I. Gesetze
1. Cybersicherheitsgesetz von China (2017) 网络 安全 法
Dieses Gesetz gilt für Eigentümer, Manager und Netzwerkdienstleister (im Folgenden als „Betreiber“ bezeichnet), die in China Netzwerke aufbauen, betreiben, warten und nutzen. Wichtige Punkte dieses Gesetzes sind:
(1) Die Betreiber überprüfen die Identität des Benutzers, wenn sie Dienste wie Netzwerkzugriff, Registrierung von Domainnamen, Zugang zum Telefonnetz oder Freigabe von Informationen und Sofortnachrichten für den Benutzer bereitstellen.
(2) Personenbezogene Daten und wichtige Daten müssen in China gespeichert werden. Der Datenexport unterliegt der Überprüfung durch die Regulierungsbehörde.
(3) Die Betreiber leisten den Organen der öffentlichen Sicherheit und den nationalen Sicherheitsbehörden technische Unterstützung und Unterstützung.
(4) Wenn eine ausländische Institution, Organisation oder einzelne Angriffe in die kritischen Informationsinfrastrukturen Chinas eindringen, diese stören, zerstören oder auf andere Weise beschädigen, was schwerwiegende Folgen hat, unterliegt der Rechtsverletzer der gesetzlichen Haftung. Die Organe der öffentlichen Sicherheit und die zuständigen Abteilungen können beschließen, das Eigentum der Einrichtung, Organisation oder Einzelperson einzufrieren oder andere notwendige Sanktionsmaßnahmen gegen sie zu ergreifen.
2. Entscheidung zur Stärkung des Schutzes von Netzwerkinformationen (2012) 关于 加强 网络 信息 保护 的 的
Mit dem Beschluss werden erstmals in China die Regeln für die Erhebung und Verwendung personenbezogener Daten sowie die Verpflichtungen der Netzdienstanbieter zum Schutz personenbezogener Daten festgelegt.
Das Cybersicherheitsgesetz, das später im Jahr 2018 erlassen wurde, hat den größten Teil des Beschlusses übernommen.
3. Entscheidung über die Aufrechterhaltung der Internetsicherheit (2000)
Die Entscheidung ist Chinas erste Regel zur Cybersicherheit mit den wichtigsten Punkten wie folgt:
(1) Das Hacken oder Zerstören des Computersystems stellt ein Verbrechen dar.
(2) Die Untergrabung der Staatsmacht, die Zerstörung der nationalen Einheit und der Einheit der Nationalitäten, der Diebstahl der Staatsgeheimnisse und die Ausübung kultischer Aktivitäten durch Veröffentlichung von Informationen im Internet stellen ein Verbrechen dar.
(3) Die Verletzung der legitimen Rechte anderer im Internet stellt eine Straftat dar.
II.Verwaltungsvorschriften
Die wichtigsten Punkte der Maßnahmen sind:
(1) Das Ministerium für öffentliche Sicherheit ist für den Schutz der Verbindung zwischen dem Computernetz in China und dem internationalen Internet verantwortlich.
(2) Kein Unternehmen darf das internationale Internet nutzen, um illegale Inhalte zu veröffentlichen oder die Computersicherheit zu gefährden.
Die wichtigsten Punkte der Maßnahmen sind:
(1) Die Verordnungen zielen darauf ab, die Sicherheit von Computerinformationssystemen im Hoheitsgebiet Chinas zu schützen.
(2) Das Ministerium für öffentliche Sicherheit ist die zuständige Behörde in diesem Bereich, zu deren Aufgaben und Befugnissen die Überwachung des einschlägigen Sicherheitsschutzes gehört. Untersuchung und Bestrafung der illegalen Handlungen, die die Computersicherheit gefährden.
Am 27. Juni 2018 entwarf das Ministerium für öffentliche Sicherheit auf der Grundlage von Artikel 21 des Gesetzes über Cybersicherheit die „Vorschriften zum Schutzniveau der Cybersicherheit“ und kündigte seinen Entwurf zur Einholung von Stellungnahmen der Öffentlichkeit an. Bis jetzt ist der Entwurf noch kein offiziell verkündetes Gesetz.
Die Kernpunkte des Entwurfs sind wie folgt:
(1) Das Netzwerksystem wird entsprechend seiner Bedeutung für die nationale Sicherheit, den wirtschaftlichen Aufbau und das soziale Leben in fünf Sicherheitsschutzstufen unterteilt.
Die Bedeutung des Netzwerksystems steigt allmählich von der ersten auf die fünfte Ebene. (Artikel 15)
Netzwerksysteme verschiedener Ebenen geben wie folgt an, inwieweit relevante Interessen im Falle eines Netzwerksicherheitsvorfalls des Netzwerksystems auf dieser Ebene geschädigt werden können:
Stufe 1: Nationale Sicherheit, soziale Ordnung und öffentliche Interessen werden nicht gefährdet.
