Il Ministero dell’Industria e della Tecnologia dell’Informazione (MIIT) della Cina ha presentato venerdì delle proposte preliminari che dettagliano i suoi piani per affrontare gli eventi di sicurezza dei dati nel paese utilizzando un sistema a codice colore.
Obiettivi del nuovo sistema
L’iniziativa è progettata per “migliorare la capacità di risposta complessiva agli incidenti di sicurezza dei dati, per garantire un controllo tempestivo ed efficace, la mitigazione e l’eliminazione dei pericoli e delle perdite causati dagli incidenti di sicurezza dei dati, per proteggere i diritti e gli interessi legali di individui e organizzazioni, e per salvaguardare la sicurezza nazionale e gli interessi pubblici,” ha dichiarato il dipartimento.
Dettagli del sistema a Codice Colore
Il documento di 25 pagine comprende tutti gli incidenti in cui i dati sono stati illegalmente accessi, divulgati, distrutti o manomessi, categorizzandoli in quattro livelli gerarchici in base all’ambito e al grado di danno causato:
- Rosso: Livello I (“particolarmente significativo”), che si applica a interruzioni diffuse, perdita sostanziale della capacità di elaborazione aziendale, interruzioni dovute a gravi anomalie che durano più di 24 ore, occorrenza di gravi interferenze radio per più di 24 ore, perdite economiche di 1 miliardo di yuan, o che colpisce le informazioni personali di oltre 100 milioni di persone o informazioni personali sensibili di più di 10 milioni di persone.
- Arancione: Livello II (“significativo”), che si applica a interruzioni e interruzioni operative che durano più di 12 ore, occorrenza di gravi interferenze radio per più di 12 ore, perdite economiche tra 100 milioni di yuan e 1 miliardo di yuan, o che colpisce le informazioni personali di oltre 10 milioni di persone o informazioni personali sensibili di più di 1 milione di persone.
- Giallo: Livello III (“grande”), che si applica a interruzioni operative che durano più di otto ore, occorrenza di gravi interferenze radio per più di otto ore, perdite economiche tra 50 milioni di yuan e 100 milioni di yuan, o che colpisce le informazioni personali di oltre 1 milione di persone o informazioni personali sensibili di più di 100.000 persone.
- Blu: Livello IV (“generale”), che si applica a eventi minori che causano interruzioni operative inferiori a otto ore, perdite economiche inferiori a 50 milioni di yuan, o che colpisce le informazioni personali di meno di 1 milione di persone o informazioni personali sensibili di meno di 100.000 persone.
Requisiti per le Aziende Colpite
Le nuove regole richiedono anche alle aziende colpite di effettuare una valutazione per determinare la gravità dell’incidente e, se ritenuto grave, di segnalarlo immediatamente al dipartimento di supervisione industriale locale senza omettere o nascondere alcun fatto, o fornire informazioni false.
“Se il dipartimento di regolamentazione industriale locale determina inizialmente che si tratta di un incidente di sicurezza dei dati particolarmente grave o grave, dovrebbe segnalarlo all’Ufficio del Meccanismo in conformità con i requisiti di ’10 minuti per telefono e 30 minuti per iscritto’ dopo aver scoperto l’incidente,” affermano le regole preliminari.
In base al livello di risposta attivato – Rosso o Arancione – si prevede che l’Ufficio del Meccanismo segnali la questione al MIIT. Le regole preliminari sono aperte ai commenti del pubblico fino al 15 gennaio 2024.