Che cos'è la 'Legge sulla Cybersecurity Cinese'? Spiegazione dei punti chiave per la conformità
Secondo lo “Speciale: Indagine sulle tendenze di espansione delle imprese giapponesi in Cina (2022)” della Japanese Teikoku Databank, disponibile al seguente link Speciale: Indagine sulle tendenze di espansione delle imprese giapponesi in Cina (2022)[ja], il numero di imprese giapponesi che hanno espanso i loro affari in Cina ammonta a 12.706 società. È probabile che il numero di aziende che svolgono attività commerciali correlate alla Cina sia ancora maggiore. In Cina, nel 2017 è entrata in vigore la “Legge sulla Cybersecurity Cinese”.
Di conseguenza, per sviluppare affari in Cina, le aziende sono ora obbligate a rivedere le loro politiche in conformità con la legge e ad adottare misure tecniche di protezione. Tuttavia, ci sono ancora coloro che non conoscono i dettagli di questa legge o non sanno come adeguarsi.
In questo articolo, pertanto, forniremo una panoramica della Legge sulla Cybersecurity Cinese, i soggetti regolati e le misure da adottare. Se state conducendo affari in Cina o state considerando di espandervi in futuro, vi invitiamo a consultare queste informazioni come riferimento.
Panoramica della Legge Cinese sulla Cybersecurity
La Legge Cinese sulla Cybersecurity (网络安全法), entrata in vigore nel giugno del 2017, è una normativa della Cina. Gli obiettivi della legge sono descritti nell’articolo 1 come segue:
- Garantire la sicurezza della rete
- Proteggere la sovranità del cyberspazio, la sicurezza nazionale e gli interessi pubblici
- Proteggere i legittimi diritti e interessi dei cittadini, delle persone giuridiche e di altri enti
- Promuovere lo sviluppo dell’informazione economica e sociale
Per “rete” si intende “un sistema costituito da computer, altri dispositivi informatici e relative attrezzature che, seguendo determinate regole e programmi, raccolgono, memorizzano, trasmettono, scambiano e processano informazioni (articolo 76)”, e comprende non solo Internet, ma anche le intranet.
La Legge Cinese sulla Cybersecurity si differenzia dal Regolamento Generale sulla Protezione dei Dati (GDPR) dell’UE e dalla Legge Giapponese sulla Protezione dei Dati Personali (個人情報保護法) non solo per la “protezione delle informazioni personali e organizzative”, ma anche per la “protezione della sicurezza nazionale e degli interessi pubblici della Cina”. La legge stabilisce per le imprese soggette a essa l’attuazione della protezione della sicurezza informatica, il rispetto della compliance e la chiarificazione dei diritti e degli obblighi.
Esistono altre leggi relative alla sicurezza, come la Legge Cinese sulla Sicurezza dei Dati.
Articoli correlati: Cos’è la Legge Cinese sulla Sicurezza dei Dati? Spiegazione delle misure che le imprese giapponesi dovrebbero adottare[ja]
Soggetti regolati dalla Legge Cinese sulla Cybersecurity
Le aziende giapponesi diventano soggette alla Legge Cinese sulla Cybersecurity nei seguenti casi:
- Gestione di informazioni all’interno della Cina
- Trasferimento di informazioni dalla Cina al Giappone
Anche se la sede si trova in Giappone, se si verificano le situazioni sopra menzionate, l’azienda sarà soggetta a tale legge. Tra i soggetti regolati, si annoverano “gli operatori di rete” e “gli operatori di infrastrutture critiche di informazione”.
Per operatori di rete si intendono i proprietari o i gestori di una rete, nonché coloro che forniscono servizi di rete.
Gli operatori di infrastrutture critiche di informazione sono coloro che gestiscono impianti i cui danni potrebbero minacciare la sicurezza nazionale, in settori come energia, trasporti, finanza, servizi pubblici, ecc., e la cui compromissione o perdita di dati potrebbe danneggiare gravemente la sicurezza nazionale, la vita dei cittadini o l’interesse pubblico.
Il contenuto della legge cinese sulla cybersecurity
La legge cinese sulla cybersecurity stabilisce i seguenti obblighi:
- Stabilire un sistema di classificazione della cybersecurity
- Conformità agli standard obbligatori nazionali
- Richiesta di registrazione con nome reale
- Obblighi per gli operatori di infrastrutture critiche di informazione
- Costruzione di un sistema di gestione e risposta
Di seguito, spieghiamo nel dettaglio ciascuno di questi aspetti.
