Hva er den kinesiske loven om kybersikkerhet? Forklaring av nøkkelpunkter for overholdelse

Ifølge “Spesialrapport: Undersøkelse av japanske bedrifters ‘Kina-ekspansjon’ (2022)” fra Japanese Teikoku Databank, finnes det 12,706 japanske bedrifter som har etablert seg i Kina. Antallet bedrifter som driver med Kina-relatert virksomhet kan sies å være enda høyere. I Kina ble “Chinese Cybersecurity Law” implementert i 2017.

Dette har medført at bedrifter som ønsker å utvide sin virksomhet i Kina må gjennomføre revisjoner av regelverk i samsvar med loven og iverksette tekniske beskyttelsestiltak. Det kan imidlertid hende at noen ikke er klar over hva denne loven innebærer eller hvordan man skal forholde seg til den.

I denne artikkelen vil vi derfor forklare hovedtrekkene i “Chinese Cybersecurity Law”, hvem som er regulert av loven, og hvilke tiltak som bør iverksettes. Hvis du driver virksomhet i Kina eller vurderer å ekspandere dit, bør du definitivt ta en titt på denne informasjonen.

Oversikt over den kinesiske loven om cybersikkerhet

Den kinesiske loven om cybersikkerhet (网络安全法), som ble iverksatt i juni 2017, er en lov i Kina. Lovens formål er beskrevet i artikkel 1 som følger:

• Å sikre nettverkssikkerheten
• Å beskytte cybersuverenitet, nasjonal sikkerhet og offentlige interesser
• Å beskytte de legitime rettighetene og interessene til borgere, juridiske personer og andre organisasjoner
• Å fremme utviklingen av økonomisk og sosial informatisering

Med nettverk menes “noe som er sammensatt av datamaskiner eller andre informasjonsterminaler og relatert utstyr, som samler, lagrer, overfører, utveksler og behandler informasjon i henhold til visse regler og programmer (Artikkel 76)”, og det inkluderer ikke bare internett, men også intranett.

Den kinesiske loven om cybersikkerhet skiller seg fra EU’s General Data Protection Regulation (GDPR) og den japanske loven om beskyttelse av personopplysninger ved at den ikke bare fokuserer på “beskyttelse av personlig og organisatorisk informasjon”, men også “beskyttelse av kinesisk nasjonal sikkerhet og offentlige interesser”. Loven fastsetter at virksomheter som er underlagt loven må implementere cybersikkerhetsnivåbeskyttelse, overholde compliance og klargjøre rettigheter og plikter.

Det finnes også andre lover relatert til sikkerhet, som den kinesiske loven om datasikkerhet.

Relatert artikkel: Hva er den kinesiske loven om datasikkerhet? En forklaring på tiltakene japanske selskaper bør ta[ja]

Reguleringens målgruppe for den kinesiske loven om cybersikkerhet

Japanske selskaper blir gjenstand for den kinesiske loven om cybersikkerhet i følgende tilfeller:

• Det foregår håndtering av informasjon innenfor Kina
• Informasjon overføres fra Kina til Japan

Selv om et selskaps base er i Japan, vil det være underlagt loven hvis det oppfyller ovennevnte kriterier. Reguleringens målgruppe inkluderer også “nettverksoperatører” og “operatører av kritisk informasjonsinfrastruktur”.

En nettverksoperatør er en eier eller administrator av et nettverk, eller en som tilbyr nettverkstjenester.

En operatør av kritisk informasjonsinfrastruktur er en som driver anlegg i sektorer som, hvis skadet, kan true nasjonal sikkerhet, slik som energi, transport, finans, og offentlige tjenester. Disse anleggene, hvis de blir skadet eller opplever datalækasjer, kan alvorlig skade nasjonal sikkerhet, folks liv og offentlig interesse.

Innholdet i den kinesiske loven om cybersikkerhet

Den kinesiske loven om cybersikkerhet fastsetter følgende forpliktelser:

• Opprettelse av cybersikkerhetsnivåer
• Overholdelse av nasjonale obligatoriske standarder
• Krav om registrering med ekte navn
• Forpliktelser for operatører av kritisk informasjonsinfrastruktur
• Utvikling av styrings- og responssystemer

Her vil vi forklare hver av disse punktene i detalj.

Etablering av cybersikkerhetsnivåer

I henhold til artikkel 21 i den kinesiske loven om cybersikkerhet (Chinese Cybersecurity Law), er det etablert et ‘nivåbeskyttelsessystem’ som nettverksoperatører må overholde. Bedrifter og organisasjoner som eier nettverk i Kina, må oppnå nivåbeskyttelsessertifisering.

