Die .de-Verwalterin DENIC eG hat einen ersten Ausblick gegeben, wie sie sich die praktische Umsetzung der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (NIS-2) vorstellt.
Noch bleiben rund fünf Monate, bis die NIS-2 von jedem der 27 EU-Mitgliedsstaaten in nationales Recht umgesetzt sein muss. Die NIS-2 wird dabei mit geschätzt rund 30.000 Unternehmen große Teile der deutschen Wirtschaft betreffen, da sie Cybersicherheit zur zentralen Aufgabe macht. Im Mittelpunkt des Interesses steht aber auch die DENIC; so verweisen die Erwägungsgründe zur NIS-2 explizit darauf, dass die Pflege genauer und vollständiger Datenbanken mit Registrierungsdaten (WHOIS-Daten) und ein rechtmäßiger Zugang zu diesen Daten entscheidend seien, um die Sicherheit, Stabilität und Resilienz des Domain Name Systems zu gewährleisten, was wiederum zu einem hohen gemeinsamen Cybersicherheitsniveau in der gesamten Union beitrage. Es seien genaue und vollständige Registrierungsdaten zu erfassen und zu pflegen sowie unrichtige Registrierungsdaten zu verhindern bzw. zu berichtigen. Mit anderen Worten: von der NIS-2 betroffene Registries und Registrare müssen die Daten der Domain-Inhaber künftig validieren und verifizieren. Beispiele für Überprüfungsverfahren können sowohl Ex-ante-Kontrollen zum Zeitpunkt der Registrierung als auch Ex-post-Kontrollen nach der Registrierung sein; mindestens eine Kontaktmöglichkeit des Domain-Inhabers ist zu prüfen. Um die in der NIS-2 enthaltenen Bestimmungen mit Blick auf die Bedürfnisse von Domain-Managern zu betrachten, hat die DENIC bereits Anfang 2023 die NIS-2-Working Group ins Leben gerufen; ihr folgten zwei weitere DENIC-Arbeitsgruppen, die sich mit den rechtlichen Aspekten und der technischen Implementation befassen.
Der für die Domain Name Industry zentrale Artikel 28 der NIS-2 fordert, dass die Domain-Registrare künftig Name und Adresse sowie die eMail-Adresse des Domain-Inhabers verifizieren müssen. Bei der Verifizierung von Domain-Inhaberdaten verfolgt die DENIC einen risikobasierten Ansatz. Der erarbeitete Plan sieht vor, dass die DENIC für neu registrierte und aktualisierte Domains sowie für Domains, die zu einem neuen Provider transferiert worden sind, eine Risikobewertung durchführt. Wird die Domain als »verdächtig« bewertet, muss das verwaltende DENIC-Mitglied die Domain-Inhaberdaten verifizieren; wird das Risiko als »hoch« eingestuft, kommt die Domain in Quarantäne. Für die detaillierten Abläufe zu Verifizierung und Quarantäne wurden in der NIS-2 AG 2023 Modellprozesse definiert. Was die Ausgabe von Inhaberdaten betrifft, sieht die Planung vor, für juristische Personen in Zukunft Name, Adresse, eMail-Adresse, Telefonnummer, das letzte Registrierungsdatum der Domain sowie den Registrar im WHOIS zu veröffentlichen; für natürliche Personen werden das letzte Registrierungsdatum und der Registrar ausgegeben. Das Konzept sieht weiter vor, dass ein Domain-Registrar alle Domain-Inhaber einmal jährlich über die bei ihm gespeicherten Inhaberdaten und deren mögliche Veröffentlichung informieren muss.
Die DENIC betont, dass NIS-2 uns alle angeht. Die Richtlinie ziele auf zahlreiche Aspekte von Cybersicherheit und betreffe eine ganze Palette von wichtigen Einrichtungen, darunter auch DNS-Diensteanbieter, Anbieter von Cloud-Computing oder Rechenzentrumsdiensten, Online-Marktplätze, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke. Der aktuell vorliegende Referentenentwurf für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) geht von jährlichen Kosten für die Wirtschaft von EUR 2,1 Mrd. aus – die NIS-2 zu unterschätzen, hieße also, die Anpassung digitaler Geschäftsprozesse zu versäumen.