Nasjonal sikkerhet<\/td> Niv\u00e5 3<\/td> Niv\u00e5 4<\/td> Niv\u00e5 5<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\nDefinisjonene for hvert niv\u00e5 er som f\u00f8lger:<\/p>\n\n\n\nNiv\u00e5<\/td> Definisjon<\/td><\/tr> Niv\u00e5 1<\/td> Et generelt nettverk som, hvis \u00f8delagt, vil skade de lovlige rettighetene og interessene til de ber\u00f8rte borgere, juridiske personer og andre organisasjoner, men ikke p\u00e5virke nasjonal sikkerhet, sosial orden eller offentlig interesse.<\/td><\/tr> Niv\u00e5 2<\/td> Et generelt nettverk som, hvis \u00f8delagt, vil for\u00e5rsake alvorlig skade p\u00e5 de lovlige rettighetene og interessene til de ber\u00f8rte borgere, juridiske personer og andre organisasjoner, eller skade p\u00e5 sosial orden og offentlig interesse, men ikke p\u00e5virke nasjonal sikkerhet.<\/td><\/tr> Niv\u00e5 3<\/td> Et viktig nettverk som, hvis \u00f8delagt, vil for\u00e5rsake sv\u00e6rt alvorlig skade p\u00e5 de lovlige rettighetene og interessene til de ber\u00f8rte borgere, juridiske personer og andre organisasjoner, eller skade p\u00e5 nasjonal sikkerhet.<\/td><\/tr> Niv\u00e5 4<\/td> Et spesielt viktig nettverk som, hvis \u00f8delagt, vil for\u00e5rsake betydelig skade p\u00e5 sosial orden og offentlig interesse, eller sv\u00e6rt viktig skade p\u00e5 nasjonal sikkerhet.<\/td><\/tr> Niv\u00e5 5<\/td> Et ekstremt viktig nettverk som, hvis \u00f8delagt, vil for\u00e5rsake sv\u00e6rt alvorlig skade p\u00e5 nasjonal sikkerhet.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\nFor hvert klassifiseringsniv\u00e5 er det fastsatt standarder for informasjonssikkerhet som m\u00e5 overholdes. Det er vanlig at nettverksoperat\u00f8rer er underlagt niv\u00e5 2 eller h\u00f8yere, mens operat\u00f8rer av kritisk informasjonsinfrastruktur er underlagt niv\u00e5 3 eller h\u00f8yere.<\/p>\n\n\n\n
For \u00e5 oppn\u00e5 et niv\u00e5, m\u00e5 operat\u00f8rene selv s\u00f8ke om niv\u00e5klassifisering hos myndighetene, men til slutt er det n\u00f8dvendig \u00e5 f\u00e5 samtykke fra det offentlige sikkerhetsbyr\u00e5et. I tillegg krever niv\u00e5beskyttelsessystemet at niv\u00e5 2 og h\u00f8yere m\u00e5 evalueres av en evalueringsinstitusjon. Det er viktig \u00e5 v\u00e6re oppmerksom p\u00e5 at det kan p\u00e5l\u00f8pe b\u00f8ter hvis man bryter med niv\u00e5beskyttelsessystemet.<\/p>\n\n\n\n
<\/span>Overholdelse av nasjonale obligatoriske standarder<\/span><\/h3>\n\n\n\nLeverand\u00f8rer av internettprodukter og -tjenester m\u00e5 s\u00f8rge for at deres tjenester overholder nasjonale obligatoriske standarder, som fastsatt i artikkel 22. Leverand\u00f8rer skal ikke installere ondsinnede programmer.<\/p>\n\n\n\n
I tillegg, hvis det oppdages feil, s\u00e5rbarheter eller andre risikoer i produkter eller tjenester, m\u00e5 leverand\u00f8ren umiddelbart iverksette tiltak, informere brukerne og rapportere til de relevante tilsynsmyndighetene.<\/p>\n\n\n\n
I september 2021 (Reiwa 3) ble “Regler for h\u00e5ndtering av sikkerhetss\u00e5rbarheter i internettprodukter (\u7f51\u7edc\u4ea7\u54c1\u5b89\u5168\u6f0f\u6d1e\u7ba1\u7406\u89c4\u5b9a)” implementert, rettet mot nettverksoperat\u00f8rer. Det er derfor viktig \u00e5 referere til og overholde disse reglene ogs\u00e5.<\/p>\n\n\n\n
