China verschärft Cybervorfall-Meldepflichten: Netzbetreiber haben künftig nur eine Stunde

Peking verschärft die Vorschriften für die Meldung von Cybervorfällen drastisch. Ab dem 1. November müssen chinesische Netzbetreiber schwerwiegende Sicherheitsvorfälle innerhalb von nur einer Stunde melden – bei besonders kritischen Vorfällen sogar binnen 30 Minuten. Andernfalls drohen empfindliche Strafen.

Die Cyberspace Administration of China (CAC) setzt damit neue, strengere Meldepflichten durch. Betroffen sind praktisch alle Anbieter von Netzwerkdiensten, von großen Internetfirmen bis zu kleineren Betreibern.

Die neuen Regeln verpflichten die Betreiber, detaillierte Berichte über den Vorfall vorzulegen: Welche Systeme betroffen waren, Ablauf und Art des Angriffs, entstandene Schäden, ergriffene Gegenmaßnahmen, vorläufige Ursachen, genutzte Schwachstellen und im Falle von Erpressung auch Lösegeldforderungen. Zusätzlich ist eine Prognose möglicher künftiger Schäden und des staatlichen Unterstützungsbedarfs erforderlich.

Die CAC definiert vier Schweregrade von Cybervorfällen, wobei die höchste Stufe „besonders schwerwiegend“ eine sofortige Meldung innerhalb von 30 Minuten verlangt. In diese Kategorie fallen unter anderem der Diebstahl sensibler Daten, die die nationale Sicherheit oder soziale Stabilität gefährden, die Offenlegung von über 100 Millionen Bürgerdaten oder Ausfälle wichtiger Regierungs- und Nachrichtenwebsites für mehr als 24 Stunden. Auch wirtschaftliche Schäden ab rund 10 Millionen Pfund lösen diese Einstufung aus.

Nach dem Erstbericht müssen die Betreiber innerhalb von 30 Tagen einen abschließenden Nachbericht einreichen, der Ursachenanalyse, gewonnene Erkenntnisse und Verantwortlichkeiten detailliert darlegt.

Die CAC warnt: Wer Vorfälle verschweigt oder verspätet meldet, muss mit harten Konsequenzen rechnen – sowohl Betreiber als auch zuständige Regierungsbeamte können zur Verantwortung gezogen werden. Um die Einhaltung zu überwachen, hat die Cyberpolizei mehrere Meldewege eingerichtet, darunter Hotline, Website, E-Mail und WeChat.

Im Vergleich dazu sieht die EU bei Sicherheitsverletzungen eine deutlich längere Frist von 72 Stunden vor. Chinas neue Regelungen setzen Netzbetreiber unter erheblichen Druck, ihre Überwachungs- und Compliance-Strukturen so auszubauen, dass Entscheidungen in Echtzeit getroffen werden können.

Schauen Sie mal hier vorbei

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky