Çin, ağ operatörlerinin ciddi siber güvenlik olaylarını bir saat içinde bildirmelerini gerektiren yeni düzenlemelerle siber güvenlik uygulamasını artırıyor. Çin Siber İdaresi (CAC) tarafından açıklanan kurallar, 1 Kasım 2025’te yürürlüğe girecek ve ülkenin kritik dijital altyapısına yönelik tehditleri nasıl yönettiği konusunda önemli bir yükseliş olacak.
Bu son önlemler, Şangay Şubesi’ni yakın zamanda yurtdışına yasadışı bir şekilde aktarmak için para cezasına çarptırılan lüks moda markası Dior’u içeren bir siber güvenlik olayını takip ediyor. Olay, düzenleyici eylemi hızlandırıyor gibi görünüyor.
Siber güvenlik olayları için hemen raporlama
Çin’in siber uzay yönetimi tarafından verilen yeni kurallar uyarınca, bir saat içinde ilgili makamlara herhangi bir “özellikle ciddi” siber güvenlik olayı bildirilmelidir. Raporu alan yetkililer, 30 dakika içinde Ulusal Siber İdaresi ve Devlet Konseyi’ne bildirilmelidir.
Düzenleme, olayları dört şiddet seviyesine ayırır ve “özellikle ciddi” en kritik olanıdır. Bunlar, 24 saatten fazla bir süredir devlet portallarını, kritik altyapıyı veya kilit ulusal haber web sitelerini etkileyen siber saldırılar veya sistem arızaları içerir. Tüm altyapının etkilendiği durumlarda, altı saatlik bir kesinti bile üst katmanın altına düşer.
Buna ek olarak, bir eyalet nüfusunun% 50’sinden fazlası için temel hizmetleri bozan veya kamu hizmetleri, ulaşım ve sağlık hizmetleri de dahil olmak üzere 10 milyondan fazla insanın günlük yaşamlarını etkileyen olaylar da özellikle ciddi olarak kategorize edilmektedir. Güney Çin Sabah Postası tarafından bildirildiği gibi, ulusal güvenliği tehdit eden çekirdek veya önemli verilerin sızıntısı veya hırsızlığı da aynı şekilde kapsanmaktadır.
Büyük ölçekli veri ihlalleri de bu en yüksek kategoriye, özellikle 100 milyondan fazla vatandaşın kişisel bilgilerini içeren veya 100 milyon yuan’ı (yaklaşık 14 milyon USD) aşan finansal zararlara neden olanları da dahil etmektedir.
Siber tehditler için özel kriterler
CAC’nin yeni kuralları, altı saatten fazla bir süre boyunca bir hükümetin veya büyük haber web sitesinin ana sayfasında yasadışı veya zararlı içeriğin sergilemesiyle veya bu tür içerik bir milyondan fazla görüntüleniyorsa veya sosyal medya platformlarında 100.000’den fazla paylaşılıyorsa, büyük ölçekli hack saldırılarını üst düzey bir tehdit olarak tanımlar.
“Ciddi” olarak etiketlenen ikinci ciddiyet katmanı, altı saatten fazla bir süredir belediye hükümet portallarını veya il haber sitelerini etkileyen veya anahtar altyapı sistemlerinde üç saatten fazla kesintiye neden olan olayları içerir.
10 milyondan fazla vatandaşın kişisel bilgilerini veya bir şehirde 1 milyondan fazla kişiyi etkileyen veri sızıntıları da bu kategoriye yerleştirilmektedir.
Bir siber güvenlik olayı çözüldükten sonra, ağ operatörlerinin 30 gün içinde ayrıntılı bir olay raporu sunmaları gerekmektedir. Bu rapor temel neden, yanıt önlemleri, etki değerlendirmesi, düzeltici eylemler ve öğrenilen dersleri analiz etmelidir.
Bu yeni kurallar, Çin’in ilk olarak 2017’de yürürlüğe giren siber güvenlik yasasının ve sırasıyla 2016 ve 2021’de tanıtılan kritik bilgi altyapısının korunmasına ilişkin destek düzenlemelerinin bir uzantısıdır.
Milletvekilleri daha katı cezalar öneriyor
Bu düzenleyici değişikliklerle çakışan Ulusal Halk Kongresi Daimi Komitesi, siber güvenlik yasasında önerilen değişiklikleri ilk incelemesine başladı. Bu değişiklikler, özellikle büyük ölçekli veri ihlallerini ve kritik altyapı başarısızlıklarını içeren ihlaller için cezaları güçlendirmeyi amaçlamaktadır.
Geçerse, güncellenen yasa, siber güvenlik yükümlülüklerini yerine getiremeyen kritik altyapı operatörlerine 500.000 ila 10 milyon yuan arasında değişen para cezaları uygulayacaktı. Bu tür başarısızlıklardan doğrudan sorumlu bireyler 1 milyon yuan’a kadar kişisel para cezalarıyla karşılaşabilirler.
Ayrıca, önerilen değişiklikler, spreayı önlemeyi ihmal eden ağ operatörlerini hedeflemekD yasaklanmış içerik. İletimi durdurmaması, içeriği silmek, ilgili günlükleri korumak veya rapor olayları 50.000 ila 500.000 yuan arasında değişebilir.