Auf den Punkt gebracht: Was NIS-2 für Domaininhaber konkret bedeutet

Die neue EU-Richtlinie zur IT-Sicherheit (NIS-2) ist in aller Munde. Was in erster Linie nicht verwundert, betrifft sie doch quasi jeden Anbieter digitaler Dienste. Und damit auch Domaininhaber – oder? Wir werfen einen Blick auf die Auswirkungen auf die Domainbranche und lösen die Frage auf, ob und wie unsere Kunden aktiv werden müssen.

Hintergrund: Warum wurde NIS-2 eingeführt?

Klar ist: Die digitale Transformation eröffnet immense Chancen, bringt jedoch auch ganz neue Herausforderungen mit sich. Cybervorfälle wie IT-Ausfälle, Ransomware-Angriffe, Datenschutzverletzungen und Betriebsunterbrechungen zählen bereits im zweiten Jahr in Folge zu den weltweit größten Geschäftsrisiken (Allianz Risk Barometer 2023).

Mit der NIS-2-Richtlinie gelten daher ab Oktober 2024 für viele Unternehmen und Organisationen in 18 kritischen Sektoren verpflichtende Cybersicherheitsmaßnahmen und Meldepflichten – auch für viele, die bisher nicht betroffen waren. NIS-2 ersetzt dabei die ursprüngliche Network and Information Security (NIS) Directive von 2016 und zielt darauf ab, die Cyber-Resilienz in der EU zu stärken, indem sie die Sicherheitsanforderungen für Betreiber wesentlicher Dienste verschärft.

Dabei legt die NIS-2-Richtlinie eine Vielzahl an Mindestanforderungen fest, welche von allen Organisationen befolgt werden müssen, die aufgrund ihrer Größe oder Ausrichtung als „wichtige oder wesentliche Einrichtungen“ kategorisiert werden.

Bedeutung von NIS-2 für die Domainbranche

Der springende Punkt ist hierbei die Erweiterung der „wesentlichen Einrichtungen“, bei der zukünftig mehr Unternehmen innerhalb der Sektoren den Auflagen unterliegen. Im Vergleich zur NIS Directive von 2016 erweitert die überarbeitete Richtlinie stark den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht. Zur Liste NIS-2-relevanter Sektoren und Dienstleistungen gehören nunmehr Anbieter von digitalen Infrastrukturen, der öffentliche Sektor und das Gesundheitswesen. Als wesentliche Einrichtung eingestuft ist auch die Domainbranche von den spezifischen Herausforderungen betroffen.

Insbesondere Artikel 28 (Datenbank der Domänennamen-Registrierungsdaten) führt neue Pflichten zur Überprüfung von Inhaberdaten ein, die direkte Auswirkungen auf Registries und Registrare haben. Diese sind verpflichtet, eine präzise und vollständige Datenbank aller Domainnamen-Registrierungsdaten (WHOIS-Daten) zu pflegen, um die Transparenz und Nachverfolgbarkeit der Domaininhaber zu verbessern. Dabei ist jedoch sicherzustellen, dass die EU-Datenschutzrichtlinien für personenbezogene Daten eingehalten werden. Die Verifizierung der Inhaberdaten sowie der rechtmäßige Zugang sorgt bis heute für Bedenken und Diskussionen in der Domainbranche und erfordert in vielen Fällen die Anpassung von Systemen und Prozessen.

„Um zur Sicherheit, Stabilität und Belastbarkeit des Domain Name System beizutragen, verpflichten die Mitgliedstaaten TLD-Registrys und Einrichtungen, die Domain Name Registration Services anbieten, exakte und vollständige Domaindaten in einer speziellen Datenbank zu sammeln und zu speichern (…).„

NIS-2-Richtlinie, Artikel 28(1)

Und jetzt? Wie LEMARIT als Corporate Registrar und DNS-Provider reagiert

Die aktualisierte Richtlinie unterstreicht die entscheidende Rolle des DNS in der digitalen Gesellschaft und stellt Provider der Domainbranche vor Herausforderungen.

Ein wesentlicher Teil der NIS-2-Richtlinie basiert auf dem „Know Your Customer“-Prinzip. Als Corporate Registrar sind uns die durch Artikel 28 erforderlichen Inhaberdaten dank der engen Zusammenarbeit mit unseren Kunden bereits vertraut, so dass die Verifizierung keine Hürde darstellt. Darüber hinaus ist eine Domainregistrierung durch (unbekannte) Dritte nicht ohne weiteres möglich, da LEMARIT grundsätzlich strategische Entscheidungen zur Registrierung von Domains heranzieht.

Auch als Betreiber von autoritativen DNS-Servern und Anbieter von DNS-Dienstleistungen reagiert LEMARIT auf die Anforderungen der NIS-2-Richtlinie und wird diese entsprechend erfüllen.

Zweifelsohne: Die NIS-2-Richtlinie stellt die digitale Welt vor besondere Herausforderungen und erfordert zum Teil einschneidende Veränderungen. Gleichzeitig ist sie ein wesentlicher Baustein um das Vertrauen in die Sicherheit digitaler Dienste in der EU zu stärken und die wachsenden Bedrohungen im Cyberraum effektiv zu bekämpfen.