Quy định này của Ấn Độ yêu cầu các công ty công nghệ báo cáo các sự cố tấn công mạng trong vòng 6 giờ và lưu trữ nhật ký của người dùng trong ít nhất 5 năm. Các công ty công nghệ quốc tế cho rằng điều này sẽ gây khó khăn cho hoạt động kinh doanh của họ tại nước này.
11 tổ chức đại diện cho các công ty công nghệ có trụ sở tại Mỹ, Châu Âu và Châu Á đã gửi tới Tổng giám đốc Sanjay Bahl của CERT-In vào ngày 16.5.
Theo đó, bức thư bày tỏ lo ngại rằng quy định mới sẽ có tác động tiêu cực đến công tác bảo vệ an ninh mạng của các công ty đang hoạt động tại Ấn Độ, đồng thời tạo ra sự tách biệt về cách tiếp cận đối với các khu vực pháp lý khác nhau. Từ đó, làm ảnh hưởng đến thế trận an ninh của New Delhi và những quốc gia đồng minh trong nhóm Bộ Tứ (Mỹ, Australia, Nhật Bản, Ấn Độ), Châu Âu và các khu vực khác.
Các tổ chức toàn cầu cùng bày tỏ quan ngại bao gồm Hội đồng Công nghiệp Công nghệ Thông tin (ITI), Hiệp hội Thị trường Tài chính & Công nghiệp Chứng khoán Châu Á (ASIFMA), Viện Chính sách Ngân hàng, Liên minh Phần mềm BSA, Liên minh Giảm thiểu Rủi ro Mạng (CR2),…
Quy định mới được ban hành vào ngày 28.4, yêu cầu các công ty công nghệ báo cáo bất kỳ vi phạm xâm nhập nào cho CERT-In trong vòng 6 giờ kể từ khi phát hiện. Các trung tâm dữ liệu, nhà cung cấp Máy chủ riêng ảo (VPS), nhà cung cấp dịch vụ đám mây và nhà cung cấp dịch vụ Mạng riêng ảo (VPN) xác nhận tên của người đăng ký và khách hàng thuê dịch vụ, thời gian thuê, hình thức sở hữu của người đăng ký,… và duy trì hồ sơ có thời hạn từ 5 năm trở lên.
Các công ty quốc tế cho rằng thời gian 6 giờ trong quy định là chưa phù hợp và yêu cầu tăng lên thành 72 giờ.
"CERT-In không đưa ra bất kỳ lý do nào để giải thích tại sao mốc thời gian 6 giờ là cần thiết, điều này không phù hợp với các tiêu chuẩn toàn cầu. Khoảng gian như vậy là quá ngắn và làm tăng thêm tính phức tạp một cách không cần thiết trong lúc các bộ phận phải tập trung vào việc tìm hiểu, phản ứng và khắc phục sự cố”, trích bức thư kiến nghị.
Ngoài ra, các nội dung khác về lưu trữ nhật ký dữ liệu, hay yêu cầu áp dụng cả với các nhà cung cấp VSP, CSP và VPN cũng bị cho là phiền hà và không cần thiết.