China estabelece prazos de meia hora a quatro horas para relatar incidentes cibernéticos
A Administração do Ciberespaço da China (CAC) anunciou uma nova regulação que obriga os operadores de redes e serviços digitais a reportar incidentes de cibersegurança em prazos que variam de meia hora a quatro horas.
Corpo do artigo
A norma, intitulada "Medidas para a gestão de relatórios de incidentes de cibersegurança", entrará em vigor em 1 de novembro.
A CAC definiu como incidentes de cibersegurança aqueles causados por ataques, falhas técnicas ou erros humanos que provoquem danos a sistemas, dados ou serviços com impacto nacional, social ou económico.
O texto, com 14 artigos, estabelece que os operadores de infraestruturas críticas devem notificar as autoridades de proteção e a polícia em menos de uma hora e que estas, em casos "graves ou especialmente graves", devem elevar o alerta à CAC e ao Ministério da Segurança Pública num prazo máximo de 30 minutos.
Os órgãos centrais do Estado terão um prazo de duas horas e os demais operadores, de quatro.
Os relatórios deverão incluir informações básicas sobre o sistema afetado, o tipo de incidente, os danos causados, as medidas adotadas e pistas para uma possível investigação, como vetores de ataque ou vulnerabilidades detetadas.
Em ataques de "ransomware" - programa malicioso que emprega criptografia, evitando que a vítima tenha acesso aos dados -, será obrigatório detalhar o valor exigido como resgate.
A CAC habilitou seis canais para as notificações: um portal específico, um endereço de correio eletrónico, fax e contas oficiais no WeChat - semelhante ao Whatsapp, censurado na China.
Os operadores também serão obrigados a apresentar, no prazo de 30 dias após a resolução do incidente, um relatório final com as causas, os danos, as responsabilidades e as medidas corretivas.
O regulamento prevê sanções para aqueles que ocultem, atrasem ou falsifiquem dados, com agravantes se isso gerar "consequências graves".
Por outro lado, se forem aplicadas medidas razoáveis e for feito um relatório atempado, as autoridades poderão reduzir ou mesmo isentar de responsabilidade.
O anexo da norma estabelece quatro níveis de gravidade, que incluem desde vazamentos de milhões de dados pessoais até a manipulação de portais governamentais com divulgação "em grande escala de informações ilegais".
As autoridades insistem que a medida se inspira em práticas internacionais, como as dos Estados Unidos ou da União Europeia, embora o seu alcance alimente o debate sobre se também constitui um reforço do controlo estatal sobre o ciberespaço num país onde o Google, o X ou o YouTube continuam bloqueados há anos.