Neue Umsetzungsvorschriften zu Datenschutz und IT-Sicherheit in China - Update zum Cybersecurity Gesetz
Sehr geehrte Damen und Herren,
nach einer kurzen Schaffenspause haben die chinesischen Behörden im Monat Juni gleich ein ganzes Paket an Vorschriften vorgelegt.
1. Neue Entwürfe für nationale Standards zu IT-Sicherheit und Datenschutz
Entwürfe für gleich 24 (!) neue Standards veröffentlichte das National Information Security Standardisation Technical Committee (TC260) Mitte Juni. Die nationalen Standards werden in der Regel als zur Einhaltung empfohlene Standards erlassen. Faktisch können diese Empfehlungen aber zur Verpflichtung werden, z.B. wenn Aufsichtsbehörden, Prüfstellen oder Kunden die Einhaltung verlangen oder sich Best Practices entwickeln.
Zu den wichtigsten Standards dieser Reihe von Veröffentlichungen zählen
- Security impact assessment guide of personal information (hierzu unten gleich mehr)
- Cybersecurity protection requirements of critical information infrastructure
- Security controls of critical information infrastructure
- Security techniques – Network security – Part 1: Overview and concepts
- Security techniques – Network security – Part 2: Guidelines for the design and implementation of network security
Daneben widmen sich diverse Standards branchenspezifischen Spezialthemen. Diese dürften insbesondere für spezialisierte Unternehmen im Bereich der Produktion interessant sein, z.B.
- Cybersecurity guide for automotive electronics systems
- Security technical requirements for operating system on smart mobile terminal
- Secure coding guide for application software
Bis zum 25. Juli können die Entwürfe kommentiert werden.
Für Unternehmen in China ist der wohl wichtigste Entwurf der Security Impact Assessment Guide (zu Deutsch „Sicherheits-Folgenabschätzung“).
Die Folgenabschätzung kennen wir bereits aus dem im Mai in Kraft getretenen Standard “Personal Information Security Specification”, der erläutert, wie Unternehmen personenbezogene Daten in China gesetzeskonform verarbeiten können. Diese sollen mit der Folgenabschätzung mindestens einmal jährlich prüfen, ob ihre Verarbeitungsprozesse den datenschutzrechtlichen Grundsätzen genügen, welche Risiken bestehen und ob geeignete Sicherheitsmaßnahmen getroffen werden. Der „Security Impact Assessment Guide“ erläutert nun, in welchen Schritten die Folgenabschätzung vorzunehmen ist und gibt außerdem eine Anleitung, wie die Durchführung dokumentiert werden kann. Im Ergebnis ähnelt dies dem Verfahrensverzeichnis und der Datenschutzfolgenabschätzung, die Unternehmen in Europa nach der DGSVO erstellen müssen.
Ein Bonbon enthält der Entwurf für kleine und mittlere Unternehmen (KMU). Diesen wird ausdrücklich zugestanden, das Assessment „in angemessenem Umfang“ durchzuführen. Das heißt, Unternehmen, die z.B. nur die Daten ihrer Mitarbeiter erfassen, können verkürzte Assessments durchführen. Außerdem wird erstmalig erwähnt, dass KMU sich für die Bewertung ihrer Verarbeitungsprozesse externe Hilfe einholen können.
Mehr hierzu finden Sie unten im WZR Update zum Security Impact Assessment als pdf zum Download.
2. Entwurf für “Cybersecurity Multi-level Protection Regulation”
Das Ministry of Public Security hat am 27.06.2018 einen Entwurf für die “Cybersecurity Multi-level Protection Regulation” vorgelegt. Gegenstand der Regelung sind technische Anforderungen an die IT-Sicherheit. Unternehmen werden mit Blick auf die mit ihrer Tätigkeit verbundenen Risiken in fünf Kategorien eingeteilt und sollen dann entsprechende technische Anforderungen erfüllen.
Die Regelung wird konkretisiert werden durch eine Vielzahl weiterer Regelungen, meist in der Form nationaler Standards (siehe z.B. oben), die die Pflichten weiter erklären und konkrete Gestaltungsvorgaben machen.
3. Endgültige nationale Standards für industrielle Kontrollsysteme
Das Standardisierungskomitee hat am 13.06.2018 verschiedene Standards für industrielle Kontrollsysteme veröffentlicht, z.B.
- Industrial Control System Safety Management Basic Requirements
- Industrial Control System Information Security Classification Specification
- Industrial Control System Risk Assessment Implementation Guide
Die vorgenannten Standards haben das Entwurfsstadium bereits verlassen und finden ab dem 01.01.2019 Anwendung. Die Standards sind zwar nur zur Anwendung empfohlen. Anbieter von industriellen Kontrollsystemen sollten sich gleichwohl mit den Standards auseinandersetzen, da diese beispielsweise bei ggf. erforderlichen Sicherheitsüberprüfungen durch die Behörden als Maßstab herangezogen werden können.
4. CNCA veröffentlicht Informationen zu Tests von Netzwerkprodukten und –Services
Nach dem Cybersecurity Gesetz müssen bestimmte Netzwerkprodukte und –Services – insbesondere solche, die für die Verwendung in kritischen Infrastrukturen vorgesehen sind – Sicherheitsüberprüfungen durchlaufen. Die CNCA (Certification and Accreditation Administration) hat am 19.06.2018 eine Liste der Stellen veröffentlicht, die diese Prüfungen vornehmen dürfen. Am 02.07.2018 folgte noch die Veröffentlichung der Durchführungsbestimmungen für die Sicherheitstests.
Die Regelungen gelten zunächst nur für im „Catalogue on Critical Network Equipment and Specialised Network Security Products (First Batch)“ bezeichnete Produkte wie Router oder Firewalls. Diese Liste wird jedoch im Laufe der Zeit erweitert werden. Anbieter von Netzwerkprodukten und –Services, die potentiell bzw. indirekt der Prüfpflicht unterfallen, z.B. weil sie an Betreiber Kritischer Infrastrukturen verkaufen, sollten sich daher mit den behördlichen Institutionen vertraut machen, Prüfverfahren kennenlernen und ggf. erste Kontakte aufbauen.
Sie benötigen Hilfe bei der Umsetzung der Pflichten des Cybersecurity Gesetzes? WZR unterstützt Sie unter anderem in folgenden Bereichen:
- Feststellung der individuellen Pflichten ihres Unternehmens nach dem Cybersecurity Gesetz
- Schulung Ihrer Mitarbeiter zu datenschutzrechtlichen Anforderungen in China
- Beratung zur Umsetzung des Gesetzes im Unternehmen: Updates von Arbeitsverträgen, Mitarbeiterhandbüchern und internen Richtlinien
- Prüfung von Produkten und Services auf Konformität mit dem chinesischen Cybersecurity Gesetz
- Prüfung und Formulierung von Verträgen mit IT-Dienstleistern und Kunden
- Formulierung von Datenschutzerklärungen für Ihre Website
- Laufende Informationen zu aktuellen Entwicklungen rund um das Cybersecurity Gesetz
Ansprechpartner:
Jost Blöchl
Florian Kessler