El 17 de agosto de 2021, el Consejo de Estado promulgó la “Reglamento de protección de la seguridad sobre la infraestructura de información crítica (en adelante,“ el Reglamento ”, 关键 信息 基础 设施 安全 保护 条例), que entró en vigor el 1 de septiembre de 2021.
Hay 51 artículos en seis capítulos. El Reglamento prevé la identificación de la infraestructura de información crítica, las responsabilidades y obligaciones de los operadores de la infraestructura de información crítica, la garantía y promoción de la infraestructura de información crítica y las responsabilidades legales pertinentes.
La infraestructura de información crítica en el Reglamento se refiere a las instalaciones de red y los sistemas de información importantes en industrias y campos importantes, como los servicios públicos de comunicación e información, energía, transporte, conservación del agua, finanzas, servicios públicos, servicios de gobierno electrónico e industria de la ciencia y la tecnología. de defensa nacional, así como otras importantes instalaciones de red y sistemas de información que pueden poner en grave peligro la seguridad nacional, la economía nacional, los medios de vida de las personas o los intereses públicos en caso de daños, mal funcionamiento o filtración de datos.
De conformidad con el Reglamento, un operador deberá establecer y mejorar el sistema de protección y rendición de cuentas de la ciberseguridad y garantizar la entrada de recursos humanos, financieros y materiales. La persona principal a cargo del operador asumirá la responsabilidad general de la protección de seguridad de la infraestructura de información crítica, liderará la protección de seguridad de la infraestructura de información crítica y la eliminación de los principales eventos de ciberseguridad, y organizará el estudio sobre la resolución de los principales problemas de ciberseguridad. Además, un operador deberá realizar la detección de ciberseguridad y la evaluación de riesgos en la infraestructura de información crítica por sí mismo o por un proveedor de servicios de ciberseguridad encargado al menos una vez al año, rectificar rápidamente los problemas de seguridad descubiertos y reportar la información relevante según lo requieran las autoridades de protección. A un operador que infrinja el Reglamento se le puede ordenar que haga correcciones, recibir una advertencia, imponer una multa u otras sanciones administrativas, o incluso puede ser procesado por responsabilidad penal si el acto constituye un delito.
Foto de portada por Esteban Tafra (https://unsplash.com/@stafra) en Unsplash
Colaboradores: Equipo de colaboradores del personal de CJO