Chinesisches Cybersicherheitsgesetz: Meldung von Schwachstellen in China

In China ist nun die Meldung von Cybersecurity-Schwachstellen Pflicht. Die entsprechende Verlautbarung im Volltext:

Zur Umsetzung der einschlägigen Anforderungen der Bestimmungen über das Management von Sicherheitsschwachstellen bei Netzwerkprodukten wurde die vom Cybersecurity Administration Bureau des MIIT organisierte Plattform für den Informationsaustausch über Bedrohungen und Schwachstellen der Cybersicherheit (https://www.nvdb.org.cn) am 1. September 2021 offiziell online gestellt und ist nun in Betrieb. Die Plattform () wurde am 1. September 2021 offiziell ins Netz gestellt.

Gemäß den Bestimmungen über die Verwaltung von Sicherheitsschwachstellen in Netzwerkprodukten sollten die Anbieter von Netzwerkprodukten relevante Schwachstelleninformationen zeitnah an die Plattform melden und Plattformen zur Sammlung von Schwachstellen sowie andere Organisationen oder Einzelpersonen, die Schwachstellen entdeckt haben, dazu ermutigen, der Plattform Informationen über Schwachstellen zu melden. Die Plattform umfasst eine Fachbibliothek mit allgemeinen Sicherheitsschwachstellen von Netzwerkprodukten (https://www.cnvdb.org.cn), eine Fachbibliothek mit Sicherheitsschwachstellen von industriellen Steuerungsprodukten (https://www.cics-vd.org.cn), eine Fachbibliothek mit Sicherheitsschwachstellen von mobilen Internet-APP-Produkten (https://cappvd.cstc.org.cn), eine Fachbibliothek mit Sicherheitsschwachstellen von Kfz-Internetprodukten (https://cappvd.cstc.org.cn ), und eine Fachbibliothek für Sicherheitsschwachstellen in Telematikprodukten (https://cavd.org.cn) usw. Sie unterstützt die technische Bewertung von Sicherheitsschwachstellen in Netzwerkprodukten und fordert die Anbieter von Netzwerkprodukten auf, ihre eigenen Produkt-Sicherheitsschwachstellen rechtzeitig zu patchen und in angemessener Weise zu veröffentlichen.

Die Plattform wird von der Chinesischen Akademie für Informations- und Kommunikationsforschung (CAICR) gemeinsam mit dem Nationalen Forschungszentrum für die Entwicklung der industriellen Informationssicherheit (NISDRC), dem Chinesischen Zentrum für Softwarebewertung (CSEC), dem Chinesischen Forschungszentrum für Automobiltechnologie (CATRC) und anderen nationalen Facheinrichtungen für Cybersicherheit aufgebaut.

Fachanwalt für IT-Recht Jens Ferner