Die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union – NIS-2 – durchläuft gerade die Umsetzungsphase in die nationale Gesetzgebung. DENIC als Teil der nationalen kritischen Infrastruktur möchte für Domainverwalter in Deutschland eine adäquate und nachhaltig praktikable Lösung schaffen, was die Umsetzung der Verpflichtungen angeht.
Mit der NIS-2-Richtlinie gelten ab Oktober 2024 für viele Unternehmen und Organisationen in 18 kritischen Sektoren erweiterte Cybersicherheitsanforderungen, um das Sicherheitsniveau in den EU-Mitgliedstaaten zu harmonisieren. Damit verbunden sind auch Meldepflichten von Sicherheitsvorfällen sowie Sanktionen bei Verstößen. Im Vergleich zur NIS Directive von 2016 erweitert die überarbeitete Richtlinie stark den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht.
Für DENIC und seine Mitglieder ist insbesondere Artikel 28 von Bedeutung, der Registrierungsstellen und Registrare dazu verpflichtet, „genaue und vollständige Domänennamen-Registrierungsdaten in einer eigenen Datenbank im Einklang mit dem Datenschutzrecht der Union in Bezug auf personenbezogene Daten mit der gebotenen Sorgfalt zu sammeln und zu pflegen“.
Zentrales Ziel von DENIC ist es, gemeinsam mit den Mitgliedern eine gute Lösung zu finden, um den strengen Bestimmungen der NIS-2 angemessen und sinnvoll gerecht zu werden. Dazu hat DENIC die neue Richtlinie bereits im letzten Jahr in einer NIS-2-Artikel-28-Arbeitsgruppe diskutiert. DENIC-Mitglieder von unterschiedlicher Größe und mit verschiedenen Geschäftsmodellen sowie DENIC-Vertreter aus den Bereichen Vorstand, Recht, Policy, Member Relations und Produktmanagement haben sich eingebracht. Im laufenden Jahr werden weitere Details in zwei neuen Working Groups erarbeitet.
Doch zunächst einmal zu den Ergebnissen der ersten Arbeitsgruppe und welche Veränderungsvorschläge sich ergeben haben.
Untersuchungsgegenstand und Neuerungen
Die DENIC-NIS-2-AG 2023 hat sich mit den zukünftigen Anforderungen für das Sammeln und Pflegen von Registrierungsdaten, deren Verifizierung und Risikobewertung befasst sowie damit, welche Daten einer Domain in Zukunft über die DENIC-Auskunftsdienste veröffentlicht werden.
Artikel 28 der NIS-2 fordert, dass Registrare, also auch unsere Mitglieder, künftig Name und Adresse sowie die E-Mail-Adresse des Domaininhabers verifizieren müssen. DENIC unterstützt sie dabei mit einer umfangreichen Anzahl an Möglichkeiten, Verifizierungsinformationen bei DENIC für den Domaininhaber zu hinterlegen.
Neu wird sein, dass in Zukunft zwingend auch eine Telefonnummer des Domaininhabers bei DENIC anzugeben ist.
Ein weiteres zentrales Thema ist die Verifizierung von Domaininhaberdaten. DENIC verfolgt hier einen risikobasierten Ansatz. Der erarbeitete Plan sieht vor, dass DENIC für neue und aktualisierte Domains, sowie für Domains, die zu einem neuen Provider transferiert worden sind, eine Risikobewertung durchführt. Wird die Domain als „verdächtig“ bewertet, muss das verwaltende DENIC-Mitglied die Domaininhaberdaten verifizieren, wird das Risiko als „hoch“ eingestuft, kommt die Domain in Quarantäne. Für die detaillierten Abläufe zur Verifizierung und Quarantäne wurden in der NIS-2 AG 2023 Modellprozesse definiert.
Was die Ausgabe von Inhaberdaten in den DENIC-Auskunftsdiensten angeht, sieht die Planung vor, für juristische Personen in Zukunft Name, Adresse, E-Mail-Adresse, Telefonnummer, das letzte Registrierungsdatum der Domain sowie das verwaltende DENIC Mitglied zu veröffentlichen. Für natürliche Personen werden das letzte Registrierungsdatum und das verwaltende DENIC-Mitglied ausgegeben.
Das Konzept sieht vor, dass ein Registrar alle Domaininhaber einmal jährlich über die bei ihm gespeicherten Inhaberdaten und deren mögliche Veröffentlichung in den Auskunftsdiensten informieren muss.
Die neuen Arbeitsgruppen
Die beiden Arbeitsgruppen, die Anfang diesen Jahres ins Leben gerufen worden sind, befassen sich zum einen mit Policy-Aspekten und zum anderen mit der technischen Umsetzung der im letzten Jahr ausgearbeiteten Vorschläge für das DENIC-Registrierungssystem. Wie bei der NIS-2-Artikel-28-AG sind unsere Mitglieder Teil der Gruppen und bestimmen die weitere Entwicklung mit.
Bei der technischen Arbeitsgruppe geht es neben der Erarbeitung von technischen Umsetzungsdetails von NIS2 (Art. 28) im Registrierungssystem um eine Roadmap und die Abstimmung der Umsetzungsdetails. Die Teilnehmer haben hier die Möglichkeit, die konkrete Ausgestaltung der Schnittstelle durch ihr Feedback mitzugestalten. Außerdem werden wir unseren Mitgliedern die Möglichkeit anbieten, die neuen Features bereits in der Entwicklungsphase zu testen.
Die Policy-Arbeitsgruppe beschäftigt sich mit den aktuellen Referentenentwürfen zum NIS-2-Umsetzungsgesetz und passt, auf Basis der dort enthaltenen Regelungen, die relevanten DENIC-Regelwerke an. Dabei findet eine Abstimmung mit der technischen Arbeitsgruppe statt. Das nächste Meeting der Gruppe wird stattfinden, wenn das Gesetz tatsächlich existiert
Warum geht NIS-2 uns alle an?
Der Geltungsbereich von NIS-2 ist groß. Denn die Richtlinie zielt auf zahlreiche Aspekte von Cybersicherheit und betrifft eine ganze Palette von wichtigen Einrichtungen wie z.B. DNS-Diensteanbieter, TLD-Namenregister, Domain-Namen-Registrierungsdienste, Anbieter von Cloud-Computing oder Rechenzentrumsdiensten, Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke und noch einige mehr. So umfasst sie unter anderem auch Betreiber von Netzen, die Inhalte zustellen. Es sind somit nicht allein die Registrierungsstellen, die für die Einhaltung der neuen strengen Bestimmungen verantwortlich sind. Sie erstreckt sich weit in das komplexe Netz von Leistungen rund ums Internet. Jeder, der damit zu tun hat, hat also auch mit der NIS-2-Richtlinie zu tun. Dabei möchten wir – ganz im Sinne unseres Leitbilds „for a responsible internet” – unseren Beitrag zu einem hohen Sicherheitsniveau im europäischen Cyberraum leisten.