Nivåbeskyttelsessystemet er et offentlig evalueringsregime for nettverkssikkerhetsstyringssystemer. Omfanget inkluderer følgende:

• Nettverksinfrastruktur
• IoT
• Industrielle kontrollsystemer
• Store internettsteder og datasentre
• Offentlige tjenesteplattformer

I nivåbeskyttelsessystemet klassifiseres informasjonssystemer i henhold til omfanget og størrelsen på skaden når de blir ødelagt, i følgende fem nivåer:

Definisjonene for hvert nivå er som følger:

For hvert klassifiseringsnivå er det fastsatt standarder for informasjonssikkerhet som må overholdes. Det er vanlig at nettverksoperatører er underlagt nivå 2 eller høyere, mens operatører av kritisk informasjonsinfrastruktur er underlagt nivå 3 eller høyere.

For å oppnå et nivå, må operatørene selv søke om nivåklassifisering hos myndighetene, men til slutt er det nødvendig å få samtykke fra det offentlige sikkerhetsbyrået. I tillegg krever nivåbeskyttelsessystemet at nivå 2 og høyere må evalueres av en evalueringsinstitusjon. Det er viktig å være oppmerksom på at det kan påløpe bøter hvis man bryter med nivåbeskyttelsessystemet.

Overholdelse av nasjonale obligatoriske standarder

Leverandører av internettprodukter og -tjenester må sørge for at deres tjenester overholder nasjonale obligatoriske standarder, som fastsatt i artikkel 22. Leverandører skal ikke installere ondsinnede programmer.

I tillegg, hvis det oppdages feil, sårbarheter eller andre risikoer i produkter eller tjenester, må leverandøren umiddelbart iverksette tiltak, informere brukerne og rapportere til de relevante tilsynsmyndighetene.

I september 2021 (Reiwa 3) ble “Regler for håndtering av sikkerhetssårbarheter i internettprodukter (网络产品安全漏洞管理规定)” implementert, rettet mot nettverksoperatører. Det er derfor viktig å referere til og overholde disse reglene også.

Krav om registrering med virkelig navn

Når man tilbyr tjenester som nettverkstilkobling, prosedyrer for tilkobling til fasttelefon- og mobilnettverk, informasjonsdelingstjenester og direktemeldingstjenester, er det et krav at brukerne registrerer seg med sitt virkelige navn. Hvis en bruker ikke registrerer seg med sitt virkelige navn, er det ikke tillatt å tilby tjenesten til vedkommende.

I tillegg har nettverksoperatører en plikt til å vurdere om informasjonen som brukerne sender ut, er i strid med loven.

Plikter for operatører av viktige informasjonsinfrastrukturanlegg

Operatører av viktige informasjonsinfrastrukturanlegg må ikke bare implementere sikkerhetstiltak pålagt nettverksoperatører, men også følgende tiltak er nødvendige:

• Regelmessig backup av systemer og databaser
• Utvikling av en responsplan for sikkerhetshendelser
• Årlig sikkerhetsvurdering
• Data-lokalisering

Data-lokalisering: Prosessen med å lagre og behandle data innenfor grensene til landet der dataene ble generert

I september 2021 (Reiwa 3) ble “Japanese Ordinance on the Security Protection of Important Information Infrastructure Facilities” iverksatt, som ytterligere spesifiserer forvaltningen, sertifiseringen og operatørenes plikter for viktige informasjonsinfrastrukturanlegg. Det er derfor nødvendig å også referere til denne forordningen.

Oppbygging av styrings- og responssystemer

Det som kreves av nettverksoperatører inkluderer følgende (Artikkel 21):

• Utvikling av sikkerhetsstyringssystemer og operasjonsprosedyrer
• Identifisering av en ansvarlig for nettverkssikkerhet
• Utarbeidelse av en responsplan for sikkerhetshendelser og etablering av tekniske tiltak
• Implementering av nettverksovervåkningsteknologi og lagring av logger (i minst 6 måneder)
• Klassifisering av data og beskyttelsestiltak som sikkerhetskopiering og kryptering av viktige data

Bestemmelser ved brudd på den japanske Cybersecurity-loven

Hvis du bryter sikkerhetskravene som kreves av gradert beskyttelsessystem, vil du motta en rettelsesordre og en advarsel. Hvis du nekter å følge ordren eller truer nettverkssikkerheten, må du betale en bot på mellom 10 000 yuan (omtrent 13 000 NOK) og 100 000 yuan (omtrent 130 000 NOK). Den direkte ansvarlige vil også bli ilagt en bot på mellom 5 000 yuan (omtrent 6 500 NOK) og 50 000 yuan (omtrent 65 000 NOK).

En rettelsesordre og en advarsel vil også bli gitt hvis du installerer ondsinnede programmer eller ikke tar nødvendige tiltak mot risikoer som produkt- eller tjenestefeil og sikkerhetshull. Hvis du nekter å rette deg etter dette, vil det påløpe en bot.

Størrelsen på boten varierer avhengig av overtredelsens natur, og du kan også risikere å få nettstedet ditt stengt, forretningslisensen din opphevet eller virksomheten din midlertidig stanset, så det er viktig å være oppmerksom. I fortiden har det vært tilfeller der overtredelser har ført til bøter, og de ansvarlige har blitt forbudt å arbeide i samme bransje på livstid, så tiltak for cybersikkerhet er avgjørende.

