Die Richtlinie vom 28. April vom IndienDie Cyber-Agentur von eV forderte zusätzliche Compliance-Anforderungen für alle VPN-Anbieter, deren Benutzer sich im Land aufhalten.Nun tritt die neue Cert-In-Richtlinie am 25. September in Kraft.Die Agentur hat Rechenzentren, Anbieter virtueller privater Server (VPS), Cloud-Dienstanbieter und VPN-Anbieter angewiesen, dass dieser spezifische Aspekt der Anweisung am 25. September in Kraft tritt.„Auf die Verlängerung der Fristen für die Umsetzung dieser Cyber-Sicherheitsanweisungen vom 28. April 2022 wurde in Bezug auf gedrängt Mikro-, kleine und mittlere Unternehmen (KKMU) für die Bereitstellung einer angemessenen Zeit für den Kapazitätsaufbau, der für die Umsetzung dieser Anweisungen erforderlich ist“, sagte das Cert-In.Fast 22 Cybersicherheitsexperten haben am Montag einen gemeinsamen Brief an Cert-In und die Ministerium für Elektronik und IT und forderte sie auf, die Umsetzung der umstrittenen neuen Anweisungen, die im April herausgegeben wurden, aufzuschieben.„Die Anweisungen werden sich negativ auf die Cybersicherheit und den Datenschutz auswirken, und es muss eine öffentliche Konsultation durchgeführt werden, um sicherzustellen, dass die Ansichten aller Interessengruppen, einschließlich Fachexperten, berücksichtigt werden“, heißt es in dem Schreiben.„Die ungeprüfte Überwachung ist ein dringendes Problem in Indien – eines, das durch das neue Mandat zur Vorratsdatenspeicherung in den Anweisungen von Cert-In, das Millionen von Menschen betrifft, die in Indien verbunden sind, erheblich verschärft wird“, sagte ein Sprecher Raman Jit SinghChimaAsia Pacific Policy Director und Senior International Counsel bei Access Now, einer gemeinnützigen Organisation.„Die Verpflichtung von Dienstanbietern, einschließlich VPN-Anbietern, Informationen zu protokollieren, die sie andernfalls möglicherweise fünf Jahre oder länger nicht sammeln, verstößt gegen das durch die indische Verfassung geschützte Recht auf Privatsphäre“, fügte er hinzu.Führende VPN-Dienstanbieter NordVPN, Surfshark und ExpressVPN haben ihre Server aufgrund der neuen Anweisungen aus Indien entfernt.Cert-In gab später eine Reihe von Klarstellungen heraus, in denen es heißt, dass die Regeln zur Verwaltung von Kundenprotokollen nicht für Unternehmens- und Unternehmens-VPNs gelten.
Die indische Cyberagentur gibt VPN-Anbietern eine dreimonatige Verschnaufpause
Das Indisches Computer-Notfallteam (Cert-In) hat den Anbietern virtueller privater Netzwerke (VPN) weitere drei Monate Zeit gegeben, um die neuen Regeln einzuhalten.Die neuen Regeln, die ab dem 27. Juni in Kraft treten sollten, verlangen von VPN-Dienstanbietern sowie Rechenzentren und Cloud-Dienstanbietern, Informationen wie Namen, E-Mail-IDs, Telefonnummern und IP-Adressen (unter anderem) ihrer Kunden zu speichern einen Zeitraum von fünf Jahren.