Indien wird VPN-Anbietern und Cloud-Service-Betreibern weitere drei Monate Zeit geben, um die neuen Regeln einzuhalten, nach denen sie Namen und Adressen ihrer Kunden und ihre IP-Adressen pflegen müssen, was Unternehmen eine gewisse Erleichterung verschafft, da sich viele bemühen, die neuen Richtlinien zu befolgen, und einige die prüfen Möglichkeit, den südasiatischen Markt zu verlassen.
Das Indian Computer Emergency Response Team, das von der Regierung zum Schutz der indischen Informationsinfrastruktur ernannte Gremium, gab am Montagabend bekannt, dass es die Durchsetzung der neuen Regeln bis zum 25. September verlängert. Die Regeln, die Ende April vorgestellt wurden, sollten am Montag in Kraft treten .
CERT sagte, es verlängere die Frist, weil die Branchenakteure um „zusätzliche Zeit“ gebeten hätten.
Seine Ankündigung folgt scharfer Kritik von VPN-Anbietern, von denen viele, darunter Nord und ExpressVPN, ihre Absicht angekündigt haben, lokale Server im Land zu entfernen.
Fast zwei Dutzend Cybersicherheitsexperten und Technologen aus Indien und der ganzen Welt einen gemeinsamen Brief verschickt am Montag an CERT und das Ministerium für Elektronik und IT und forderten, dass die „gefährlichen CERT-In-Cybersicherheitsanweisungen“ nicht umgesetzt werden.
„Die Anweisungen in ihrer jetzigen Form werden die unbeabsichtigte Folge haben, die Cybersicherheit und ihre entscheidende Komponente, den Online-Datenschutz, zu schwächen. Wir sind uns der Notwendigkeit eines Rahmens zur Regelung der Meldung von Cybervorfällen bewusst, aber die in den Anweisungen vorgeschriebenen Fristen für die Meldung und übermäßige Datenspeicherung werden sich in der Praxis negativ auswirken und die Wirksamkeit beeinträchtigen, während sie die Privatsphäre und Sicherheit im Internet gefährden“, schrieben sie.
Die neuen Richtlinien von CERT verlangen von „VPS-Anbietern (Virtual Private Server), Cloud-Dienstanbietern, VPN-Dienstanbietern, Anbietern von Diensten für virtuelle Vermögenswerte, Anbietern von Börsen für virtuelle Vermögenswerte, Anbieter von Depotbanken und Regierungsorganisationen“, Kundennamen, E-Mail-Adressen, IP-Adressen, Know-Your-Customer-Aufzeichnungen und Finanztransaktionen für einen Zeitraum von fünf Jahren.
Gesetzgeber in Indien haben deutlich gemacht, dass sie nicht die Absicht haben, die neuen Regeln zu lockern.
Rajeev Chandrasekhar, der Junior-IT-Minister Indiens, sagte letzten Monat auf einer Pressekonferenz, dass VPN-Anbieter, die verbergen wollen, wer ihre Dienste nutzt, „sich aus dem Land zurückziehen“ müssen. Die Regierung, sagte er, werde keine öffentliche Konsultation zu diesen Regeln abhalten.
Die neuen Regeln verpflichten Unternehmen außerdem, Vorfälle von Sicherheitslücken wie Datenschutzverletzungen innerhalb von sechs Stunden nach Bekanntwerden solcher Fälle zu melden. Nach dem Widerstand von Interessengruppen sagte Chandrasekhar letzten Monat, dass Indien „sehr großzügig“ sei, indem es Unternehmen sechs Stunden Zeit gebe, um Sicherheitsvorfälle zu melden, und wies auf Länder wie Indonesien und Singapur hin, die seiner Meinung nach strengere Anforderungen hätten.