Cybersicherheit in China (Teil 3)

Cybersicherheit in China (Teil 3)

07/2019

 

Übersetzung der "Cybersecurity Review Measures (Draft for Comment)".

Cybersicherheitsüberprüfungen für "kritische" Systeme

 

Einführung

Die Cyberspace Administration of China (CAC) hat am 21. Mai 2019 einen neuen Verordnungsentwurf veröffentlicht, der ein Cybersicherheitsüberprüfungssystem für Produkte und Dienstleistungen der Informationstechnologie im Zusammenhang mit der "nationalen Sicherheit" einführt. Die aktualisierte Version bietet neue Informationen in einem Bereich, in dem seit langem auf Klarheit gewartet wird, und sie steht im Zusammenhang mit dramatischen US-Massnahmen gegen China, zum Teil durch ein ähnliches Regulierungsinstrument.

 

Nach Abschluss und Umsetzung sollen diese neuen "Cybersecurity Review Measures (Draft for Comment)" frühere "interim" oder "trial" "Network Products and Services Security Review Measures"  ersetzen, die im Mai 2017 veröffentlicht wurden, kurz vor Inkrafttreten des chinesischen Cybersicherheitsgesetzes.

 

Das durch die bestehenden Übergangsregeln eingerichtete und im neuen Entwurf umgestaltete Überprüfungssystem soll eine Anforderung in Artikel 35 des Cybersicherheitsgesetzes erfüllen, wonach "Betreiber kritischer Informationsinfrastrukturen" (CII-Betreiber) beim Kauf von Netzwerkprodukten und -diensten, die die nationale Sicherheit beeinträchtigen können, einer nationalen Sicherheitsüberprüfung unterzogen werden müssen.

 

In ihrer ursprünglichen Form und über zwei Jahre andauernden Entwicklung haben Branchenexperten dieses Cybersicherheitsüberprüfungssystem als "Black Box"-Überprüfung bezeichnet, da die Kriterien und Prozesse, die für die Überprüfung eines Produkts oder einer Dienstleistung erforderlich sind, nicht klar waren - d.h. Kunden und Verkäufer hatten grosse Unsicherheit in ihrem Handeln, und die Beamten schienen über eine breite, undurchsichtige Diskretion zu verfügen.

 

Obwohl seit langem mit Aktualisierungen des Cybersicherheitsüberprüfungsregimes gerechnet wurde, bedeutet der Zeitpunkt dieser Veröffentlichung zwangsläufig, dass ihr Inhalt im Kontext der wirtschaftlichen Streitigkeiten zwischen den USA und China, die sich auf die Technologie konzentrieren, interpretiert wird.

 

Erstens haben die Handelsgespräche zwischen den USA und China mehrere wichtige Aspekte des Cybersicherheitsgesetzes berührt, darunter dieses System zur Überprüfung der Cybersicherheit im Einzelnen sowie einen weiteren wichtigen Massnahmenentwurf im Zusammenhang mit grenzüberschreitenden Datenflüssen. Mehrere Ergänzungen zu dieser Version scheinen darauf ausgerichtet zu sein, die Bedenken der US-amerikanischen und europäischen Interessen zu berücksichtigen, und es ist durchaus möglich, dass CAC mit der Veröffentlichung dieses Entwurfs abgewartet hatte, sollten Anpassungen erforderlich sein.

 

Zweitens spiegeln Elemente des neuen Entwurfs die Aktivitäten der USA wider, die politische und rechtliche Fragen mit der Sicherheit der Lieferkette verknüpfen, einschliesslich einer umfassenden Anordnung der Exekutive, die die Sicherheit von Produkten oder Dienstleistungen im Zusammenhang mit einem "ausländischen Gegner" in der vergangenen Woche überprüft, sowie der laufenden Bemühungen der USA, europäische und andere Partner davon zu überzeugen, Huawei-Netzwerkausrüstung in ihren Netzwerken zu verbieten oder einzuschränken, einschliesslich der "Prague Proposals" zur 5G-Sicherheit.

 

Die Veränderungen spiegeln aber auch inländische Entwicklungen wider, die wenig mit den Vereinigten Staaten zu tun haben. Dazu gehören: die Harmonisierung des Systems zur Überprüfung der Cybersicherheit mit den entsprechenden Regeln für die Überprüfung bestimmter Datentransfers aus China; ein bürokratischer Kompetenzstreit zwischen CAC und dem Ministerium für öffentliche Sicherheit, bei dem sich diese Überprüfungen und das MPS-verbundene mehrstufige Schutzsystem (MLPS) in der Zuständigkeit überschneiden; und die Ausweitung der Datenschutzbestimmungen.

