De Chinese Cybersecuritywet: Wat is het? Uitleg over de belangrijkste punten voor naleving
Volgens een speciaal rapport van de ‘Japanese Teikoku Databank’ getiteld ‘Speciale Feature: Onderzoek naar de Trends van Japanse Bedrijven die Uitbreiden naar China (2022)[ja]‘, zijn er 12.706 Japanse bedrijven die zich in China hebben gevestigd. Het aantal bedrijven dat zaken doet gerelateerd aan China is waarschijnlijk nog groter. In China werd in 2017 de ‘Chinese Cybersecurity Wet’ ingevoerd.
Als gevolg hiervan moeten bedrijven die in China zaken willen doen, hun beleid herzien en technische beschermingsmaatregelen implementeren in overeenstemming met deze wetgeving. Echter, er zijn wellicht mensen die niet bekend zijn met deze wet of die niet weten hoe ze hieraan moeten voldoen.
In dit artikel zullen we daarom een overzicht geven van de ‘Chinese Cybersecurity Wet’, de doelgroepen van de regelgeving en de maatregelen die genomen moeten worden. Als u zaken doet in China of overweegt om naar China uit te breiden, raad ik u aan dit artikel zeker als referentie te gebruiken.
Overzicht van de Chinese Cybersecuritywet
De Chinese Cybersecuritywet (网络安全法) is een wet die in juni 2017 (2017年6月) in China is ingevoerd. De doelstellingen van de wet zijn als volgt beschreven in artikel 1:
- Het waarborgen van netwerkveiligheid
- De soevereiniteit van de cyberspace, de nationale veiligheid en het openbaar belang beschermen
- De legitieme rechten en belangen van burgers, rechtspersonen en andere organisaties beschermen
- De ontwikkeling van economische en sociale informatisering bevorderen
Met ‘netwerk’ wordt bedoeld: “een systeem bestaande uit computers, andere informatieterminals en bijbehorende apparatuur, dat informatie verzamelt, opslaat, overdraagt, uitwisselt en verwerkt volgens bepaalde regels en programma’s (artikel 76).” Dit omvat niet alleen het internet, maar ook intranetten.
De Chinese Cybersecuritywet verschilt van de Europese Algemene Verordening Gegevensbescherming (GDPR) en de Japanse Wet op de Bescherming van Persoonsgegevens, doordat het niet alleen gericht is op de bescherming van persoonlijke en organisatorische informatie, maar ook op de bescherming van de nationale veiligheid en het openbaar belang van China. De wet stelt eisen aan de betrokken bedrijven, zoals het implementeren van cybersecurity niveau bescherming, naleving van compliance en het verduidelijken van rechten en plichten.
Naast deze wet bestaat er ook een Chinese Data Securitywet.
Gerelateerd artikel: Wat is de Chinese Data Securitywet? Uitleg over de maatregelen die Japanse bedrijven moeten nemen[ja]
Reguleringssubjecten onder de Chinese Cybersecuritywet
Japanse bedrijven vallen onder de Chinese Cybersecuritywet in de volgende gevallen:
- Er is sprake van informatiebehandeling binnen China
- Informatie wordt van China naar Japan overgedragen
Zelfs als een bedrijf zijn basis in Japan heeft, valt het onder de wet als het aan de bovenstaande criteria voldoet. Degenen die onder de regelgeving vallen, omvatten ‘netwerkoperators’ en ‘exploitanten van kritieke informatie-infrastructuurfaciliteiten’.
Een netwerkoperator is iemand die een netwerk bezit of beheert, of die netwerkdiensten levert.
Exploitanten van kritieke informatie-infrastructuurfaciliteiten zijn degenen die faciliteiten beheren in sectoren die de nationale veiligheid kunnen bedreigen als ze beschadigd raken, zoals energie, transport, financiën en openbare diensten. Schade of datalekken kunnen de nationale veiligheid, het leven van de burgers en het openbaar belang ernstig schaden.
Inhoud van de Chinese Cybersecuritywet
De Chinese Cybersecuritywet stelt de volgende verplichtingen vast:
- Instellen van cybersecurity classificaties
- Naleving van verplichte nationale standaarden
- Verplichte echte naam registratie
- Verplichtingen voor exploitanten van kritieke informatie-infrastructuur
- Opzetten van een beheer- en responsstructuur
Hier lichten we elk van deze punten in detail toe.
