适用场景
从事能源、金融、交通、水利、卫生医疗、教育、社保、环保、公用事业、电信、互联网、云计算、大数据、国防科工、大型装备、化工、食品药品、新闻等行业领域的中国出海企业,尤其是在业务运营中涉及重要网络设施或信息系统的企业,在业务规划、系统建设及日常运维阶段均需重点关注。
核心要点
1. CII适用范围显著扩大
关键信息基础设施(CII)的认定范围在原有《网络安全法》基础上大幅扩展,新增了卫生医疗、教育、环保、国防科工、大型装备、化工、食品药品、新闻等行业,并将云计算、大数据等大型公共信息网络服务明确纳入。这意味着更多出海企业的业务系统可能被认定为CII,面临更严格的监管。
2. 强化主体责任与“双罚制”追责
CII运营单位的主要负责人被明确为安全保护第一责任人,需建立并落实安全责任制。法规实行“双罚制”,不仅处罚企业主体,还会追究主要负责人、安全管理负责人及关键岗位人员的个人责任,体现了“处罚到人”的强监管趋势。
3. 运维本地化与外包服务高要求
CII的运行维护原则上应在境内进行。如需境外远程维护,必须事先向行业主管和公安部门报告。同时,对外包开发、接受捐赠的产品和服务,需在上线前进行安全监测;为CII提供安全监测、漏洞发布、云计算、IT外包等服务的第三方机构,也将面临专门的资质和管理要求。
4. 政府支持与强监管并行
国家将通过产业、财税、金融等政策支持CII安全技术创新和人才培养,并将保护工作纳入地方政府考核。同时,监管态度坚决,通过密集的强制性义务条款和连坐责任追究(在重大事件中追溯运营单位、服务机构及相关部门责任),确保法规落地。
实务建议
- 立即开展自查:根据《网络安全法》及现有配套文件,梳理企业网络设施、信息系统的重要性,评估是否可能落入CII范围,并检查现有安全保护义务履行情况。
- 明确责任到人:确立企业主要负责人为网络安全第一责任人,设立专职网络安全管理负责人,并确保关键岗位技术人员持证上岗并完成年度安全培训。
- 审查供应链与外包服务:严格审查采购的网络产品和服务是否符合安全审查要求;对外包开发或捐赠的系统进行上线前安全监测;评估现有运维安排,确保符合“运维本地化”原则,跨境运维需提前规划报备流程。
- 保持动态跟踪与沟通:密切关注网信部门及行业主管部门后续发布的《关键信息基础设施识别指南》等细则,主动与监管部门保持沟通,及时调整合规策略。
风险提示
- 切勿坐等观望:虽然部分细则尚未出台,但企业不能等待所有规则明确后再行动。根据现有框架提前布局和自查是规避风险的关键。
- 忽视个人责任风险:企业管理层必须意识到,合规责任已直接落实到个人,“双罚制”下个人可能面临严重的法律后果。
- 低估跨境运维限制:对于依赖境外技术团队进行系统维护的企业,必须提前评估“运维本地化”要求带来的业务模式挑战,违规进行境外远程维护将面临处罚。
- 忽略第三方服务连带责任:选择为CII提供服务的第三方机构时,需谨慎评估其资质与合规能力,因为服务商失职可能导致运营单位被连带追责。