La cuenta regresiva ha comenzado.
El incumplimiento podría resultar en sanciones.
A partir del 1 de noviembre, las empresas en China deberán cumplir con nuevas normativas que imponen un plazo de una hora para reportar incidentes cibernéticos considerados de "particularmente graves" o "graves". Estas regulaciones, emitidas por la Administración del Ciberespacio de China, están diseñadas para fortalecer la respuesta ante situaciones de seguridad.
Los incidentes que se clasifiquen como de mayor severidad son aquellos que pueden afectar a más del 50% de la población de una provincia, o que impliquen las necesidades cotidianas de más de 10 millones de personas, como suministro de servicios básicos, atención médica, transporte y productos de supermercado. También caen en esta categoría casos que involucren a funcionarios provinciales o agencias gubernamentales, así como portales de noticias nacionales clave.
Las infracciones calificadas como "serias" incluyen la filtración de datos de más de 10 millones de ciudadanos, afectar a la mitad de la población de una ciudad o a más de un millón de personas. Asimismo, se consideran graves las interrupciones en infraestructura crítica que duren más de una hora o la caída de portales gubernamentales durante más de seis horas. También se contempla la posibilidad de clasificar un incidente como de alta severidad si las pérdidas económicas superan los ¥100 millones (aproximadamente £10 millones) o si la situación podría amenazar la estabilidad social o la seguridad nacional.
Las empresas que sufran un incidente clasificado como grave o de alta severidad deberán informar a las autoridades sobre los sistemas afectados, el tipo de incidente, la causa preliminar, la cronología del ataque, los informes de daños iniciales y las sumas de rescate exigidas en un plazo de una hora. Además, deberán incluir evaluaciones de posibles peligros y solicitudes de apoyo gubernamental.
El incumplimiento de este plazo puede resultar en sanciones severas para las organizaciones responsables. La Administración del Ciberespacio advierte que si un operador de red reporta un incidente de manera tardía, omite información, reporta falsamente o encubre incidentes de seguridad, será castigado de acuerdo con la ley.
Ante el aumento de ataques de ransomware y exfiltración de datos, China no es el único país que está implementando regulaciones más estrictas en materia de ciberseguridad. Recientemente, el Departamento de Defensa de los EE.UU. también estableció normas reguladoras para sus posibles contratistas, subrayando la prioridad global que tiene la ciberseguridad en la actualidad.
