Am 27. Juni 2018 entwarf das Ministerium für öffentliche Sicherheit auf der Grundlage von Artikel 21 des Gesetzes über Cybersicherheit die „Vorschriften zum Schutzniveau der Cybersicherheit“ und kündigte seinen Entwurf zur Einholung von Stellungnahmen der Öffentlichkeit an.
Bis jetzt ist der Entwurf noch kein offiziell verkündetes Gesetz.
Die Kernpunkte des Entwurfs sind wie folgt:
(1) Das Netzwerksystem wird entsprechend seiner Bedeutung für die nationale Sicherheit, den wirtschaftlichen Aufbau und das soziale Leben in fünf Sicherheitsschutzstufen unterteilt.
Die Bedeutung des Netzwerksystems steigt allmählich von der ersten auf die fünfte Ebene. (Artikel 15)
Netzwerksysteme verschiedener Ebenen geben wie folgt an, inwieweit relevante Interessen im Falle eines Netzwerksicherheitsvorfalls des Netzwerksystems auf dieser Ebene geschädigt werden können:
Stufe 1: Nationale Sicherheit, soziale Ordnung und öffentliche Interessen werden nicht gefährdet.
Stufe 2: Soziale Ordnung und öffentliche Interessen werden gefährdet, und die nationale Sicherheit wird nicht gefährdet.
Stufe 3: Die soziale Ordnung und die öffentlichen Interessen werden ernsthaft gefährdet, oder die nationale Sicherheit wird gefährdet.
Stufe 4: Soziale Ordnung und öffentliche Interessen werden besonders stark gefährdet, oder die nationale Sicherheit wird stark gefährdet sein.
Stufe 5: Die nationale Sicherheit ist besonders stark gefährdet.
(2) Der Netzbetreiber legt während der Planungs- und Entwurfsphase das Sicherheitsschutzniveau des Netzes fest, und die Sachverständigen und zuständigen Behörden bestätigen dessen Niveau. Nach Bestätigung des Niveaus sollte der Netzbetreiber auch beim Organ der öffentlichen Sicherheit einreichen. (Artikel 16, 17, 18)
(3) Netzbetreiber sollten die erforderlichen Sicherheitsverpflichtungen erfüllen, und Betreiber von Netzen über Stufe 3 sollten auch besondere Sicherheitsverpflichtungen erfüllen. (Artikel 20 und 21)
(4) Wenn von Netzbetreibern gekaufte Netzprodukte und -dienste die nationale Sicherheit beeinträchtigen können, sollten diese Produkte und Dienste nationalen Sicherheitsüberprüfungen unterzogen werden, die von den Regulierungsbehörden organisiert werden. (Artikel 28)
(5) Netze über Stufe 3 müssen innerhalb des Landes unterhalten werden, und eine technische Fernwartung ist in Übersee nicht zulässig. (Artikel 29)
(6) Netzbetreiber sollten den Regulierungsbehörden die Überwachung der Netzsicherheit sowie Frühwarninformationen und Vorfälle zur Netzsicherheit melden, wichtige Schutzmechanismen für die Sicherheit von Daten und persönlichen Informationen festlegen sowie Notfallpläne für die Netzsicherheit formulieren und durchführen. (Artikel 30, 31, 32)