Instelling van Cybersecurity Niveaus
In Artikel 21 van de Chinese Cybersecurity Wet wordt het ‘graded protection system’ vastgesteld, dat netwerkoperators moeten naleven. Bedrijven en organisaties die in China netwerken bezitten, zijn verplicht om een graded protection certificering te verkrijgen.
Het graded protection system is een officieel evaluatiesysteem voor het beheer van netwerkbeveiliging. Het toepassingsgebied omvat de volgende gebieden:
- Netwerkinfrastructuur
- IoT
- Industriële controlesystemen
- Grootschalige internetwebsites & datacenters
- Openbare dienstenplatforms
In het graded protection system worden informatiesystemen op basis van de omvang van de impact en de schade bij vernietiging ingedeeld in de volgende vijf niveaus:
Mate van schade die het object ondergaat | |||
Algemene schade | Ernstige schade | Bijzonder ernstige schade | |
Burgers en rechtspersonen etc. | Niveau 1 | Niveau 2 | Niveau 3 |
Sociale orde & openbaar belang | Niveau 2 | Niveau 3 | Niveau 4 |
Nationale veiligheid | Niveau 3 | Niveau 4 | Niveau 5 |
De definities van elk niveau zijn als volgt:
Niveau | Definitie |
Niveau 1 | Een algemeen netwerk waarbij, indien vernietigd, de legitieme rechten en belangen van betrokken burgers, rechtspersonen en andere organisaties worden geschaad, maar er geen invloed is op de nationale veiligheid, sociale orde of het openbaar belang. |
Niveau 2 | Een algemeen netwerk waarbij, indien vernietigd, er ernstige schade ontstaat aan de legitieme rechten en belangen van betrokken burgers, rechtspersonen en andere organisaties, of schade aan de sociale orde en het openbaar belang, maar zonder invloed op de nationale veiligheid. |
Niveau 3 | Een belangrijk netwerk waarbij, indien vernietigd, er zeer ernstige schade ontstaat aan de legitieme rechten en belangen van betrokken burgers, rechtspersonen en andere organisaties, of schade aan de nationale veiligheid. |
Niveau 4 | Een bijzonder belangrijk netwerk waarbij, indien vernietigd, de sociale orde en het openbaar belang aanzienlijk worden geschaad, of er zeer belangrijke schade aan de nationale veiligheid ontstaat. |
Niveau 5 | Een uiterst belangrijk netwerk waarbij, indien vernietigd, er zeer ernstige schade aan de nationale veiligheid ontstaat. |
Voor elk van deze niveaus zijn specifieke informatiebeveiligingsnormen vastgesteld die moeten worden nageleefd. Netwerkoperators zijn doorgaans onderworpen aan niveau 2 of hoger, terwijl exploitanten van kritieke informatie-infrastructuur meestal aan niveau 3 of hoger moeten voldoen.
Voor het verkrijgen van een niveau dient men een zelfevaluatie aan te vragen bij de autoriteiten, maar uiteindelijk is goedkeuring van het Ministerie van Openbare Veiligheid vereist. Bovendien vereist het graded protection system dat voor niveau 2 en hoger een evaluatie door een beoordelingsinstantie moet worden ondergaan. Het is belangrijk om op te merken dat er boetes kunnen worden opgelegd bij overtreding van het graded protection system.
Naleving van verplichte nationale standaarden
Aanbieders van internetproducten en -diensten moeten ervoor zorgen dat hun diensten voldoen aan de verplichte nationale standaarden, zoals vastgelegd in artikel 22. Aanbieders mogen geen kwaadaardige programma’s installeren.
Daarnaast moeten zij, wanneer zij gebreken, kwetsbaarheden of andere risico’s in hun producten of diensten ontdekken, onmiddellijk maatregelen treffen, gebruikers informeren en de relevante autoriteiten op de hoogte stellen.
In september 2021 (Gregoriaanse kalender) is de ‘Japanese Internet Product Security Vulnerability Management Regulation (网络产品安全漏洞管理规定)’ van kracht geworden, die gericht is op netwerkbeheerders. Het is dus raadzaam om ook deze regelgeving te raadplegen en de nodige maatregelen te treffen.