Tiltak for cybersikkerhetslovgivning som japanske selskaper bør ta

Kinas cybersikkerhetslov er kompleks, og det kan være utfordrende å vite hvor man skal starte. Her vil vi forklare hvilke tiltak japanske selskaper bør iverksette.

Etablere et samarbeidssystem med IT-avdelingen og avdelinger relatert til digital transformasjon (DX)

For å håndtere Kinas cybersikkerhetslov, er det nødvendig å utvikle driftsprosesser og etablere eller oppdatere personvernregler. I tillegg er det uunnværlig med tekniske tiltak for systemene dine for å overholde gradert beskyttelsessystem.

Det er ikke nok at juridiske og administrative avdelinger håndterer dette individuelt; det er nødvendig å etablere et system for samarbeid med IT-avdelingen og avdelinger relatert til DX.

Bestemme hvilken grad dine systemer oppfyller

Først må du vurdere graden av dine egne systemer. Basert på denne graden, må hver avdeling iverksette tiltak i samsvar med cybersikkerhetskravene. Juridiske, administrative og risikostyringsavdelinger må revurdere og revidere regelverk og operasjoner for å overholde loven, mens IT- og DX-relaterte avdelinger må håndtere de tekniske aspektene. Her vil vi forklare hver av disse tiltakene.

Juridiske, administrative og risikostyringsavdelinger

Sammenlign de kravene som er fastsatt i graden med selskapets nåværende styring og informasjonssikkerhetssystem, og vurder å legge til regler eller revurdere driftssystemet. Deretter må du vurdere hvordan du skal håndtere dette og gjennomføre nødvendige systemforbedringer eller endringer.

Hvis graden er nivå to eller høyere, må du også rapportere til myndighetene. Hvis selskapet ditt anses som en operatør av kritisk informasjonsinfrastruktur, kreves det sertifisering for beskyttelse på nivå tre eller høyere. I tillegg må du håndtere data-lokalisering, regelmessig informasjonssikkerhetsopplæring og teknisk trening for ansatte, blant andre ting. Hvis det er en mulighet for at du faller inn under operatører av kritisk informasjonsinfrastruktur, er det trygt å konsultere med en rådgivende advokat og etablere en handlingsplan.

I Kina har det nylig blitt innført en rekke sikkerhetsrelaterte systemer. Risikostyringsavdelingen må derfor håndtere risiko i samsvar med nye forskrifter.

IT- og DX-relaterte avdelinger

IT- og DX-relaterte avdelinger må implementere sikkerhetstiltak som samsvarer med systemets grad. Først må du organisere sikkerhetstiltakene for selskapets eksisterende systemer, og hvis noe mangler, integrere systemer som er i samsvar med cybersikkerhetsloven.

I tillegg til cybersikkerhetsloven, må du også håndtere data-lokalisering, grenseoverskridende restriksjoner og myndighetenes tilgang. Det er viktig å forstå hvilke data som overføres utenfor Kina og revurdere selskapets datainnsamling og lagringspraksis.

Under cybersikkerhetsloven er det ikke nok å bare revidere regelverket; tekniske beskyttelsestiltak er også nødvendige, noe som gjør samarbeid mellom de relevante avdelingene avgjørende.

Oppsummering: Ved utfordringer med bedriftens håndtering, søk råd hos en ekspert

Den kinesiske loven om cybersikkerhet (Chinese Cybersecurity Law) er et system opprettet for å beskytte den nasjonale sikkerheten til Kina. For å overholde cybersikkerhetsloven, er det nødvendig å gjennomføre ikke bare revisjoner av regelverket av juridiske og generelle anliggender, men også å iverksette tekniske beskyttelsestiltak.

Etter at cybersikkerhetsloven trådte i kraft, har en rekke lover relatert til datacompliance blitt vedtatt, inkludert “Regler for håndtering av sikkerhetssårbarheter i internettprodukter” og “Cybersikkerhetsgjennomgangsprosedyrer” (et system som konkretiserer nasjonal sikkerhetsgjennomgangsordning). Det er viktig å være oppmerksom, da brudd på disse lovene kan føre til bøter, nedstengning av nettsteder, eller annullering av forretningslisenser. Hvis du driver virksomhet i Kina eller planlegger å gjøre det, anbefales det å konsultere en advokat som er godt kjent med kinesisk lovgivning.

Veiledning om tiltak fra vår advokatfirma

Monolith Advokatfirma er et advokatfirma med styrker innen IT, internett og forretningsjus. Vi har håndtert saker i en rekke land, inkludert Kina, USA og EU-landene. Når man utvider virksomheten internasjonalt, følger det med mange juridiske risikoer, og støtte fra erfarne advokater er derfor uunnværlig. Vårt firma har inngående kjennskap til lokale lover og forskrifter og samarbeider med advokatfirmaer over hele verden.

Monolith Advokatfirmas tjenesteområder: Internasjonal rettslig rådgivning og utenlandske forretningsvirksomheter[ja]