Stufe 2: Soziale Ordnung und öffentliche Interessen werden gefährdet, und die nationale Sicherheit wird nicht gefährdet.
Stufe 3: Die soziale Ordnung und die öffentlichen Interessen werden ernsthaft gefährdet, oder die nationale Sicherheit wird gefährdet.
Stufe 4: Soziale Ordnung und öffentliche Interessen werden besonders stark gefährdet, oder die nationale Sicherheit wird stark gefährdet sein.
Stufe 5: Die nationale Sicherheit ist besonders stark gefährdet.
(2) Der Netzbetreiber legt während der Planungs- und Entwurfsphase das Sicherheitsschutzniveau des Netzes fest, und die Sachverständigen und zuständigen Behörden bestätigen dessen Niveau. Nach Bestätigung des Niveaus sollte der Netzbetreiber auch beim Organ der öffentlichen Sicherheit einreichen. (Artikel 16, 17, 18)
(3) Netzbetreiber sollten die erforderlichen Sicherheitsverpflichtungen erfüllen, und Betreiber von Netzen über Stufe 3 sollten auch besondere Sicherheitsverpflichtungen erfüllen. (Artikel 20 und 21)
(4) Wenn von Netzbetreibern gekaufte Netzprodukte und -dienste die nationale Sicherheit beeinträchtigen können, sollten diese Produkte und Dienste nationalen Sicherheitsüberprüfungen unterzogen werden, die von den Regulierungsbehörden organisiert werden. (Artikel 28)
(5) Netze über Stufe 3 müssen innerhalb des Landes unterhalten werden, und eine technische Fernwartung ist in Übersee nicht zulässig. (Artikel 29)
(6) Netzbetreiber sollten den Regulierungsbehörden die Überwachung der Netzsicherheit sowie Frühwarninformationen und Vorfälle zur Netzsicherheit melden, wichtige Schutzmechanismen für die Sicherheit von Daten und persönlichen Informationen festlegen sowie Notfallpläne für die Netzsicherheit formulieren und durchführen. (Artikel 30, 31, 32)
III. Abteilungsordnungen
1. Maßnahmen zur Überprüfung der Cybersicherheit in China (2020) 网络 安全 审查 办法
Mit den Maßnahmen soll überwacht werden, ob der Kauf von Netzwerkprodukten und -diensten durch Betreiber kritischer Informationsinfrastrukturen (im Folgenden als „Betreiber“ bezeichnet) die nationale Sicherheit beeinträchtigt. Die wichtigsten Punkte der Maßnahmen sind:
(1) Wenn der Kauf von Netzwerkprodukten und -diensten durch Betreiber die nationale Sicherheit beeinträchtigt oder beeinträchtigen kann, melden sich die Betreiber zur Überprüfung der Netzwerksicherheit beim der Cyberspace Administration of China angeschlossenen Büro für die Überprüfung der Netzwerksicherheit.
(2) Die Netzwerkprodukte oder -dienste umfassen Computer, Server, Speichergeräte, Datenbanken, Software und Cloud-Dienste.
(3) Das Büro für Netzwerksicherheitsprüfung prüft die folgenden Risiken: ob die Einrichtungen, die solche Produkte oder Dienstleistungen verwenden, beschädigt werden; ob die Daten durchgesickert sind; ob der Lieferkanal solcher Produkte oder Dienstleistungen sicher und stabil ist; ob der Anbieter solcher Produkte oder Dienstleistungen die chinesischen Gesetze einhält.
2. Sicherheitsbewertungsmethoden für Cloud Computing-Dienste (2019) 云 计算 服务 安全 评估 办法
Diese Sicherheitsbewertungsmethoden zielen darauf ab, die Sicherheit und Kontrollierbarkeit von Cloud-Computing-Diensten zu bewerten, die von der Partei und den Regierungsorganen sowie den wichtigsten Betreibern von Informationsinfrastrukturen erworben wurden. Die wichtigsten Punkte sind wie folgt:
(1) Die Sicherheitsbewertung von Cloud-Computing-Diensten konzentriert sich auf Folgendes: (i) die grundlegenden Informationen der Betreiber von Cloud-Plattformen; (ii) Hintergrund und Stabilität von Cloud-Diensteanbietern; (ii) die Sicherheit der Cloud-Plattformtechnologie, der Produkte und der Service-Lieferkette; (vi) die Fähigkeit zum Sicherheitsmanagement und die Sicherheitsmaßnahmen von Cloud-Diensteanbietern; (v) die Durchführbarkeit und Bequemlichkeit der Migration von Kundendaten; (iv) die Geschäftskontinuität von Cloud-Dienstanbietern.
(2) Cloud-Dienstanbieter können eine Sicherheitsbewertung auf Cloud-Plattformen beantragen, die Cloud-Computing-Dienste für die Partei- und Regierungsorgane sowie für wichtige Betreiber von Informationsinfrastrukturen bereitstellen.
