China fija plazos de entre 30 minutos y 4 horas para reportar ciberincidentes
Pekín, 15 sep (EFE).- La Administración del Ciberespacio de China (CAC) anunció este lunes un nuevo reglamento que obliga a operadores de redes y servicios digitales a reportar incidentes de ciberseguridad en plazos que van de media hora a cuatro horas, según el nivel de gravedad y el tipo de entidad afectada.
La norma, titulada ‘Medidas para la gestión de reportes de incidentes de ciberseguridad’, entrará en vigor el 1 de noviembre.
La CAC definió como incidentes de ciberseguridad aquellos causados por ataques, fallos técnicos o errores humanos que provoquen daños a sistemas, datos o servicios con impacto nacional, social o económico.
El texto, de 14 artículos, establece que los operadores de infraestructuras críticas deberán notificar a las autoridades de protección y a la Policía en menos de una hora, y que estas, en casos “graves o especialmente graves”, deberán elevar la alerta a la CAC y al Ministerio de Seguridad Pública en un máximo de 30 minutos.
Los órganos centrales del Estado tendrán un plazo de dos horas y el resto de operadores de cuatro.
Los reportes deberán incluir información básica del sistema afectado, el tipo de incidente, los daños causados, medidas adoptadas y pistas para una posible investigación, como vectores de ataque o vulnerabilidades detectadas.
En ataques de ‘ransomware’ será obligatorio detallar la cantidad exigida como rescate.
La CAC habilitó seis canales para las notificaciones, una página web específica, correo electrónico, fax y cuentas oficiales en WeChat -semejante a Whatsapp, censurado en China-.
Los operadores estarán obligados también a presentar, en un plazo de 30 días tras la resolución del incidente, un informe de cierre con causas, daños, responsabilidades y medidas de corrección.
El reglamento contempla sanciones para quienes oculten, retrasen o falseen datos, con agravantes si ello genera “consecuencias graves”.
En cambio, si se aplican medidas razonables y se reporta a tiempo, las autoridades podrán reducir o incluso eximir de responsabilidad.
El anexo de la norma fija cuatro niveles de gravedad, que incluyen desde filtraciones de millones de datos personales hasta la manipulación de sitios web gubernamentales con difusión “a gran escala de información ilegal”.
Las autoridades insisten en que la medida se inspira en prácticas internacionales como las de Estados Unidos o la Unión Europea, aunque su alcance alimenta el debate sobre si constituye también un refuerzo del control estatal sobre el ciberespacio en un país donde Google, X o YouTube siguen bloqueados desde hace años. EFE
gbm/eav
