Infraestructura de Información Crítica en China
Este elemento es una ampliación de las guías y los cursos de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs] La nueva ley sobre ciberseguridad de China impone requisitos especiales cuando se trata de lo que llama “infraestructura de información crítica” (CII). Por ejemplo, los operadores de CII deben seguir procedimientos especiales de seguridad, almacenar ciertos datos dentro de China continental, y utilizar un nuevo proceso de revisión de seguridad al comprar equipos o servicios de red.
Puntualización
Sin embargo, las empresas que trabajan o suministran una amplia gama de sectores en China se han enfrentado a una gran incertidumbre, porque la ley no define rigurosamente lo que cuenta como CII y lo que no.
Concepto de Infraestructura de Información Crítica en China
En julio 2017, el Consejo de estado de China emitió un nuevo proyecto de Reglamento (traducido al inglés por nosotros aquí) que proporciona el aspecto más autoritario aún en las definiciones de CII y los procesos que regirán los sectores cubiertos. Si bien se pueden esperar revisiones en respuesta a los comentarios públicos y de la industria, estos proyectos de Reglamento hacen claro que el alcance de la CII será bastante expansivo.
Observación
Además de los sectores mencionados anteriormente en la ley sobre ciberseguridad y otras medidas conexas, el capítulo 3 de la nueva reglamentación designa a sectores como los medios de comunicación, en particular las emisoras de radio, las estaciones de televisión, las agencias de noticias y otros trabajos de actualidad Unidades. También agrega saneamiento y asistencia sanitaria, además de unidades de trabajo que proporcionan Cloud Computing, grandes datos y otros servicios de red de información pública de gran envergadura.
Estos sectores específicos se unen a los sectores “servicios públicos de comunicación e información, poder, tráfico, recursos hídricos, finanzas, servicio público y e-gobierno” que ya se mencionan en la ley sobre ciberseguridad, pero las designaciones adicionales responderán solo a algunos preguntas de la industria. Esto es particularmente cierto porque, si bien el artículo 18 de estos proyectos de Reglamento enumera una serie de categorías relativamente amplias a las que podría pertenecer la CII, ARTICLE 19 requiere un proceso aparentemente discrecional para identificar y reconocer la CII, administrada por el Administración del ciberespacio de China (CAC), junto con el Ministerio de industria y tecnología de la información (MIIT) y el Ministerio de seguridad pública (MPS). A su vez, todos los ministerios de línea de la administración China tendrán que identificar y enumerar la CII dentro de su portafolio, una receta para una arrogantemente administrativa y una búsqueda de renta.
El creciente papel de las normas
Si las nuevas evidencias sobre cómo se definirá la CII aclaran algunas cuestiones, el proyecto de Reglamento también sugiere que se aclaren más aclaraciones al declarar que se utilizarán nuevas normas de ciberseguridad para orientar la labor de protección de la CII. Estas normas están probablemente en desarrollo por el Comité Nacional de normalización de la seguridad de la información, conocido como TC260, que está subordinado al CAC y parece estar ahora dominado por las prioridades del CAC. Sigue sin estar claro cuántos estándares relacionados con CII se están desarrollando, pero ya parece haber casi una docena, incluyendo algunos que entran en detalles más granulares acerca de cuántos usuarios debe tener un operador de red para ser considerado un operador de CII. Esto podría ser importante para los proveedores de comercio electrónico entre otros negocios.
Puntualización
Sin embargo, ya está claro que los principales jugadores de comercio electrónico, como alibaba, Tencent y JD.com, probablemente caigan bajo las reglas de la CII. Podrían incluirse, por ejemplo, como servicios en la nube y grandes proveedores de datos.
La referencia del nuevo proyecto a las normas también ayuda a aclarar las formas en que las normas formalmente no vinculantes se impondrán a través de la incorporación en las reglamentaciones, pero queda por ver cuán estrechamente se aplicarán en la práctica las normas detalladas. La referencia a las normas también subraya la naturaleza interconectada del régimen de política digital en desarrollo de China. Las leyes como la ley sobre ciberseguridad proporcionan amplios Marcos, mientras que las reglamentaciones y las medidas guían la implementación y añaden especificidad, y las normas proporcionan directrices más altamente técnicas que pueden clarificar principios de otra manera turbios.Entre las Líneas En un régimen intersectorial y entrelazado como este, es probable que los tomadores de decisiones en varios niveles mantengan una discreción significativa.
Visiones de una ciberseguridad coordinada “sistema de alerta temprana”
Los comentaristas chinos (por ejemplo aquí) han aclamado inicialmente este proyecto de Reglamento como una parte clave de la ley sobre ciberseguridad y una parte importante de la visión del Presidente Xi Jinping de un sistema de sensibilización sobre la situación de ciberseguridad de 24 horas para la CII. El proyecto de Reglamento guiaría el establecimiento de un “sistema de alerta temprana” en una amplia gama de sectores para ayudar a los operadores a prever amenazas y responder más rápidamente a los incidentes. Señalan que el Reglamento del artículo 38 pide el establecimiento de un sistema de intercambio de información sobre ciberseguridad entre el gobierno, el sector privado y la Academia. La sede del CAC y sus departamentos subordinados de ciberseguridad y de información a nivel provincial y más local reciben un papel protagónico en una serie de acciones y desarrollo de sistemas que se piden en el nuevo Reglamento, como la organización de compartiendo sistemas y realizando simulacros de respuesta de emergencia.