Echte naamregistratie vereist
Wanneer u netwerkverbindingsservices, vaste en mobiele telefoonnetwerkverbindingen, informatiedelingsservices en instant messaging services aan gebruikers levert, is het vereist dat u de echte naam van de gebruiker registreert. Als een gebruiker zijn echte naam niet registreert, mag u de service niet aanbieden.
Daarnaast hebben netwerkoperators de plicht om te controleren of de informatie die door gebruikers wordt verzonden niet in strijd is met de wet.
Verplichtingen voor beheerders van kritieke informatie-infrastructuur
Beheerders van kritieke informatie-infrastructuur moeten niet alleen de beveiligingsmaatregelen nemen die van netwerkbeheerders worden vereist, maar ook de volgende maatregelen zijn noodzakelijk:
- Regelmatige back-ups maken van systemen en databases
- Het opstellen van een responsplan voor beveiligingsincidenten
- Jaarlijkse veiligheidsevaluaties
- Data-localisatie
Data-localisatie: het proces waarbij data wordt opgeslagen en verwerkt binnen de landsgrenzen van het land waar de data is gegenereerd
In september 2021 (Reiwa 3) is de ‘Japanese Ordinance on the Security Protection of Critical Information Infrastructure’ in werking getreden, die het beheer, de certificering en de verplichtingen van de exploitanten van kritieke informatie-infrastructuur verder specificeert. Het is daarom noodzakelijk om ook naar deze verordening te verwijzen.
Opzetten van een beheer- en responsstructuur
Aan netwerkbeheerders worden de volgende eisen gesteld (Artikel 21):
- Ontwikkeling van een veiligheidsbeheersysteem en operationele procedures
- Vaststellen van een verantwoordelijke voor netwerkveiligheid
- Opstellen van een responsplan voor beveiligingsincidenten en het treffen van technische maatregelen
- Implementatie van netwerkbewakingstechnologieën en het bewaren van logs (minimaal 6 maanden)
- Classificatie van data, en beschermingsmaatregelen zoals back-up en encryptie van kritieke data
Bepalingen bij overtreding van de Japanse Cybersecuritywet
Als u niet voldoet aan de beveiligingseisen die het rangbeschermingssysteem vereist, ontvangt u een correctiebevel en een waarschuwing. Als u het bevel weigert of de veiligheid van het netwerk in gevaar brengt, moet u een boete betalen van minimaal 10.000 yuan en maximaal 100.000 yuan. Daarnaast wordt aan de direct verantwoordelijke persoon een boete opgelegd van minimaal 5.000 yuan en maximaal 50.000 yuan.
Correctiebevelen en waarschuwingen worden ook uitgevaardigd als u kwaadaardige programma’s installeert of geen maatregelen neemt tegen risico’s zoals gebreken in producten of diensten of beveiligingslekken. Als u weigert deze bevelen op te volgen, volgt er een boete.
De hoogte van de boete varieert afhankelijk van de aard van de overtreding. Er kan ook worden bevolen dat websites worden gesloten, bedrijfsvergunningen worden ingetrokken of dat bedrijfsactiviteiten worden gestaakt, dus het is belangrijk om voorzichtig te zijn. In het verleden zijn er gevallen geweest waarin overtredingen leidden tot boetes en de betrokken personen levenslang verboden werd om in dezelfde branche te werken. Het is dus duidelijk dat maatregelen voor cybersecurity onmisbaar zijn.
Cybersecuritymaatregelen die Japanse bedrijven moeten nemen
De Chinese Cybersecuritywet is complex, waardoor sommigen misschien niet weten waar te beginnen. Hier leggen we uit welke maatregelen Japanse bedrijven moeten nemen.
Een samenwerkingsstructuur opzetten met de IT-afdeling en afdelingen gerelateerd aan digitale transformatie (DX)
Om te voldoen aan de Chinese Cybersecuritywet, is het nodig om operationele processen op te bouwen en regelgeving voor persoonsgegevensbeheer te ontwikkelen en toe te voegen. Ook zijn technische maatregelen voor uw eigen systemen essentieel om te voldoen aan het graded protection system.
In plaats van dat juridische en algemene zakenafdelingen dit individueel aanpakken, is het noodzakelijk een samenwerkingsstructuur op te zetten met de IT-afdeling en afdelingen gerelateerd aan DX.