 

Insgesamt spiegelt die jüngste Version der Massnahmen eine Reihe wichtiger Änderungen wider, wobei die vage und breite Sprache, die dem Ruf als "Black Box" entspricht, beibehalten wird. Im Folgenden werden einige wichtige Entwicklungen aufgezeigt.

 

Schutz des geistigen Eigentums (IP)

Diese Version enthält einen neuen Satz, der besagt, dass die Überprüfung "am Schutz der Rechte an geistigem Eigentum" festhält (Artikel 3). Diese neue Sprache ist wahrscheinlich eine Antwort auf die Kritik der US-Regierung und der Industriegruppen, dass der invasive und undurchsichtige Charakter der Sicherheitsüberprüfungen das IP von US-Unternehmen gefährden könnte.

 

Zementierung der Durchsetzungsrechte der Zentralkommission

Diese Version enthält zwei Erklärungen, in denen festgehalten wird, dass die Zentralkommission für Cybersicherheit und Informatisierung die führende Rolle im Prozess der Überprüfung der Cybersicherheit, der Entscheidungsfindung und der Durchsetzung spielt (Artikel 4 und 19). Diese gehören zu den ersten ausdrücklichen Hinweisen auf die Vollzugsbehörden der Kommission, die die «Mutter» von CAC sind. Die Erhebung der Kommission vom Status einer "Führungsgruppe" im vergangenen Jahr zielte darauf ab, die Macht zu konsolidieren, die durch das Gerangel um Einfluss unter den untergeordneten Stellen auf die Regeln für kritische Informationsinfrastrukturen gegeben war.

 

Datenschutz als neuer Impulsgeber für den Review-Prozess

Die Massnahmen bieten einige neue Details über Auslöser, die eine Überprüfung der Cybersicherheit erfordern würden (Artikel 6). Damit soll die Kritik ausgeräumt werden, dass die Vorgängerversion keine Informationen über die Bedingungen hatte, die eine Überprüfung erfordern würden, obwohl die Bedingungen recht vage bleiben. So schränkt beispielsweise das umfassende "Sonstige Risiken und Gefahren, die die Sicherheit kritischer Ausrüstungen der Informationsinfrastruktur ernsthaft gefährden" den Umfang der zu überprüfenden Massnahmen kaum ein.

 

Dennoch ist einer der Auslöser für eine Überprüfung in der neuen Version, ob "ein grosses Volumen an personenbezogenen Daten und wichtigen Daten offengelegt, verloren gehen, beschädigt oder aus dem Land geschafft werden könnte" (Artikel 6.2). Die Version 2017 hatte keinen Bezug zum Datenschutz jeglicher Art. Die Änderung spiegelt die zunehmende Bedeutung des Datenschutzes wider, insbesondere der "personenbezogenen Daten", da Peking den Aufbau eines Datenschutzsystems seit der Veröffentlichung des Cybersecurity Law beschleunigt hat.

 

Umfassende Befugnisse zur Blockierung von Produkten und Dienstleistungen auf der Grundlage von wahrgenommenen Lieferkettenunterbrechungsrisiken durch "ausländische Regierungen".

 

Die Massnahmen identifizieren die "Möglichkeit einer Unterbrechung der [Lieferkette] aufgrund nicht-technischer Faktoren wie Politik, Diplomatie und Handel" (10.3) und "Situationen, in denen Produkt- oder Dienstleistungsanbieter von ausländischen Regierungen finanziert, kontrolliert usw. werden" (10.6), als zwei Faktoren, die bei der Überprüfung der Cybersicherheit berücksichtigt werden müssen.

 

Die Hinzufügung dieser Faktoren kann eine direkte Reaktion auf die Massnahmen der USA gegen Huawei sein. Selbst wenn nicht, könnte ein Faktor (10.1) der chinesischen Regierung ausdrückliche Gründe geben, US-Unternehmen von CII auszuschliessen, insbesondere wenn die US-Regierung weiterhin die "Entity List" des Handelsministeriums nutzt, um die Lieferketten chinesischer Unternehmen zu unterbrechen. In der Zwischenzeit haben Beamte in mehreren Verwaltungseinheiten einen grossen Spielraum, um Bewertungen für jedes Netzwerkprodukt oder jede Dienstleistung vorzuschlagen, wenn sie "glauben", dass es "die nationale Sicherheit beeinflussen kann" (Artikel 19).

 

Bitte beachten Sie, dass dies keine offizielle Übersetzung ist.

 


 

Cyberspace Administration of China Bekanntmachung über die Veröffentlichung zur Kommentierung von "Cybersecurity Review Measures (Draft for Comment)".