Responsabilidades superpuestas e incertidumbre
A pesar de que las empresas enfrentan los desafíos de un nuevo y cambiante entorno reglamentario, los funcionarios chinos se enfrentarán a grandes desafíos. Los reguladores en los sectores de la CII tienen un papel en la puesta en práctica y la aplicación de las normas una vez finalizados, y algunos reguladores sectoriales pueden resultar mejor preparados que otros. También existe una incertidumbre constante en el nuevo proyecto de Reglamento relativo a la aplicación del esquema de protección de múltiples niveles (MLPS) de la MPS, que describe los niveles de infraestructura crítica y viene con sus propias revisiones de seguridad, que el Referencias de la ley sobre ciberseguridad en relación con algunos operadores de CII. Con el CAC, al parecer, el principal redactor de la nueva reglamentación de la CII y tratando de reivindicar su primacía en la política de ciberseguridad en el contexto de las luchas en curso con los parlamentarios, el nuevo documento proporciona poca claridad acerca de la distinción en la práctica entre las revisiones en MLPS y bajo el nuevo régimen de revisión de ciberseguridad — un proceso separado llamado en la ley de ciberseguridad que se ha debatido en China en el contexto de la edición de Microsoft Windows 10 China Government. Algunos proveedores de servicios en la nube, por ejemplo, han recibido la certificación de nivel 3 bajo el MLPS, y el estatus de estas certificaciones sigue en duda bajo el nuevo marco.
Ampliar el alcance de la soberanía y el control local
El proyecto de Reglamento reitera los controvertidos requisitos de localización de datos en la ley sobre ciberseguridad: información personal y otros “datos importantes” — un término aún vago que sin duda será clarificado en las siguientes regulaciones y prácticas ministeriales — deben permanecer almacenados en territorio chino, con un proceso obligatorio de revisión de seguridad de datos salientes si se van a exportar.
Otros Elementos
Además, el nuevo proyecto de Reglamento requeriría que la “operación y mantenimiento” de la CII se llevara a cabo en territorio chino. Si bien esto parece evidente en lo que respecta a la infraestructura, como una red eléctrica fija en su lugar, el artículo 18 del proyecto de reglamento define la CII no sobre la base de la ubicación, sino de la propiedad.
Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):
Una Conclusión
Por lo tanto, por ejemplo, dado que las organizaciones de “investigación y producción” en sectores que incluyen alimentos, drogas y productos químicos pueden ser identificadas como CII, su infraestructura de información puede ser requerida para ser operada y mantenida desde dentro de China, incluso si se llevan a cabo actividades significativas en el extranjero. Lo mismo podría decirse de cualquier otro operador de CII. La cuestión de si tales requisitos violarían las disciplinas de la OMC puede surgir, pero no es tan importante a corto plazo: es improbable que un caso llegue pronto, e incluso si China perdiera ese caso, los efectos en la práctica probablemente serían muy limitados.
Puntualización
Sin embargo, estas disposiciones de localización más profundas pueden dificultar la internacionalización de los flujos de trabajo para las empresas que el gobierno de China podría ver como campeones nacionales y llevar a nuevas tensiones con las asociaciones empresariales internacionales.
Implementación de la ley de ciberseguridad
El artículo 31 del nuevo proyecto de Reglamento reitera la lengua en la ley sobre ciberseguridad que exige que los productos y servicios de red adquiridos por los operadores de redes deban someterse a una revisión de ciberseguridad en el marco de un nuevo régimen de revisión de la ciberseguridad — el mismo nuevo régimen que puede estar en tensión con el esquema de protección multi-nivel asociado (véase qué es, su concepto jurídico; y también su definición como “associate” en derecho anglo-sajón, en inglés) a MPS, como se ha comentado anteriormente. El nuevo régimen de examen está a la espera de una próxima etapa importante de la aplicación, incluido el nombramiento de organizaciones de revisión de terceros que evaluarán los productos y el establecimiento de un Comité de examen de ciberseguridad y un Comité de expertos asociado, como se pide en otro documento reglamentario reciente, las medidas provisionales de revisión de la seguridad para los productos y servicios de la red.
📬Si este tipo de historias es justo lo que buscas, y quieres recibir actualizaciones y mucho contenido que no creemos encuentres en otro lugar, suscríbete a este substack. Es gratis, y puedes cancelar tu suscripción cuando quieras: Qué piensas de este contenido? Estamos muy interesados en conocer tu opinión sobre este texto, para mejorar nuestras publicaciones. Por favor, comparte tus sugerencias en los comentarios. Revisaremos cada uno, y los tendremos en cuenta para ofrecer una mejor experiencia.El nuevo proyecto de Reglamento sobre CII vincula más explícitamente el régimen de revisión de ciberseguridad a los operadores de CII, y potencialmente amplía el alcance de las revisiones más allá de las cadenas de suministro, afectando así a las empresas que no pueden calificar como CII. Que las medidas de revisión de la seguridad están etiquetadas como “interinas”, destaca que el ajuste de todas las piezas del ambicioso marco que se reúne bajo la ley de ciberseguridad sigue siendo una labor en curso.
Autor: Williams
▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.