<\/span>Krav om registrering med virkelig navn<\/span><\/h3>\n\n\n\nN\u00e5r man tilbyr tjenester som nettverkstilkobling, prosedyrer for tilkobling til fasttelefon- og mobilnettverk, informasjonsdelingstjenester og direktemeldingstjenester, er det et krav at brukerne registrerer seg med sitt virkelige navn. Hvis en bruker ikke registrerer seg med sitt virkelige navn, er det ikke tillatt \u00e5 tilby tjenesten til vedkommende.<\/p>\n\n\n\n
I tillegg har nettverksoperat\u00f8rer en plikt til \u00e5 vurdere om informasjonen som brukerne sender ut, er i strid med loven.<\/p>\n\n\n\n
<\/span>Plikter for operat\u00f8rer av viktige informasjonsinfrastrukturanlegg<\/span><\/h3>\n\n\n\nOperat\u00f8rer av viktige informasjonsinfrastrukturanlegg m\u00e5 ikke bare implementere sikkerhetstiltak p\u00e5lagt nettverksoperat\u00f8rer, men ogs\u00e5 f\u00f8lgende tiltak er n\u00f8dvendige:<\/p>\n\n\n\n
\nRegelmessig backup av systemer og databaser<\/li>\n\n\n\n Utvikling av en responsplan for sikkerhetshendelser<\/li>\n\n\n\n \u00c5rlig sikkerhetsvurdering<\/li>\n\n\n\n Data-lokalisering<\/li>\n<\/ul>\n\n\n\nData-lokalisering: Prosessen med \u00e5 lagre og behandle data innenfor grensene til landet der dataene ble generert<\/p>\n\n\n\n
I september 2021 (Reiwa 3) ble “Japanese Ordinance on the Security Protection of Important Information Infrastructure Facilities” iverksatt, som ytterligere spesifiserer forvaltningen, sertifiseringen og operat\u00f8renes plikter for viktige informasjonsinfrastrukturanlegg. Det er derfor n\u00f8dvendig \u00e5 ogs\u00e5 referere til denne forordningen.<\/p>\n\n\n\n
<\/span>Oppbygging av styrings- og responssystemer<\/span><\/h3>\n\n\n\nDet som kreves av nettverksoperat\u00f8rer inkluderer f\u00f8lgende (Artikkel 21):<\/p>\n\n\n\n
\nUtvikling av sikkerhetsstyringssystemer og operasjonsprosedyrer<\/li>\n\n\n\n Identifisering av en ansvarlig for nettverkssikkerhet<\/li>\n\n\n\n Utarbeidelse av en responsplan for sikkerhetshendelser og etablering av tekniske tiltak<\/li>\n\n\n\n Implementering av nettverksoverv\u00e5kningsteknologi og lagring av logger (i minst 6 m\u00e5neder)<\/li>\n\n\n\n Klassifisering av data og beskyttelsestiltak som sikkerhetskopiering og kryptering av viktige data<\/li>\n<\/ul>\n\n\n\n<\/span>Bestemmelser ved brudd p\u00e5 den japanske Cybersecurity-loven<\/span><\/h2>\n\n\n\nHvis du bryter sikkerhetskravene som kreves av gradert beskyttelsessystem, vil du motta en rettelsesordre og en advarsel. Hvis du nekter \u00e5 f\u00f8lge ordren eller truer nettverkssikkerheten, m\u00e5 du betale en bot p\u00e5 mellom 10 000 yuan (omtrent 13 000 NOK) og 100 000 yuan (omtrent 130 000 NOK). Den direkte ansvarlige vil ogs\u00e5 bli ilagt en bot p\u00e5 mellom 5 000 yuan (omtrent 6 500 NOK) og 50 000 yuan (omtrent 65 000 NOK).<\/p>\n\n\n\n
En rettelsesordre og en advarsel vil ogs\u00e5 bli gitt hvis du installerer ondsinnede programmer eller ikke tar n\u00f8dvendige tiltak mot risikoer som produkt- eller tjenestefeil og sikkerhetshull. Hvis du nekter \u00e5 rette deg etter dette, vil det p\u00e5l\u00f8pe en bot.<\/p>\n\n\n\n
