China herziet Cybersecuritywet ingrijpend per 1 januari 2026

Cybersecuritywet China

China heeft een ingrijpende herziening van zijn Cybersecuritywet aangenomen, die van kracht wordt op 1 januari 2026. Het gaat om de meest verstrekkende wijziging sinds de oorspronkelijke invoering van de wet in 2017. De aanpassingen veranderen feitelijk hoe organisaties cyberincidenten moeten behandelen, hoe en wanneer zij rapporteren aan toezichthouders, en aan welke compliance-risico’s zij blootstaan.

De herziene wet legt een sterke nadruk op snelheid en persoonlijke verantwoordelijkheid. Incidentrespons wordt niet langer in dagen gemeten: in meerdere gevallen verwachten toezichthouders nu melding binnen minuten na detectie.

Drastisch verkorte meldtermijnen voor cyberincidenten

De meest directe operationele wijziging betreft de nieuwe meldplichten voor cybersecurity-incidenten. Exploitanten van kritieke informatie-infrastructuur en, in bepaalde gevallen, algemene netwerkexploitanten moeten significante incidenten binnen zeer korte termijnen melden aan de autoriteiten.

Afhankelijk van de ernst geldt een initiële meldtermijn van vier uur of zelfs slechts 60 minuten. Deze termijnen worden ondersteund door de Administrative Measures for National Cybersecurity Incident Reporting, die op 1 november 2025 in werking zijn getreden. Deze maatregelen bundelen alle meldregels in één kader dat wordt gehandhaafd door de Cyberspace Administration of China (CAC).

Incidenten worden ingedeeld in vier ernstniveaus. “Relatively major” incidenten omvatten onder meer datalekken die meer dan één miljoen personen treffen of financiële verliezen van meer dan RMB 5 miljoen. Deze incidenten moeten binnen vier uur na ontdekking worden gemeld, gevolgd door een gedetailleerde beoordeling binnen 72 uur en een eindrapport binnen 30 dagen.
Op het hoogste niveau, “particularly serious” incidenten, geldt een meldplicht binnen één uur. De autoriteiten moeten deze melding vervolgens binnen 30 minuten doorzetten naar nationale toezichthouders en de State Council, wat de escalatietermijnen tot een ongekend minimum terugbrengt.

Hogere boetes en expliciete persoonlijke aansprakelijkheid

De herziene wet verhoogt de sancties bij niet-naleving aanzienlijk. Organisaties die ernstig in overtreding zijn, kunnen boetes krijgen tot RMB 10 miljoen. Personen die rechtstreeks verantwoordelijk worden gehouden, waaronder leidinggevenden en verantwoordelijken voor beveiliging, kunnen afzonderlijk worden beboet tot RMB 1 miljoen.

Ook de handhavingsprocedures zijn aangescherpt. Toezichthouders hoeven niet langer eerst waarschuwingen of herstelbevelen uit te vaardigen voordat zij sancties opleggen. Hierdoor kunnen autoriteiten direct overgaan tot bestraffing, waardoor de tijd om tekortkomingen na een incident te herstellen sterk wordt verkort.

Daarnaast wordt ketenrisico expliciet gereguleerd. Exploitanten van kritieke infrastructuur kunnen worden bestraft voor het gebruik van niet-conforme producten of diensten. In sommige gevallen kunnen de boetes oplopen tot tien keer de waarde van de inkoop. Leveranciersselectie en third-party-riskmanagement krijgen daarmee directe juridische consequenties.

Uitbreiding van de reikwijdte buiten China

De gewijzigde wet verruimt ook haar extraterritoriale werking. Waar eerdere versies zich richtten op buitenlandse activiteiten die directe schade toebrachten aan China’s kritieke informatie-infrastructuur, strekt de nieuwe formulering zich uit tot buitenlands handelen dat de netwerkbeveiliging van China in bredere zin in gevaar brengt.

Dit raakt multinationale ondernemingen met indirecte blootstelling, zoals via clouddiensten, software-afhankelijkheden, managed service providers en productie- of logistieke systemen die verbonden zijn met China-gerelateerde netwerken. In ernstige gevallen kunnen autoriteiten maatregelen opleggen zoals bevriezing van activa of andere sancties. Voor internationale ondernemingen kunnen compliance-verplichtingen dus ontstaan door architectuur- en operationele beslissingen die volledig buiten China zijn genomen.

Kunstmatige intelligentie opgenomen in de wet

Voor het eerst wordt kunstmatige intelligentie expliciet genoemd in de Cybersecuritywet. De wijzigingen stimuleren het gebruik van AI ter verbetering van cybersecuritybeheer, maar leggen tegelijk de nadruk op strengere ethische controle en veiligheidsgovernance.

De wet specificeert nog geen gedetailleerde AI-compliance-vereisten. Die worden verwacht via vervolgregelgeving of technische standaarden. De opname van AI geeft echter duidelijk aan dat cybersecurity-compliance in China zich uitbreidt van klassieke infrastructuurbeveiliging naar algoritmisch risico en systeemverantwoordelijkheid.

Duidelijke criteria voor “particularly serious” incidenten

De meldregels van de CAC specificeren ook wat geldt als een “particularly serious” incident. Voorbeelden zijn cyberincidenten die overheidsportalen of grote nieuwsplatforms langer dan 24 uur onbeschikbaar maken, of zes uur bij volledige systeemuitval.

Ook grootschalige verstoringen die essentiële diensten voor meer dan de helft van de bevolking van een provincie treffen, of het dagelijks leven van meer dan 10 miljoen mensen beïnvloeden, vallen hieronder. Daarnaast behoren datalekken met persoonsgegevens van meer dan 100 miljoen personen of financiële verliezen van meer dan RMB 100 miljoen tot deze categorie.

Na oplossing van het incident moet binnen 30 dagen een uitgebreid rapport worden ingediend met daarin oorzaken, responsmaatregelen, impact, corrigerende acties en geleerde lessen.

Wat organisaties nu concreet moeten doen

De praktische gevolgen van de wijzigingen zijn direct. Incidentresponsplannen die uitgaan van langdurige onderzoeksfasen voldoen niet langer aan de wettelijke eisen. Beveiligingsteams moeten incidenten vrijwel onmiddellijk kunnen classificeren, de ernst bepalen en regulatorische meldingen activeren.

Besluitvormingsbevoegdheden moeten mogelijk vooraf worden gedelegeerd, vooral bij multinationale organisaties die over meerdere tijdzones opereren. Bewijsverzameling en documentatie moeten parallel aan de respons plaatsvinden en niet pas na containment. Voor bedrijven die via leveranciers, software of diensten verbonden zijn met Chinese infrastructuur, maakt de gewijzigde wet van snelheid en documentatie afdwingbare wettelijke verplichtingen in plaats van best practices.