In dieser Verordnung soll festgelegt werden, wie die Organe der öffentlichen Sicherheit die Sicherheitsüberwachung und -inspektion durchführen sollen, um sicherzustellen, dass Internetdienstanbieter und Internetnutzer die Cybersicherheitsverpflichtungen erfüllen.
Die wichtigsten Punkte der Maßnahmen sind:
(1) Das Ministerium für öffentliche Sicherheit ist für den Schutz der Verbindung zwischen dem Computernetz in China und dem internationalen Internet verantwortlich.
(2) Kein Unternehmen darf das internationale Internet nutzen, um illegale Inhalte zu veröffentlichen oder die Computersicherheit zu gefährden.
5. Vorschriften zu technischen Maßnahmen für die Cybersicherheit (2006) 互联网 安全 保护 技术 技术 规定
Diese Bestimmungen Ziel ist es, Internetdienstanbieter und Internetnutzer zu beaufsichtigen, technische Maßnahmen zur Cybersicherheit zu ergreifen und die normale Funktion technischer Maßnahmen zur Cybersicherheit sicherzustellen. Die Sicherheitsaufsichtsabteilung des öffentlichen Informationsnetzes des öffentlichen Sicherheitsorgans ist für die Überwachung der Umsetzung der technischen Maßnahmen zur Cybersicherheit verantwortlich.
IV. Richtlinien
Diese Notfallpläne zielen darauf ab, ein Notfallorganisationssystem und einen Arbeitsmechanismus für den Notfall im Bereich der öffentlichen Internetsicherheit einzurichten.
Die Maßnahmen zielen darauf ab, die Überwachung und Handhabung von Arbeiten auf Bedrohungen der Cybersicherheit des öffentlichen Internets zu verbessern, Sicherheitsrisiken zu beseitigen, Angriffe zu stoppen, Schäden zu vermeiden und Sicherheitsrisiken zu verringern. Bedrohungen für die Cybersicherheit des öffentlichen Internets beziehen sich auf Netzwerkressourcen, Schadprogramme, Sicherheitsrisiken oder Sicherheitsvorfälle, die im öffentlichen Internet existieren oder sich verbreiten und der Öffentlichkeit möglicherweise Schaden zufügen oder bereits zugefügt haben.
Der Katalog listet 15 Arten von Geräten und Produkten auf. Das chinesische Gesetz zur Cybersicherheit verlangt den Schutz kritischer Informationsinfrastrukturen vor Angriffen, Eindringen, Eingriffen und Schäden. Der Katalog gibt an, welche Geräte und Produkte zur kritischen Informationsinfrastruktur gehören.
Diese Maßnahmen zielen darauf ab, die Verwaltungsarbeit für lokale Regulierungsbehörden und Unternehmen mit Internetzugang zu leiten, die Internet-Rechenzentren (einschließlich Dienste für die Zusammenarbeit mit Internetressourcen), Internetzugangsdienste, Netzwerke zur Bereitstellung von Inhalten und andere Dienste für die Verwaltung der Nutzung und betrieblichen Wartung des Internets einsetzen Managementsysteme für Informationssicherheit.
Diese Stellungnahmen zielen darauf ab, die Einrichtung eines einheitlichen und maßgeblichen nationalen Netzwerksicherheitsstandardsystems und eines Standardisierungsmechanismus zu fördern. Die wichtigsten Punkte sind wie folgt:
(1) Einrichtung und kontinuierliche Verbesserung des Netzwerksicherheitsstandardsystems.
(2) Beteiligen Sie sich aktiv an der Formulierung internationaler Regeln und internationaler Standardregeln für den Cyberspace.
Diese Meinungen zielen darauf ab, die Disziplinentwicklung und Talentausbildung der chinesischen Cybersecurity Academy zu stärken.
Mit dieser Mitteilung sollen alle Regierungsstellen aufgefordert werden, den Sicherheitsschutz ihrer offiziellen Websites zu verbessern.
Diese Mitteilung gliedert sich in drei Teile mit dem Ziel, China zu ermutigen, bis Ende 3 zunächst ein industrielles Internet-Sicherheitssystem einzurichten.
V. Technischer Standard
1. Anforderungen an die Bewertung des Schutzes der Netzwerksicherheitsstufe 信息 安全 技术 网络 安全 等级 保护 保护 要求
2. Grundlegende Anforderungen für den Schutz der Netzwerksicherheitsstufe 信息 安全 技术 网络 安全 安全 等级 保护 保护 基本 基本
3. Sicherheitsanforderungen für die Netzwerksicherheit Sicherheitsanforderungen für das Sicherheitsdesign 信息 安全 技术 网络 安全 等级 保护 安全 安全 设计
Foto von Jéan Béller (https://unsplash.com/@jeanbeller) auf Unsplash