《國家網絡安全事件報告管理辦法》：關鍵合規要點

继2025年8月1日生效的针对金融领域网络安全事件报告的《中国人民银行业务领域网络安全事件报告管理办法》，9月15日，国家互联网信息办公室（以下简称“国家网信办”）正式发布《国家网络安全事件报告管理办法》（以下简称《管理办法》），对不同等级的网络安全事件报告的适用范围、监管职责、报告主体、报告渠道及流程、报告时限、报告内容等作出具体要求。该《管理办法》进一步完善了《中华人民共和国网络安全法》第25条关于网络运营商在发生危害网络安全的事件时的报告义务。对比此前2023年12月8日发布的《网络安全事件报告管理办法（征求意见稿）》，《管理办法》也因应网络安全事件的影响程度提出了更高更具体的合规要求，将最短的报告时限从2023年征求意见稿的1小时缩短至30分钟。近期国家网信办首次发布网络安全、数据安全、个人信息保护相关执法典型案例，10个典型案例中有7个均涉及网络安全事件，包括网页篡改、数据泄露、数据被窃取等，体现了国家监管机关对网络安全事件报告的重视程度。

作为附件，《管理办法》明确了《网络安全事件分级指南》，其参照国家标准《信息安全技术 网络安全事件分类分级指南》（GB/T 20986-2023）制定，以有限枚举的方式给出特别重大、重大、较大、一般等四个级别网络安全事件的分级定量指标。

《国家网络安全事件报告管理办法》合规要点：

适用范围和事件报告主体（第2条， 第12条）

• 在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者； 网络运营者是指网络的所有者、管理者和网络服务提供者

网络安全事件（第12条）

• 是指由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素，对网络和信息系统或其中的数据和业务应用造成危害，对国家、社会、经济造成负面影响的事件。

事件报告时限要求（第4条）

按照《网络安全事件分级指南》进行研判，属于较大以上网络安全事件的：

• 涉及关键信息基础设施的，网络运营者应当第一时间向保护工作部门、公安机关报告，最迟不得超过1小时。属于重大、特别重大网络安全事件的，保护工作部门在收到报告后，应当第一时间向国家网信部门、国务院公安部门报告，最迟不得超过30分钟。

• 网络运营者属于中央和国家机关各部门及其直属单位的，应当及时向本部门网信工作机构报告，最迟不得超过2小时。属于重大、特别重大网络安全事件的，各部门网信工作机构在收到报告后，应当第一时间向国家网信部门报告，最迟不得超过1小时。国家网信部门收到报告后及时向有关部门通报。

• 其他网络运营者应当及时向属地省级网信部门报告，最迟不得超过4小时。属于重大、特别重大网络安全事件的，省级网信部门在收到报告后，应当第一时间向国家网信部门报告，最迟不得超过1小时，并同时向同级有关部门通报。

事件报告渠道 （第9条）

• 网信部门建设12387网络安全事件报告热线电话和网站、邮箱、传真等方式，统一接收网络安全事件报告。

处罚（第10条）

• 迟报瞒报从重处罚：因网络运营者迟报、漏报、谎报或者瞒报网络安全事件，造成重大危害后果的，对网络运营者及有关责任人依法从重处罚。

• 及时报告可免于处罚：承担网络安全事件报告的部门未按照本办法规定报告网络安全事件的，依据有关法律、行政法规和网络安全工作责任制追究相关单位和人员责任。

《管理办法》全文内容参考国家网信办：https://www.cac.gov.cn/2025-09/15/c_1759583017717009.htm