Um das Niveau der Sicherheit und Kontrollierbarkeit in kritischen Informationsinfrastrukturen zu erhöhen, die nationale Sicherheit zu wahren, in Übereinstimmung mit dem Gesetz über die nationale Sicherheit der Volksrepublik China, dem Cybersicherheitsgesetz der Volksrepublik China und anderen Gesetzen und Vorschriften;
Die Cyberspace Administration of China,
die National Reform and Development Commission,
das Ministry of Industry and Information Technology,
das Ministry of Public Security, das Ministry of State Security,
das Ministry of Commerce,
das Ministry of Finance,
die People's Bank of China,
die State Administration for Market Regulation,
die National Radio and Television Administration,
die National Administration of State Secrets Protection und
das Office of the State Commercial Cryptography Administration haben gemeinsam die "Cybersecurity Review Measures (Draft for Comment)" erarbeitet und veröffentlicht, um die Gesellschaft um Stellungnahme zu bitten. Die breite Öffentlichkeit kann die folgenden Kanäle nutzen, um Feedback und Meinungen abzugeben. …

 

Übersetzung

 

Cybersicherheitsüberprüfungsmassnahmen (Entwurf zur Stellungnahme)

 

Artikel 1: Um das Sicherheitsniveau und die Kontrollierbarkeit kritischer
Informationsinfrastrukturen zu verbessern und die nationale Sicherheit zu schützen, werden diese Massnahmen in Übereinstimmung mit dem nationalen Sicherheitsgesetz der Volksrepublik China, dem Cybersicherheitsgesetz der Volksrepublik China und anderen Gesetzen und Vorschriften formuliert.

 

Artikel 2: Betreiber kritischer Informationsinfrastrukturen (nachstehend Betreiber genannt), die Netzprodukte und -dienste beschaffen, die die nationale Sicherheit beeinflussen oder beeinflussen könnten, sollten gemäss diesen Massnahmen eine Überprüfung der Cybersicherheit durchführen. Soweit in den Rechts- und Verwaltungsvorschriften andere Bestimmungen enthalten sind, gelten diese Bestimmungen und sind zu beachten.

 

Artikel 3: Die Cybersicherheitsüberprüfungen bestehen zum Schutz vor Cybersicherheitsrisiken und zur Förderung des Einsatzes fortschrittlicher Technologien, zur Stärkung von Fairness und Transparenz sowie zum Schutz der Rechte an geistigem Eigentum, zur Vorprüfung und laufenden Überwachung, zur Integration von Unternehmensverpflichtung und sozialer Aufsicht; und, aus Sicht der Produkt- und Dienstleistungssicherheit, zu einer umfassenden Analyse und Bewertung potenzieller nationaler Sicherheitsrisiken und -gefahren.

 

Artikel 4: Die Zentralkommission für Cybersicherheit und Information leitet die Arbeiten zur Überprüfung der Cybersicherheit.

 

Artikel 5: Die Cyberspace Administration of China, mit der National Development and Reform Commission, dem Ministry of Industry and Information Technology, dem Ministry of Public Security, dem Ministry of Commerce, dem Ministry of Finance, der People's Bank of China, der State Administration for Market Regulation, der National Radio and Television Administration, der National Administration of State Secrets Protection und dem Office of the State Commercial Cryptography Administration, schafft einen Mechanismus zur Überprüfung der Internetsicherheit. Das Cybersecurity Review Office ist Teil der Cyberspace Administration of China und ist verantwortlich für die Organisation der Umsetzung der Cybersicherheitsüberprüfung und des damit verbundenen Systems von Vorschriften und Arbeitsprozessen, die Organisation der Cybersicherheitsüberprüfung und die Überwachung der Umsetzung von Entscheidungen über die aufsichtsrechtliche Überprüfung.

 

Artikel 6: Wenn Betreiber Netzwerkprodukte und -dienste kaufen, sollten die potenziellen Sicherheitsrisiken von Betriebsprodukten und -dienstleistungen nach dem Betrieb antizipiert und ein Sicherheitsrisikobericht erstellt werden. Wenn die folgenden Umstände eintreten können, sollte eine Cybersicherheitsüberprüfung dem Cybersicherheitsüberprüfungsbüro gemeldet werden:

  1. Die Ausrüstung der kritischen Informationsinfrastruktur ist ausgefallen oder die Hauptfunktion kann nicht normal funktionieren;
  2. Ein grosses Volumen an personenbezogenen Daten und wichtigen Daten wurde offengelegt, verloren, beschädigt oder ins Ausland übermittelt;
  3. Der Schutz der Betriebsabläufe von Anlagen der kritischen Informationsinfrastruktur, der technische Support sowie Upgrades und Ersatzmassnahmen sind mit Sicherheitsrisiken in der Lieferkette verbunden.
  4. Andere Risiken und Gefahren, die die Sicherheit kritischer Einrichtungen der Informationsinfrastruktur ernsthaft gefährden.