Istituzione di livelli di sicurezza cibernetica
Secondo l’articolo 21 della Legge sulla Sicurezza Cibernetica Cinese (Chinese Cybersecurity Law), è stabilito un “sistema di protezione a livelli” che gli operatori di rete devono rispettare, e le aziende o organizzazioni che possiedono reti all’interno della Cina devono ottenere la certificazione di protezione di livello.
Il sistema di protezione a livelli è un sistema di valutazione pubblica per la gestione della sicurezza delle reti. Le aree di applicazione includono:
- Infrastruttura di rete
- IoT (Internet delle Cose)
- Sistemi di controllo industriale
- Siti internet di grandi dimensioni e data center
- Piattaforme di servizi pubblici
Nel sistema di protezione a livelli, i sistemi informativi sono classificati in cinque livelli in base all’entità dell’impatto e alla scala del danno in caso di danneggiamento.
| Grado di danno subito dall’oggetto | |||
| Danno generale | Danno grave | Danno particolarmente grave | |
| Cittadini e persone giuridiche ecc. | Primo livello | Secondo livello | Terzo livello |
| Ordine sociale e interesse pubblico | Secondo livello | Terzo livello | Quarto livello |
| Sicurezza nazionale | Terzo livello | Quarto livello | Quinto livello |
Inoltre, le definizioni per ogni livello sono le seguenti:
| Livello | Definizione |
| Primo livello | Rete generale che, se danneggiata, compromette i diritti e gli interessi legittimi dei cittadini, delle persone giuridiche e di altre organizzazioni, ma non influisce sulla sicurezza nazionale, sull’ordine sociale o sull’interesse pubblico |
| Secondo livello | Rete generale che, se danneggiata, causa gravi danni ai diritti e agli interessi legittimi dei cittadini, delle persone giuridiche e di altre organizzazioni, o danneggia l’ordine sociale e l’interesse pubblico, ma non influisce sulla sicurezza nazionale |
| Terzo livello | Rete importante che, se danneggiata, causa danni molto gravi ai diritti e agli interessi legittimi dei cittadini, delle persone giuridiche e di altre organizzazioni, o compromette la sicurezza nazionale |
| Quarto livello | Rete particolarmente importante che, se danneggiata, danneggia gravemente l’ordine sociale e l’interesse pubblico, o causa danni molto importanti alla sicurezza nazionale |
| Quinto livello | Rete estremamente importante che, se danneggiata, causa danni estremamente gravi alla sicurezza nazionale |
Per ogni classificazione, sono stabiliti standard di sicurezza delle informazioni che devono essere rispettati. È comune che agli operatori di rete sia applicato un livello di secondo grado o superiore, mentre agli operatori di infrastrutture informative critiche sia applicato un livello di terzo grado o superiore.
Per ottenere un livello, gli operatori devono presentare una domanda di autovalutazione all’autorità, ma alla fine è necessario ottenere il consenso dal Ministero della Pubblica Sicurezza. Inoltre, il sistema di protezione a livelli richiede che per il secondo livello e superiori sia effettuata una valutazione da parte di un ente di valutazione. È importante prestare attenzione, poiché la violazione del sistema di protezione a livelli può comportare l’applicazione di multe.
Conformità agli Standard Obbligatori Nazionali
I fornitori di prodotti e servizi Internet devono assicurarsi che i loro servizi siano conformi agli standard obbligatori nazionali (articolo 22). I fornitori non devono installare programmi malevoli.
Inoltre, se scoprono difetti, vulnerabilità o altri rischi nei loro prodotti o servizi, devono prendere immediatamente provvedimenti, informare gli utenti e segnalarlo alle autorità competenti.
Nel settembre 2021 (Reiwa 3), è entrato in vigore il “Regolamento sulla Gestione delle Vulnerabilità della Sicurezza dei Prodotti Internet” (网络产品安全漏洞管理规定), che si applica agli operatori di rete. Pertanto, è consigliabile fare riferimento a questo regolamento e agire di conseguenza.
È richiesta la registrazione con nome reale
Quando si forniscono servizi agli utenti, come servizi di connessione di rete, procedure di connessione per telefonia fissa e mobile, servizi di condivisione delle informazioni e servizi di messaggistica istantanea, è necessario che gli utenti effettuino la registrazione con il loro nome reale. Se un utente non effettua la registrazione con nome reale, non è possibile fornirgli il servizio.
