Die EU-Kommission bereitet die Einführung einer eigenen Organisation zur technischen Weiterentwicklung des Internets vor: auf Grundlage der NIS-2 soll das »Multi-stakeholder Forum on Internet Standards Deployment« künftig Standards setzen.
Ob Internet Corporation for Assigned Names and Numbers (ICANN), Internet Assigned Numbers Authority (IANA), Internet Engineering Task Force (IETF), Internet Architecture Board (IAB) oder Internet Assigned Numbers Authority (IANA) – eine Vielzahl von meist gemeinnützigen Organisationen sorgt dafür, dass das Internet reibungslos funktioniert und technisch weiterentwickelt wird. Sie entwickeln Internetstandards und »Best Practices«, die die Funktionsweise des Internets verbessern sollen. Da will auch die EU nicht nachstehen und hat angekündigt, mit dem »Multi-stakeholder Forum on Internet Standards Deployment« eine eigene Organisation zu gründen. Grundlage ist die Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024, die wiederum auf der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (Network and Information Security 2, kurz: NIS-2) aufbaut. Die Durchführungsverordnung richtet sich speziell an »DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter« und soll die technischen und methodischen Anforderungen der in Artikel 21 Absatz 2 der NIS-2 genannten Maßnahmen festgelegen und die Fälle präzisieren, in denen ein Sicherheitsvorfall als erheblich anzusehen ist. Im Fall einer TLD-Registry liegt ein erheblicher Sicherheitsvorfall demnach vor, wenn die durchschnittliche Antwortzeit eines autoritativen Dienstes zur Auflösung von Domain-Namen auf DNS-Anfragen mehr als eine Stunde lang mehr als 10 Sekunden beträgt.
Die technischen und methodischen Anforderungen der Verordnung sind in einem Anhang näher spezifiziert. Für den Bereich der Netzsicherheit verpflichtet er die vorgenannten Einrichtungen, geeignete Maßnahmen zu ergreifen, um ihre Netz- und Informationssysteme vor Cyberbedrohungen zu schützen. In den Erwägungsgründen heißt es dazu, dass die EU-Kommission mit Unterstützung der Agentur der Europäischen Union für Cybersicherheit (ENISA) und in Zusammenarbeit mit den zuständigen Behörden, mit der Wirtschaft – einschließlich der Telekommunikationsbranche – und anderen Interessenträgern die Entwicklung eines Multi-Stakeholder-Forums unterstützen soll, dessen Aufgabe es wäre, die besten bestehenden Normen und Einführungstechniken zu ermitteln. Vorgesehen sind die vier Arbeitsgruppen »Network layer comm. protocols«, »E-mail security protocols«, »DNS Security« und »Internet Routing«, die sich in vierteljährlichen Plenarsitzungen abstimmen. Als potentielle Mitglieder dieses Forums hat man neben NIS-2-regulierten Unternehmen vor allem Telekommunikationsanbieter in der EU, Geräteanbieter, European Union Institutions, Bodies and Agencies (EUIBA) sowie die Initiative MANRS (Mutually Agreed Norms for Routing Security) im Blick. Rüdiger Martin von der Generaldirektion Kommunikationsnetze der EU-Kommission:
Wir glauben, dass die Multi-Stakeholder-Natur des Prozesses die Akzeptanz der Standards über die von der NIS verpflichteten hinaus verbessern kann.
Eine Begrenzung der Teilnehmerzahl des Forum ist vorerst nicht geplant; entscheidendes Kriterium sei die »technische Expertise«, so Martin gegenüber heise.de.
In zeitlicher Hinsicht ist die erste Plenarsitzung des Forums für das 3. Quartal 2025 geplant. Die Arbeitsgruppen sollen dann im 4. Quartal 2025 das erste Mal zusammenkommen. Für das 2. Quartal 2027 ist ein Abschlussplenum angesetzt, was andeutet, dass das Forum nicht auf unbestimmte Dauer eingerichtet werden soll, sondern über einen Zweck definiert wird; angesichts der Dynamik im Bereich der Cybersicherheit dürfte das letzte Wort aber noch nicht gesprochen sein.