El 27 de junio de 2018, el Ministerio de Seguridad Pública con base en el artículo 21 de la Ley de Ciberseguridad, redactó el “Reglamento sobre Niveles de Protección de Ciberseguridad” y anunció su borrador para solicitar opiniones de la ciudadanía.
Hasta el momento, el proyecto aún no se ha convertido en una ley promulgada oficialmente.
Los puntos centrales del borrador son los siguientes:
(1) El sistema de red se dividirá en cinco niveles de protección de seguridad de acuerdo con su importancia en la seguridad nacional, la construcción económica y la vida social.
La importancia del sistema de red aumenta gradualmente desde el primer nivel hasta el quinto nivel. (Artículo 15)
Los sistemas de red de diferentes niveles indican el grado en que los intereses relevantes pueden verse perjudicados en el caso de un incidente de seguridad de la red del sistema de red en ese nivel, de la siguiente manera:
Nivel 1: No se pondrán en peligro la seguridad nacional, el orden social y los intereses públicos;
Nivel 2: Se pondrán en peligro el orden social y los intereses públicos, y no se pondrá en peligro la seguridad nacional;
Nivel 3: el orden social y los intereses públicos se verán seriamente amenazados o la seguridad nacional estará en peligro;
Nivel 4: El orden social y los intereses públicos se verán particularmente en peligro, o la seguridad nacional se verá seriamente amenazada;
Nivel 5: La seguridad nacional está particularmente en peligro.
(2) El operador de la red determinará el nivel de protección de seguridad de la red durante la etapa de planificación y diseño, y los expertos y las autoridades competentes confirmarán su nivel. Una vez confirmado el nivel, el operador de la red también debe presentar una solicitud ante el órgano de seguridad pública. (Artículos 16, 17, 18)
(3) Los operadores de red deben cumplir las obligaciones de seguridad necesarias, y los operadores de redes por encima del Nivel 3 también deben cumplir obligaciones especiales de protección de la seguridad. (Artículos 20 y 21)
(4) Si los productos y servicios de red adquiridos por los operadores de red pueden afectar a la seguridad nacional, dichos productos y servicios deben someterse a revisiones de seguridad nacional organizadas por las autoridades reguladoras. (Artículo 28)
(5) Las redes por encima del Nivel 3 se mantendrán dentro del país y no se permitirá el mantenimiento técnico remoto en el extranjero. (Artículo 29)
(6) Los operadores de red deben notificar el monitoreo de la seguridad de la red y la información de alerta temprana y los incidentes de seguridad de la red a las autoridades reguladoras, establecer mecanismos importantes de protección de seguridad de datos e información personal, y formular y ejecutar planes de emergencia de seguridad de la red. (Artículos 30, 31, 32)