St\u00f8rrelsen p\u00e5 boten varierer avhengig av overtredelsens natur, og du kan ogs\u00e5 risikere \u00e5 f\u00e5 nettstedet ditt stengt, forretningslisensen din opphevet eller virksomheten din midlertidig stanset, s\u00e5 det er viktig \u00e5 v\u00e6re oppmerksom. I fortiden har det v\u00e6rt tilfeller der overtredelser har f\u00f8rt til b\u00f8ter, og de ansvarlige har blitt forbudt \u00e5 arbeide i samme bransje p\u00e5 livstid, s\u00e5 tiltak for cybersikkerhet er avgj\u00f8rende.<\/p>\n\n\n\n
<\/span>Tiltak for cybersikkerhetslovgivning som japanske selskaper b\u00f8r ta<\/span><\/h2>\n\n\n\nKinas cybersikkerhetslov er kompleks, og det kan v\u00e6re utfordrende \u00e5 vite hvor man skal starte. Her vil vi forklare hvilke tiltak japanske selskaper b\u00f8r iverksette.<\/p>\n\n\n\n
<\/span>Etablere et samarbeidssystem med IT-avdelingen og avdelinger relatert til digital transformasjon (DX)<\/span><\/h3>\n\n\n\nFor \u00e5 h\u00e5ndtere Kinas cybersikkerhetslov, er det n\u00f8dvendig \u00e5 utvikle driftsprosesser og etablere eller oppdatere personvernregler. I tillegg er det uunnv\u00e6rlig med tekniske tiltak for systemene dine for \u00e5 overholde gradert beskyttelsessystem.<\/p>\n\n\n\n
Det er ikke nok at juridiske og administrative avdelinger h\u00e5ndterer dette individuelt; det er n\u00f8dvendig \u00e5 etablere et system for samarbeid med IT-avdelingen og avdelinger relatert til DX.<\/p>\n\n\n\n
<\/span>Bestemme hvilken grad dine systemer oppfyller<\/span><\/h3>\n\n\n\nF\u00f8rst m\u00e5 du vurdere graden av dine egne systemer. Basert p\u00e5 denne graden, m\u00e5 hver avdeling iverksette tiltak i samsvar med cybersikkerhetskravene. Juridiske, administrative og risikostyringsavdelinger m\u00e5 revurdere og revidere regelverk og operasjoner for \u00e5 overholde loven, mens IT- og DX-relaterte avdelinger m\u00e5 h\u00e5ndtere de tekniske aspektene. Her vil vi forklare hver av disse tiltakene.<\/p>\n\n\n\n
<\/span>Juridiske, administrative og risikostyringsavdelinger<\/span><\/h4>\n\n\n\nSammenlign de kravene som er fastsatt i graden med selskapets n\u00e5v\u00e6rende styring og informasjonssikkerhetssystem, og vurder \u00e5 legge til regler eller revurdere driftssystemet. Deretter m\u00e5 du vurdere hvordan du skal h\u00e5ndtere dette og gjennomf\u00f8re n\u00f8dvendige systemforbedringer eller endringer.<\/p>\n\n\n\n
Hvis graden er niv\u00e5 to eller h\u00f8yere, m\u00e5 du ogs\u00e5 rapportere til myndighetene. Hvis selskapet ditt anses som en operat\u00f8r av kritisk informasjonsinfrastruktur, kreves det sertifisering for beskyttelse p\u00e5 niv\u00e5 tre eller h\u00f8yere. I tillegg m\u00e5 du h\u00e5ndtere data-lokalisering, regelmessig informasjonssikkerhetsoppl\u00e6ring og teknisk trening for ansatte, blant andre ting. Hvis det er en mulighet for at du faller inn under operat\u00f8rer av kritisk informasjonsinfrastruktur, er det trygt \u00e5 konsultere med en r\u00e5dgivende advokat og etablere en handlingsplan.<\/p>\n\n\n\n
I Kina har det nylig blitt innf\u00f8rt en rekke sikkerhetsrelaterte systemer. Risikostyringsavdelingen m\u00e5 derfor h\u00e5ndtere risiko i samsvar med nye forskrifter.<\/p>\n\n\n\n