Inoltre, gli operatori di rete hanno l’obbligo di esaminare se le informazioni trasmesse dagli utenti violano le leggi vigenti.
Obblighi degli operatori di infrastrutture critiche di informazione
Gli operatori di infrastrutture critiche di informazione non solo devono implementare misure di sicurezza imposte agli operatori di rete, ma devono anche adottare le seguenti misure:
- Eseguire backup periodici di sistemi e database
- Elaborare piani di risposta agli incidenti di sicurezza
- Effettuare valutazioni annuali della sicurezza
- Localizzazione dei dati
Localizzazione dei dati: processo che prevede la conservazione e l’elaborazione dei dati all’interno dei confini nazionali del paese in cui sono stati generati
Nel settembre 2021 (Reiwa 3), è entrato in vigore il “Regolamento sulla protezione delle infrastrutture critiche di informazione”, che definisce in modo più specifico la gestione, l’accreditamento e gli obblighi degli operatori di tali infrastrutture, pertanto è necessario fare riferimento anche a questo documento.
Costruzione di un sistema di gestione e risposta
Ai gestori di reti sono richiesti i seguenti elementi (articolo 21).
- Creazione di un sistema di gestione della sicurezza e di procedure operative
- Identificazione del responsabile della sicurezza della rete
- Sviluppo di un piano di risposta agli incidenti di sicurezza e implementazione di misure tecniche
- Implementazione di tecnologie di monitoraggio della rete e conservazione dei log (per almeno 6 mesi)
- Classificazione dei dati e misure di protezione come il backup e la crittografia dei dati critici
Disposizioni in caso di violazione della legge sulla cybersecurity
In caso di violazione dei requisiti di sicurezza richiesti dal sistema di protezione a livelli, verranno emessi ordini di correzione e avvertimenti. Se si rifiuta di ottemperare all’ordine o si minaccia la sicurezza della rete, sarà necessario pagare una multa che varia da un minimo di 10.000 yuan a un massimo di 100.000 yuan. Inoltre, al responsabile diretto verrà imposta una multa che va da 5.000 yuan a 50.000 yuan.
Ordini di correzione e avvertimenti verranno emessi anche in caso di installazione di programmi malevoli o mancata adozione di misure nei confronti di rischi quali difetti di prodotti o servizi e vulnerabilità di sicurezza. Se si rifiuta di aderire a tali ordini, si incorrerà nel pagamento di una multa.
La quantità della multa varia a seconda della natura della violazione e si può anche incorrere nella chiusura del sito web, nella revoca del permesso di esercizio o nella sospensione delle attività commerciali, quindi è necessaria attenzione. In passato, ci sono stati casi in cui, a seguito di violazioni, sono state imposte multe e ai responsabili è stato proibito di lavorare a vita nello stesso settore, il che dimostra che le misure di cybersecurity sono indispensabili.
Misure di Cybersecurity che le Imprese Giapponesi Devono Adottare
La legge cinese sulla cybersecurity può essere complessa e alcuni potrebbero non sapere da dove iniziare. Qui spieghiamo le misure che le imprese giapponesi dovrebbero prendere.
Stabilire un sistema di collaborazione con il dipartimento dei sistemi informativi e quello relativo alla DX
Per rispondere alla legge cinese sulla cybersecurity, è necessario costruire processi operativi e sviluppare o aggiungere regolamenti sulla gestione dei dati personali. Inoltre, per aderire al sistema di protezione per livelli, sono indispensabili misure tecniche per i sistemi aziendali.
Non è sufficiente che i dipartimenti legali e amministrativi agiscano individualmente; è necessario stabilire un sistema di collaborazione con il dipartimento dei sistemi informativi e quello relativo alla DX.
Determinare a quale livello corrispondono i vari sistemi posseduti dall’azienda
Innanzitutto, si effettua la valutazione del livello dei sistemi aziendali. A seconda di questo livello, ogni dipartimento deve agire in conformità con la cybersecurity. I dipartimenti legali, amministrativi e di gestione del rischio dovranno rivedere e modificare le regolamentazioni e le operazioni per conformarsi alla legge, mentre i dipartimenti dei sistemi informativi e DX dovranno occuparsi delle risposte tecniche. Qui spieghiamo le risposte specifiche per ciascuno.