 

Artikel 7: In Bezug auf Einkaufsaktivitäten, die einer Cybersicherheitsprüfung unterzogen werden sollen, sollten Betreiber Kaufdokumente, Verträge oder andere verbindliche Mittel verwenden, um Produkt- und Dienstleistungsanbieter zur Zusammenarbeit mit der Cybersicherheitsprüfung zu verpflichten, und mit Produkt- und Dienstleistungsanbietern vereinbaren, dass die Vereinbarung mit der Verabschiedung der Cybersicherheitsprüfung wirksam wird.

 

Artikel 8: Wenn ein Betreiber sich einer Überprüfung der Cybersicherheit stellt, sind die folgenden Materialien vorzulegen:

  1. Eine schriftliche Erklärung;
  2. Ein Sicherheitsrisikobericht gemäss Artikel 6 dieser Massnahmen;
  3. Ein Beschaffungsvertrag, eine Vereinbarung, etc.;
  4. Andere Materialien, die vom Cybersecurity Review Office benötigt werden.

 

Artikel 9: Nachdem das Cybersecurity Review Office einen Überprüfungsantrag entgegengenommen hat, muss es innerhalb von 30 Arbeitstagen eine vorläufige Überprüfung abschliessen; in komplexen Fällen kann die Überprüfung um weitere 15 Arbeitstage verlängert werden.

 

Artikel 10: Die Cybersicherheitsüberprüfung konzentriert sich auf die Bewertung der potenziellen nationalen Sicherheitsrisiken, die durch Beschaffungsaktivitäten entstehen, wobei hauptsächlich die folgenden Faktoren berücksichtigt werden:

  1. Die Auswirkungen auf den kontinuierlichen, sicheren und stabilen Betrieb kritischer Informationsinfrastrukturen, einschliesslich der Möglichkeit, dass kritische Informationsinfrastrukturen überwacht werden können oder dass die Business Continuity beeinträchtigt werden könnte;
  2. Die Möglichkeit, dass grosse Mengen an personenbezogenen Daten und wichtigen Daten durchsickern, beschädigt, verloren gehen oder aus dem Land entfernt werden können, etc.;
  3. Die Möglichkeit, dass die Kontrollierbarkeit, Transparenz und Lieferkettensicherheit eines Produkts oder einer Dienstleistung gestört werden könnte, einschliesslich der Möglichkeit von Störungen aufgrund nichttechnischer Faktoren wie Politik, Diplomatie und Handel;
  4. Die Auswirkungen auf die Verteidigungsindustrie oder Branchen und Technologien im Zusammenhang mit kritischen Informationsinfrastrukturen;
  5. Die Einhaltung der Gesetze und Vorschriften des Landes durch Produkt- oder Dienstleistungsanbieter sowie die Verpflichtung, die damit verbundenen Verantwortlichkeiten und Pflichten zu übernehmen;
  6. Situationen, in denen Produkt- oder Dienstleistungsanbieter von ausländischen
    Regierungen finanziert, kontrolliert usw. werden;
  7. Andere Faktoren, die die Sicherheit kritischer Informationsinfrastrukturen oder die nationale Sicherheit gefährden könnten.

 

Artikel 11: Das Cybersecurity Review Office erstellt nach Abschluss der Vorprüfung einen Vorschlag für eine Schlussfolgerung und legt ihn den Arbeitsgruppen des Arbeitsmechanismus für die Überprüfung der Cybersicherheit vor, um Meinungen einzuholen. Die vorgeschlagene Schlussfolgerung der Überprüfung soll drei Arten umfassen: das Bestehen der Überprüfung, das bedingte Bestehen der Überprüfung und das Nichtbestehen der Überprüfung.

 

Die Arbeitseinheiten geben innerhalb von 15 Arbeitstagen schriftliche Stellungnahmen ab. Wenn die Stellungnahmen der Arbeitseinheiten übereinstimmen, wird das Cybersicherheitsüberprüfungsbüro dem Betreiber die Prüfungsergebnisse schriftlich zukommen lassen; wenn die Stellungnahmen nicht übereinstimmen, ist das besondere Überprüfungsverfahren einzuleiten und der Betreiber zu benachrichtigen.

