datos de la empresa.<\/p>\n\n\n\n<p>La ley de ciberseguridad requiere no solo la revisi\u00f3n de regulaciones sino tambi\u00e9n la implementaci\u00f3n de medidas de protecci\u00f3n t\u00e9cnicas, por lo que la colaboraci\u00f3n entre los departamentos correspondientes es esencial.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Resumen_Si_tiene_problemas_con_la_respuesta_de_su_empresa_consulte_a_un_experto\"><\/span>Resumen: Si tiene problemas con la respuesta de su empresa, consulte a un experto<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2024\/01\/man-and-woman.jpg\" alt=\"Foto de un hombre y una mujer\" class=\"wp-image-63926\" \/><\/figure>\n\n\n<p>La Ley de Ciberseguridad de China es un sistema creado para la seguridad nacional del pa\u00eds. Para cumplir con la Ley de Ciberseguridad, no solo es necesario revisar las regulaciones a trav\u00e9s de los departamentos legales y administrativos, sino tambi\u00e9n implementar medidas de protecci\u00f3n t\u00e9cnica.<\/p>\n\n\n\n<p>Desde la implementaci\u00f3n de la Ley de Ciberseguridad, se han establecido sucesivamente leyes relacionadas con el cumplimiento de datos, como las &#8220;Regulaciones de Gesti\u00f3n de Vulnerabilidades de Seguridad de Productos de Internet&#8221; y el &#8220;M\u00e9todo de Revisi\u00f3n de Ciberseguridad (un sistema que concretiza el r\u00e9gimen de revisi\u00f3n de seguridad nacional)&#8221;. Es necesario prestar atenci\u00f3n, ya que violar estas leyes puede resultar en sanciones administrativas como multas, cierre de sitios web o anulaci\u00f3n de permisos de operaci\u00f3n. Si est\u00e1 desarrollando negocios en China o planea hacerlo en el futuro, se recomienda consultar con un abogado familiarizado con las leyes chinas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Presentacion_de_las_medidas_de_nuestra_firma\"><\/span>Presentaci\u00f3n de las medidas de nuestra firma<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Monolith Law Office es un despacho de abogados especializado en IT, Internet y negocios. Hemos manejado casos en diversos pa\u00edses del mundo, incluyendo China, Estados Unidos y los pa\u00edses de la Uni\u00f3n Europea. Al expandir negocios en el extranjero, se enfrentan numerosos riesgos legales, por lo que el apoyo de abogados con experiencia es indispensable. Nuestra firma est\u00e1 profundamente familiarizada con las leyes y regulaciones locales y colabora con despachos de abogados de todo el mundo.<\/p>\n\n\n\n<p>\u00c1reas de pr\u00e1ctica de Monolith Law Office: <a href=\"https:\/\/monolith.law\/global-jpn2fgn\" target=\"_blank\" rel=\"noreferrer noopener\">Asuntos legales internacionales y negocios en el extranjero[ja]<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Seg\u00fan el &#8220;Informe Especial: Tendencias de Expansi\u00f3n de Empresas Japonesas en China (2022)&#8221; del Japanese Teikoku Databank, disponible en https:\/\/www.tdb.co.jp\/report\/watching\/press\/p220705. [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":69018,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18],"tags":[24,29],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/posts\/59809"}],"collection":[{"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/comments?post=59809"}],"version-history":[{"count":3,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/posts\/59809\/revisions"}],"predecessor-version":[{"id":69509,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/posts\/59809\/revisions\/69509"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/media\/69018"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/media?parent=59809"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/categories?post=59809"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/es\/wp-json\/wp\/v2\/tags?post=59809"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}