Dipartimenti legali, amministrativi e di gestione del rischio
Si confrontano gli elementi definiti nei vari livelli con la situazione di gestione attuale e il sistema di sicurezza delle informazioni dell’azienda, per poi aggiungere regolamenti o rivedere il sistema operativo. È necessario considerare come rispondere e procedere con l’istituzione o la revisione dei sistemi.
Se il livello è di secondo grado o superiore, è necessario anche presentare una notifica alle autorità. Se l’azienda è considerata un operatore di infrastrutture critiche di informazione, è richiesta la certificazione di protezione di livello terzo grado o superiore. Inoltre, si devono affrontare molte altre questioni, come la conformità alle regolamentazioni sulla localizzazione dei dati e la formazione periodica sulla sicurezza delle informazioni e l’addestramento tecnico dei dipendenti. Se c’è la possibilità di essere considerati un operatore di infrastrutture critiche di informazione, è consigliabile consultare un avvocato e stabilire una politica di risposta.
Recentemente, in Cina sono state introdotte numerose nuove regolamentazioni sulla sicurezza. Pertanto, il dipartimento di gestione del rischio dovrà adattarsi alle nuove regole.
Dipartimenti dei sistemi informativi e DX
I dipartimenti dei sistemi informativi e DX devono implementare misure di protezione della sicurezza adeguate al livello stabilito. Prima di tutto, si organizzano le misure di protezione della sicurezza dei sistemi esistenti e, se mancanti, si integrano sistemi conformi alla legge sulla cybersecurity.
Oltre alla legge sulla cybersecurity, è necessario rispondere anche alle regolamentazioni sulla localizzazione dei dati, alle restrizioni transfrontaliere e all’accesso governativo. È essenziale comprendere quali dati vengono trasferiti al di fuori della Cina e rivedere la situazione dell’acquisizione e della conservazione dei dati aziendali.
La legge sulla cybersecurity richiede non solo la revisione delle regolamentazioni, ma anche l’attuazione di misure di protezione tecniche, rendendo così indispensabile la collaborazione tra i dipartimenti coinvolti.
Riepilogo: In caso di difficoltà con le procedure aziendali, consultate un esperto
La Legge Cinese sulla Cybersecurity è un sistema creato per la sicurezza nazionale della Cina. Per conformarsi alla Legge sulla Cybersecurity, non è sufficiente solo modificare i regolamenti tramite il dipartimento legale o amministrativo, ma è anche necessario implementare misure di protezione tecnica.
Dall’entrata in vigore della Legge sulla Cybersecurity, sono state istituite numerose leggi relative alla conformità dei dati, come le “Norme sulla gestione delle vulnerabilità della sicurezza dei prodotti internet” e le “Procedure di revisione della cybersecurity (un sistema che concretizza il regime di revisione della sicurezza nazionale)”. In caso di violazione, si rischiano sanzioni quali multe, chiusura di siti web o cancellazione dei permessi di esercizio, quindi è necessaria attenzione. Se avete in programma di espandere la vostra attività in Cina o lo state già facendo, vi consigliamo di consultare un avvocato esperto nelle leggi cinesi.
Presentazione delle strategie del nostro studio legale
Lo studio legale Monolith è specializzato in IT, Internet e business, con una forte competenza nel settore legale. Abbiamo gestito casi in vari paesi del mondo, tra cui Cina, Stati Uniti e i paesi dell’Unione Europea. Quando si espande un’attività all’estero, si incontrano numerosi rischi legali, per cui il supporto di avvocati esperti è fondamentale. Il nostro studio è profondamente a conoscenza delle leggi e delle regolamentazioni locali e collabora con studi legali in tutto il mondo.
Aree di competenza dello studio legale Monolith: Affari internazionali e attività all’estero[ja]
Related Articles
Si può essere arrestati per violazione della 'Legge Giapponese sui Dispositivi Farmaceutici e Me.
General Corporate
Videogiochi e Legge (Prima Parte): Legge Giapponese sul Diritto d'Autore, Legge Giapponese sulla.
General Corporate
Quali sono le differenze tra la legge americana e quella giapponese? Punti da conoscere prima di.
General Corporate
È possibile annullare un'offerta di lavoro a causa di scarsi risultati o riduzione dell'attività.
General Corporate
Punti di attenzione per il trasferimento di azioni? Spiegazione concreta delle clausole da inclu.
General Corporate
Spiegazione della 'Legge Giapponese sulla Prevenzione della Concorrenza Sleale': Requisiti e Pre.
General Corporate
