China: Nuevas verificaciones de seguridad en empresas de tecnología a partir de junio
China lanzará nuevas revisiones de seguridad en proveedores de tecnología extranjeros y nacionales a partir del 1 de junio, implementando un elemento clave de su nueva ley de ciberseguridad, cuyo objetivo es endurecer el control estatal sobre tecnología e información.
La revisión se aplicará a las empresas que ofrecen productos y servicios de red. Como tal, probablemente incluirá compañías como IBM y Microsoft, que venden hardware y software en China.
Aunque las normas son más restrictivas que las prácticas actuales, las medidas anunciadas esta semana finalmente son menos taxativas que las propuestas distribuidas para comentarios de la industria en febrero.
Las medidas se aplicarán a las empresas extranjeras que suministren hardware o servicios a empresas chinas en sectores como la energía, el transporte y las finanzas, así como las que venden a agencias gubernamentales, servicios públicos y otras “infraestructuras críticas”. Los servicios a revisarse se enviarán a un nuevo comité administrado por el regulador de Internet de China, la Administración del Ciberespacio de China.
La seguridad del producto será evaluada por puntos de referencia, incluyendo la vulnerabilidad a la manipulación, los riesgos de la cadena de suministro y la protección de la información del cliente. El comité también puede rechazar un producto por riesgos no especificados para la seguridad nacional.
Las pruebas se están implementando para asegurar que la tecnología sea “segura y controlable”, de acuerdo con la Administración del Ciberespacio. Los términos “seguro y controlable” han sido controvertidos; las empresas extranjeras señalan que han estado bajo presión del gobierno para revelar información propietaria, como código fuente, para probar que sus productos son seguros. A su vez, las medidas de seguridad podrían funcionar como una barrera al ingreso de empresas extranjeras como forma de proteger la industria local.
El gobierno de los Estados Unidos también requiere controles estrictos de seguridad para los productos tecnológicos utilizados por los militares y otros departamentos gubernamentales sensibles. Pero tales controles obligatorios no se extienden a una amplia gama de industrias como en China.
Los reguladores chinos atenuaron parte del lenguaje en respuesta a comentarios de la industria. El alcance de las normas se redujo de la seguridad nacional y el bienestar público a la seguridad nacional. Una línea que especifica que los departamentos gubernamentales no pueden comprar productos tecnológicos que no aprobaron la revisión fue eliminada.
Pero al igual que con muchas regulaciones chinas, los procedimientos de Revisión de Seguridad de Productos y Servicios de Red son vagas y lo suficientemente amplios como para dar a las autoridades un margen de maniobra significativo. Las medidas están marcadas para “puesta en práctica del ensayo”, lo que sugiere que pueden ser modificadas.
