Die Cyberspace Administration of China (CAC) hat am Montag eine neue Verordnung zur Meldepflicht von Cybersicherheitsvorfällen veröffentlicht. Sie tritt am 1. November 2025 in Kraft. Wie auf der offiziellen Website der Behörde mitgeteilt wurde, umfasst die Regelung 14 Artikel und legt verbindliche Vorgaben zum Anwendungsbereich, zu den Meldefristen, Inhalten und Verfahren sowie zu den Zuständigkeiten der Aufsichtsbehörden fest.

Ein Vertreter der CAC erklärte, die Neuregelung ziele darauf ab, die Meldung von Vorfällen zu standardisieren, Schäden schneller einzudämmen und die Umsetzung des Cybersicherheitsgesetzes sowie des Schutzes kritischer Informationsinfrastrukturen zu gewährleisten. Die Maßnahme sei eine Reaktion auf die zunehmende Anzahl und Schwere von Cybersicherheitsvorfällen in den vergangenen Jahren. Aus der Praxis habe sich gezeigt, dass eine zeitnahe Meldung an die zuständigen Stellen die effektive Bewältigung von solchen Vorfällen unterstütze, Eskalationen verhindere und somit negative gesellschaftliche Auswirkungen begrenzen könne.

Experten betonten, die Verordnung schaffe einen klaren Rahmen und stärke die erste Abwehrlinie im Bereich Cybersicherheit. „Je früher und standardisierter ein Vorfall gemeldet wird, desto schneller können Fachbehörden reagieren, Risiken bewerten und Gegenmaßnahmen einleiten – damit lassen sich viele Probleme bereits im Ansatz lösen“, sagte Xiang Ligang, Direktor der in Beijing ansässigen Information Consumption Alliance. Angesichts der wachsenden Bedeutung der Cybersicherheit sei die Einführung einheitlicher Verfahren unverzichtbar.

Die Meldepflicht betrifft alle Netzbetreiber, die in China Netze betreiben, aufbauen oder damit verbundene Dienstleistungen anbieten. Als „Cybersicherheitsvorfall“ gelten dabei Ereignisse, die durch menschliches Versagen, Cyberangriffe, Schwachstellen, Software- oder Hardwarefehler, technische Störungen oder höhere Gewalt verursacht werden und die Netzwerke oder Informationssysteme schädigen sowie die nationale, öffentliche oder wirtschaftliche Sicherheit beeinträchtigen.

Die Verordnung präzisiert nicht nur die Pflichten der Betreiber, sondern auch die Aufsichtsfunktionen der CAC: Während die nationale Behörde die koordinierende Aufsicht übernimmt, obliegt die Umsetzung und Überwachung auf operativer Ebene den jeweiligen Cyberspace-Behörden der Provinzen.