 

Artikel 12: Wird das besondere Überprüfungsverfahren eingeleitet, so erstattet das Cybersicherheitsüberprüfungsbüro nach weiterer Anhörung von Stellungnahmen der zuständigen Dienststellen, Fachgremien und Experten Bericht, führt eine eingehende Analyse und Bewertung durch, erstellt einen Vorschlag für eine Überprüfungsschlussfolgerung und holt Stellungnahmen von Arbeitseinheiten der Arbeitsgruppen der Cybersicherheitsinspektion ein und erstattet der Zentralen Kommission für Cybersicherheit und Informatisierung Bericht über die Angelegenheit zur Genehmigung gemäss dem Verfahren.

 

Artikel 13: Besondere Überprüfungen sind grundsätzlich innerhalb von 45 Arbeitstagen abzuschliessen; bei komplexen Umständen kann dieser Zeitraum verlängert werden.

 

Artikel 14: Wenn das Cybersecurity Review Office die Bereitstellung von zusätzlichen Dokumenten usw. verlangt, müssen die Betreiber zusammenarbeiten. Die Überprüfungszeit ist ab dem Datum der Einreichung zusätzlicher Materialien zu berechnen.

 

Die Betreiber tragen die Verantwortung für die Richtigkeit der von ihnen vorgelegten Materialien. Weigern sie sich, Materialien vorschriftsmässig zur Verfügung zu stellen oder stellen sie während des Inspektionsprozesses vorsätzlich falsche Materialien zur Verfügung, so gelten sie als nicht sicherheitsüberprüft.

 

Artikel 15: Das an Cybersicherheitsüberprüfungen teilnehmende Personal ist zur Geheimhaltung über die Informationen, die es während der Überprüfungsarbeit erhält, verpflichtet und darf sie nicht für andere Zwecke als die Überprüfung verwenden.

 

Artikel 16: Die Betreiber müssen das Sicherheitsmanagement stärken und die Produkt- und Dienstleistungsanbieter auffordern, die in den Cybersicherheitsüberprüfungen eingegangenen Verpflichtungen ernsthaft zu erfüllen.

 

Das Cybersecurity Review Office soll die Aufsicht und das Management während und nach ihrer Arbeit durch Stichproben, die Annahme von Berichten und andere Mittel stärken.

 

Artikel 17: Wenn Betreiber gegen die Bestimmungen dieser Massnahmen verstossen, werden sie gemäss den Bestimmungen von Artikel 65 des Cybersicherheitsgesetzes der Volksrepublik China bestraft.

 

Artikel 18: In diesen Massnahmen bezieht sich der Begriff "Betreiber kritischer Informationsinfrastrukturen" auf Betreiber, die von den Arbeitsbereichen für den Schutz kritischer Informationsinfrastrukturen benannt werden.

 

"Sicher und kontrollierbar" bezieht sich auf die Tatsache, dass Produkt- und Dienstleistungsanbieter die günstigen Bedingungen der von ihnen bereitgestellten Produkte oder Dienstleistungen nicht nutzen dürfen, um illegal Benutzerdaten zu erhalten, Benutzergeräte illegal zu überwachen oder zu betreiben, und dass sie das Vertrauen der Benutzer in Produkte oder Dienstleistungen nicht nutzen dürfen, um unangemessenen Nutzen zu erzielen oder Benutzer zu zwingen, diese zu erneuern oder zu aktualisieren usw.

 

Artikel 19: Wenn die Arbeitseinheiten des Arbeitsmechanismus für die Cybersicherheitsinspektion glauben, dass die Beschaffungsaktivitäten von Netzwerkprodukten und -dienstleistungen oder die Aktivitäten von IT-Dienstleistungen die nationale Sicherheit beeinflussen oder beeinflussen können, berichtet das Cybersicherheitsüberprüfungsamt gemäss dem Verfahren an die Zentrale Kommission für Cybersicherheit und Informationstechnologie zur Genehmigung und führt Inspektionen gemäss diesen Massnahmen durch.

 

Artikel 20: Wenn es sich um Informationen über Staatsgeheimnisse handelt, gelten die einschlägigen nationalen Geheimhaltungsbestimmungen.

 

Artikel 21: Diese Massnahmen treten in Kraft am (Tag, Monat, Jahr), die "Network Product and Service Security Review Measures (Trial)" werden gleichzeitig abgeschafft.

 

Newamerica.org; Samm Sacks, Rogier Creemers, Lorand Laskai, Paul Triolo, Graham Webster; 24.05.2019
Übersetzung bow
www.newamerica.org
https://creativecommons.org/licenses/by/4.0/

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr
Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung