Die von der EU-geplante »Revised Directive on Security of Network and Information Systems« schlägt hohe Wellen: nach einem Bericht von heise.de befürchten die Betreiber von Root Servern, dass Europa in unzulässiger Weise auf die Internetinfrastruktur Einfluss nimmt.
Im Dezember 2020 hatte die EU-Kommission ihre Pläne öffentlich gemacht, durch die überarbeitete »Richtline über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union«, bekannt als »NIS-2«, die kollektive Abwehrfähigkeit Europas gegen Cyberbedrohungen zu stärken. Sie soll im Aktionsfeld »Widerstandsfähigkeit, technologische Unabhängigkeit und Führungsrolle« ein globales und offenes Internet gewährleisten; digitale Infrastrukturen wie »Internet-Knoten, DNS-Anbieter, TLD-Namen-Register« zählen ausdrücklich zu den Sektoren, die vom Kommissionsvorschlag abgedeckt sind. Entsprechend groß war die Aufregung. So hinterlegte etwa die Internet-Verwaltung ICANN am 19. März 2021 eine Stellungnahme bei der EU-Kommission, in der sie zahlreiche Regelungen als unklar und zu weitgehend kritisierte. Dem schloss sich die .nl-Registry SIDN an, die sich wegen zahlreicher unbestimmter Rechtsbegriffe besorgt zeigte und im Vergleich zu den aktuellen Registrierungsgebühren von meist wenigen Euro jährlich eine erdrückende Kostenlast vorhersagte. Auch die DENIC eG, Verisign Inc., die European Internet Services Providers Association, RIPE NCC sowie die International Trademark Association (INTA) haben ihre Stellungnahmen bei der EU-Kommission eingereicht.
Massive Kritik kommt nun auch von den Betreibern der Root Servern, also jener Server, die dafür sorgen, dass Domains in IP-Adressen aufgelöst werden und so sicherstellen, dass das World Wide Web funktioniert. Ihnen ist vor allem ein Dorn im Auge, dass die EU versucht, Einfluss auf die 13 Root-Nameserver zu nehmen, die von verschiedenen, meist im Ausland ansässigen Institutionen wie VeriSign, der NASA, der University of Maryland oder dem gemeinnützigen Internet Systems Consortium (ISC) betrieben werden. Wie schon bei der Datenschutzgrundverordnung werden im Fall von Rechtsverletzungen vor allem die strengen finanziellen Sanktionen mit Bußgeldern in Höhe von bis zu zwei Prozent des weltweiten Jahresumsatzes gefürchtet.
Es ist geradezu undenkbar, dass die Europäische Union die US-Regierung beaufsichtigt oder der NASA Geldstrafen auferlegt,
kritisierte Marco Hogewoning, Regulierungsexperte beim europäischen Root-Server-Betreiber RIPE NCC, den Entwurf nach Angaben des Online-Magazins heise.de. Das Vorhaben werde die »Balkanisierung« des Internets vorantreiben, befürchtet Robert Carolina, Justiziar bei ISC. Der Entwurf kollidiere mit der Idee der EU, die grundlegende Internetinfrastruktur dem Zugriff von Regierungen zu entziehen.
Änderungsbedarf sieht schließlich auch der Ausschusses für bürgerliche Freiheiten, Justiz und Inneres. Im Zusammenhang mit Domains und Registrierungsdaten schlägt der Präzisierungen vor, welche die Rechtsgrundlage für die Veröffentlichung »einschlägiger Angaben« zu Zwecken der Identifizierung und Kontaktaufnahme, die Kategorien von Daten über die Registrierung von Domains, die einer Veröffentlichung unterliegen und die Einrichtungen, die »berechtigte Zugangsnachfrager« darstellen könnten, betreffen. Die in Erwägungsgrund 15 des Richtlinienvorschlags genannten Betreiber von Root-Namenservern möchte aber auch dieser Ausschuss nicht ausklammern.
Dear EU: Please Don’t Ruin the Root,
formulierte es der Niederländer Bert Hubert, Gründer von PowerDNS. Ob er damit Gehör findet, bleibt abzuwarten.