Da in diversen Gesprächen der letzten Zeit des öfteren China zur Sprache gekommen ist, habe ich in der Richtung etwas zum Thema Cybersecurity in China nachgelesen.
Ich muss sagen, dass ich mich in den letzten Monaten nicht damit beschäftigt habe.
Aus meiner Sicht stellt sich die Situation (unter anderem) wie folgt bedenklich dar.
Insbesondere für Unternehmen, die in China geschäftlich tätig sind und dies weiter sein wollen.
Seit einigen Monaten ist in China der Artikel 21 des Cybersecurity Law 2017 gesetzlich in Kraft.
So wie ich die Quellen verstehe, fallen klassische Niederlassungen in jedem Fall darunter und sollten, sofern dies nicht schon geschehen ist, dringend Vorkehrungen treffen.
In meiner Einschätzung verpflichtet dieses Gesetz eine (chinesische?) Zertifizierung nach MLPS 2.0 durchzuführen.
(MultiLevelProtectionSheme 2.0)
Warum ist das aus Sicht der Informationssicherheit relevant?
https://www.security-insider.de/cyber-security-und-datensicherheit-im-chinageschaeft-a-1031643/
Neben empfindlichen Strafen und Entzug der Geschäftslizenz kommt auch die Beschlagnahme von Equipment in Frage, dies verletzt dann gleich mehrere Schutzziele.
Aus Sicht der Informationssicherheit schlage ich vor:
- Die aktuelle Situation durch Legal und Risk Management zu prüfen und zu beurteilen.
- Im Falle einer mit meiner Einschätzung gleichlautenden Beurteilung:
o Die MLPS 2.0 Zertifizierung zu prüfen und umzusetzen, um damit die rechtlichen Vorgaben in China zu erfüllen.
o Dazu notwendige Mittel und (Personal-)Ressourcen bereitzustellen.
Insbesondere empfehle ich dazu folgendes Video zu sichten:
https://www.youtube.com/watch?v=2ErpSVCCfbQ
Weitere Quellen im Anhang.
Sofern mit Legal und Risk Management eine entsprechende Übereinstimmung herrscht, sind folgende nächste Schritte wohl relevant:
- Analyse relevanter Gesetze und Anforderungen in den Bereichen IT-Compliance, Netzwerksicherheit, Datenübertragung sowie Datenschutz
- Überprüfung bestehender Infrastrukturen in China im Hinblick auf die gesetzlichen Anforderungen zur Datensicherheit (erforderliche Zertifikate, Penetrationstest, White Hacking)
- Auswahl von Maßnahmen und Implementierung von Tools zur Erfüllung der neuen Vorschriften
- Konzeption und Durchführung von Compliance-Trainings für chinesische und asiatische Tochtergesellschaften
- Implementierung von Compliance-Managementsystemen
Siehe auch
https://www.chinabrand.de/de/kompetenzen/datensicherheit-und-compliance.html
******* Quellen ********
Behörden werden aktiv und streng kontrollieren.
(Dr. Hans Joachim Fuchs, Geschäftsführender Gesellschafter von CHINABRAND)
MLPS 1.0 seit 2007 in Kraft aber bislang kein Gesetzesrang
MLPS 2.0 seit 2017 mit dem Cybersecurity Law im Artikel 21 im Gesetzesrang
https://www.youtube.com/watch?v=2ErpSVCCfbQ
Definitionen wie MLPS 2.0 umgesetzt werden soll in weiteren Gesetzen seit 2019 / 2020
Es sind NUR private Haushalte ausgenommen.
Ausdrücklich alle Unternehmen – national wie international – sind betroffen!
„In dieser Hinsicht müssen Unternehmen mehrere Faktoren im Auge behalten, wenn sie sich mit einer Anfrage einer Justiz- oder Vollzugsbehörde zur Herausgabe von in China gespeicherten Daten befassen.
Diese beiden Gesetze werden übrigens voraussichtlich im Jahr 2021 verabschiedet und treten 2022 in Kraft. Unternehmen, die in China tätig sind, sollten sich jedoch unverzüglich darauf vorbereiten.“
https://www.business-keeper.com/wissen/blog/artikel/compliance-data-privacy-in-china
Durchführung in der Praxis
https://www.youtube.com/watch?v=5BaZkfkvAb8
Cybersecurity China 2021
https://www.youtube.com/watch?v=2ErpSVCCfbQ
Weitere Quellen
https://www.conventuslaw.com/report/china-cybersecurity-and-data-protection-review-of/
https://www.ionos.at/digitalguide/online-marketing/web-analyse/was-ist-das-social-credit-system/