网信办发布《网络安全事件报告管理办法(征求意见稿)》

来源:中伦律师事务所

文章摘要
2023年12月8日,国家互联网信息办公室发布《网络安全事件报告管理办法(征求意见稿)》(以下简称“《管理办法》”),并附《网络安全事件分级指南》(以下简称“《分级指南》”)以及《网络安全事件信息报告

2023年12月8日,国家互联网信息办公室发布《网络安全事件报告管理办法(征求意见稿)》(以下简称“《管理办法》”),并附《网络安全事件分级指南》(以下简称“《分级指南》”)以及《网络安全事件信息报告表》,向社会公开征求意见。意见反馈截止时间为2024年1月7日。
在适用范围上,在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者在发生危害网络安全的事件时,应当按照《管理办法》进行报告。我们将《管理办法》拟建立的网络安全事件报告机制的要点梳理如下:
01 以事件分级为基础,提供量化分级
《管理办法》所称网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或其中的数据造成危害,对社会造成负面影响的事件。《分级指南》将网络安全事件分为“特别重大”“重大”“较大”“一般”四级,并附多维度影响层面的量化分级示例。具体分级维度及重点示例如下图:

02 报告流程

03 首次报告
《管理办法》第五条明确,发生较大、重大、特别重大网络安全事件时,应按照《网络安全事件信息报告表》进行报告,报告内容至少应包含:

04 法律责任
《管理办法》第十条、第十一条规定了网络安全事件报告的有关责任。除依据有关法律、行政法规的规定进行处罚外:
因运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对运营者及有关责任人依法从重处罚。
发生网络安全事件时,同时满足以下情形,可视情免除或从轻追究运营者及有关责任人的责任:
运营者已采取合理必要的防护措施;
按照《管理办法》规定主动报告;
按照预案有关程序进行处置;
尽最大努力降低事件影响。

技术驱动法律,专业成就未来