Bepalen welke classificatie elk systeem dat het bedrijf bezit, naleeft
Allereerst bepaalt u de classificatie van uw bedrijfssystemen. Afhankelijk van deze classificatie, moet elke afdeling handelen in overeenstemming met cybersecurity. Juridische, algemene zaken en risicobeheerafdelingen moeten regelgeving en operationele procedures herzien en wijzigen, terwijl IT- en DX-afdelingen technische maatregelen moeten treffen. Hieronder volgt een uitleg van de respectievelijke maatregelen.
Juridische, algemene zaken en risicobeheerafdelingen
Vergelijk de zaken die in de classificatie zijn vastgesteld met de huidige beheersituatie en informatiebeveiligingsstructuur van uw bedrijf, en herzie de operationele structuur en voeg regelgeving toe. Overweeg vervolgens hoe te handelen en voer de nodige systeemontwikkelingen en wijzigingen door.
Als de classificatie tweede graad of hoger is, moet u dit ook melden bij de autoriteiten. Als uw bedrijf wordt beschouwd als een exploitant van kritieke informatie-infrastructuur, wordt certificering voor de derde graad of hoger vereist. Daarnaast moet u voldoen aan data-localisatieregels, regelmatige informatiebeveiligingstraining en technische training voor werknemers uitvoeren, en meer. Als er een kans is dat u als exploitant van kritieke informatie-infrastructuur wordt beschouwd, is het raadzaam om met een juridisch adviseur te overleggen en een actieplan op te stellen.
In China worden continu nieuwe beveiligingsregelingen geïmplementeerd. Daarom moet de risicobeheerafdeling zich aanpassen aan nieuwe regelgeving en overeenkomstige risicomaatregelen nemen.
IT- en DX-afdelingen
IT- en DX-afdelingen moeten beveiligingsmaatregelen implementeren die overeenkomen met de classificatie. Begin met het organiseren van de huidige beveiligingsmaatregelen van uw bestaande systemen en integreer systemen die voldoen aan de Cybersecuritywet als er tekortkomingen zijn.
Naast de Cybersecuritywet moet u ook voldoen aan data-localisatieregels, grensoverschrijdende beperkingen en overheidsaccess. Het is noodzakelijk om te begrijpen welke gegevens naar buiten China worden overgedragen en de situatie van uw bedrijf met betrekking tot gegevensverwerving en opslag te herzien.
Omdat de Cybersecuritywet niet alleen vereist dat regelgeving wordt herzien, maar ook dat technische beveiligingsmaatregelen worden genomen, is samenwerking tussen de betrokken afdelingen onmisbaar.
Samenvatting: Neem contact op met een expert als u problemen ondervindt met uw bedrijfsaanpak
De Chinese Cybersecuritywet is een systeem dat is opgezet voor de nationale veiligheid van China. Om aan de Cybersecuritywet te voldoen, is het niet alleen noodzakelijk om de regelgeving van de juridische afdeling of de administratieve afdeling te herzien, maar ook om technische beschermingsmaatregelen te implementeren.
Sinds de invoering van de Cybersecuritywet zijn er talrijke wetten met betrekking tot datacompliance ingevoerd, zoals de ‘Regelgeving voor het beheer van veiligheidskwetsbaarheden in internetproducten’ en de ‘Cybersecurity Review Measures’ (een systeem dat het nationale veiligheidsonderzoek concretiseert). Overtredingen kunnen leiden tot boetes, sluiting van websites of het intrekken van bedrijfsvergunningen, dus voorzichtigheid is geboden. Als u zaken doet in China of van plan bent dit in de toekomst te doen, raden we u aan te overleggen met een advocaat die gespecialiseerd is in de Chinese wetgeving.
Maatregelen van ons kantoor
Monolith Advocatenkantoor is een juridische firma met sterke expertise in IT, internet en business. We hebben ervaring met zaken in verschillende landen, waaronder China, de Verenigde Staten en EU-lidstaten. Bij het ontplooien van zakelijke activiteiten in het buitenland komen veel juridische risico’s kijken, waardoor de ondersteuning van ervaren advocaten onmisbaar is. Ons kantoor heeft diepgaande kennis van lokale wetgeving en regelgeving en werkt samen met juridische kantoren over de hele wereld.
Expertisegebieden van Monolith Advocatenkantoor: Internationaal recht en buitenlandse zaken[ja]