Le 27 juin 2018, le ministère de la Sécurité publique, sur la base de l'article 21 de la loi sur la cybersécurité, a rédigé le «Règlement sur les niveaux de protection en matière de cybersécurité» et a annoncé son projet pour solliciter l'avis du public.
À l'heure actuelle, le projet n'est pas encore devenu une loi officiellement promulguée.
Les points essentiels du projet sont les suivants:
(1) Le système de réseau sera divisé en cinq niveaux de protection de sécurité en fonction de son importance dans la sécurité nationale, la construction économique et la vie sociale.
L'importance du système de réseau augmente progressivement du premier niveau au cinquième niveau. (Article 15)
Les systèmes de réseau de différents niveaux indiquent dans quelle mesure les intérêts pertinents peuvent être lésés en cas d'incident de sécurité du réseau du système de réseau à ce niveau, comme suit:
Niveau 1: la sécurité nationale, l'ordre social et les intérêts publics ne seront pas menacés;
Niveau 2: l'ordre social et les intérêts publics seront menacés et la sécurité nationale ne sera pas mise en danger;
Niveau 3: l'ordre social et les intérêts publics seront gravement menacés ou la sécurité nationale sera menacée;
Niveau 4: l'ordre social et les intérêts publics seront particulièrement menacés, ou la sécurité nationale sera gravement menacée;
Niveau 5: La sécurité nationale est particulièrement menacée.
(2) Le gestionnaire de réseau détermine le niveau de protection de la sécurité du réseau pendant la phase de planification et de conception, et les experts et les autorités compétentes en confirment le niveau. Une fois le niveau confirmé, l'opérateur de réseau doit également déposer une demande auprès de l'organe de sécurité publique. (Articles 16, 17, 18)
(3) Les opérateurs de réseau devraient s'acquitter des obligations de sécurité nécessaires, et les opérateurs de réseaux au-dessus du niveau 3 devraient également s'acquitter des obligations de protection de sécurité spéciales. (Articles 20 et 21)
(4) Si les produits et services de réseau achetés par les opérateurs de réseau peuvent affecter la sécurité nationale, ces produits et services devraient faire l'objet d'examens de sécurité nationale organisés par les autorités de régulation. (Article 28)
(5) Les réseaux au-dessus du niveau 3 doivent être maintenus dans le pays et la maintenance technique à distance n'est pas autorisée à l'étranger. (Article 29)
(6) Les opérateurs de réseau devraient signaler aux autorités de régulation les informations de surveillance de la sécurité du réseau et d'alerte précoce ainsi que les incidents de sécurité du réseau, mettre en place des mécanismes importants de protection de la sécurité des données et des informations personnelles, et formuler et appliquer des plans d'urgence en matière de sécurité du réseau. (Articles 30, 31, 32)