Die Internet and Mobile Association of India (IAMAI), die Firmen wie Facebook, Google und Reliance vertritt, kritisierte diese Woche in einem Schreiben an das indische IT-Ministerium eine im April verabschiedete Richtlinie zur Cybersicherheit.

Die Richtlinie des indischen Computer Emergency Response Team (CERT) sieht unter anderem vor, dass Technologieunternehmen Datenschutzverletzungen innerhalb von sechs Stunden nach Bekanntwerden solcher Vorfälle melden und IT- und Kommunikationsprotokolle sechs Monate lang aufbewahren müssen.

In dem von Reuters eingesehenen Brief schlug IAMAI vor, das Sechs-Stunden-Fenster zu verlängern und wies darauf hin, dass der globale Standard für die Meldung von Cybersicherheitsvorfällen im Allgemeinen 72 Stunden beträgt.

Das CERT, das dem IT-Ministerium unterstellt ist, hat auch Cloud-Service-Anbieter wie Amazon und Unternehmen für virtuelle private Netzwerke (VPN) aufgefordert, die Namen ihrer Kunden und IP-Adressen mindestens fünf Jahre lang aufzubewahren, auch wenn diese die Dienste des Unternehmens nicht mehr nutzen.

Die Kosten für die Einhaltung solcher Richtlinien könnten "massiv" sein, und die vorgeschlagenen Strafen für Verstöße bis hin zu Gefängnisstrafen würden dazu führen, dass "Unternehmen ihre Aktivitäten in Indien aus Angst vor Verstößen einstellen", so der Brief der IAMAI.

Am Donnerstag hat der VPN-Anbieter ExpressVPN seine Server aus Indien abgezogen und erklärt, er weigere sich, an den Versuchen der indischen Regierung, die Internetfreiheit einzuschränken, teilzunehmen.

Der Brief der IAMAI folgt einem Schreiben von 11 bedeutenden Industrieverbänden, die Anfang der Woche erklärt hatten, dass die neuen Anforderungen es schwierig machen, in Indien Geschäfte zu machen.

Indien hat in den letzten Jahren die Regulierung großer Technologieunternehmen verschärft, was zu Widerstand in der Branche führte und in einigen Fällen sogar die Handelsbeziehungen zwischen Neu-Delhi und Washington belastete.

Neu-Delhi hat erklärt, die neuen Regeln seien notwendig, da regelmäßig Vorfälle im Bereich der Cybersicherheit gemeldet würden, die erforderlichen Informationen zur Untersuchung dieser Vorfälle aber nicht immer ohne weiteres von den Dienstleistern erhältlich seien.