Em 27 de junho de 2018, o Ministério da Segurança Pública, com base no Artigo 21 da Lei de Segurança Cibernética, elaborou o “Regulamento dos Níveis de Proteção da Segurança Cibernética” e divulgou sua minuta para solicitação de opinião do público.
Até agora, o projeto ainda não se tornou uma lei oficialmente promulgada.
Os pontos principais do projeto são os seguintes:
(1) O sistema de rede será dividido em cinco níveis de proteção de segurança, de acordo com sua importância na segurança nacional, construção econômica e vida social.
A importância do sistema de rede aumenta gradualmente do primeiro ao quinto nível. (Artigo 15)
Os sistemas de rede de diferentes níveis indicam o grau em que interesses relevantes podem ser prejudicados no caso de um incidente de segurança de rede do sistema de rede nesse nível, como segue:
Nível 1: Segurança nacional, ordem social e interesse público não serão ameaçados;
Nível 2: a ordem social e os interesses públicos estarão em perigo e a segurança nacional não estará em perigo;
Nível 3: a ordem social e os interesses públicos estarão seriamente ameaçados ou a segurança nacional estará em perigo;
Nível 4: a ordem social e os interesses públicos ficarão particularmente ameaçados, ou a segurança nacional estará seriamente ameaçada;
Nível 5: a segurança nacional está seriamente ameaçada.
(2) O operador da rede deve determinar o nível de proteção da segurança da rede durante a fase de planeamento e conceção e os peritos e autoridades competentes devem confirmar o seu nível. Após a confirmação do nível, a operadora da rede também deve entrar com o arquivo no órgão de segurança pública. (Artigos 16, 17, 18)
(3) Os operadores de rede devem cumprir as obrigações de segurança necessárias e os operadores de redes acima do Nível 3 também devem cumprir as obrigações especiais de proteção de segurança. (Artigos 20 e 21)
(4) Se os produtos e serviços de rede adquiridos por operadoras de rede podem afetar a segurança nacional, tais produtos e serviços devem ser submetidos a análises de segurança nacional organizadas por autoridades regulatórias. (Artigo 28)
(5) Redes acima do Nível 3 devem ser mantidas dentro do país, e manutenção técnica remota não deve ser permitida no exterior. (Artigo 29)
(6) Os operadores de rede devem relatar o monitoramento da segurança da rede e informações de alerta precoce e incidentes de segurança da rede às autoridades regulatórias, estabelecer mecanismos importantes de proteção de segurança de dados e informações pessoais e formular e executar planos de emergência de segurança de rede. (Artigo 30, 31, 32)