Cybersicherheit

Rechtsanwalt Rickert entmystifiziert NIS-2

In einem aktuellen Blog-Artikel hat sich der Bonner Rechtsanwalt Thomas Rickert an die Aufgabe gemacht, die für die Domain Name Industry zentrale Regelung in Artikel 28 der NIS-2 zu entmystifizieren.

Noch bis zum 17. Oktober 2024 bleibt jedem der 27 EU-Mitgliedsstaaten, die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (Network and Information Security 2, kurz: NIS-2) in nationales Recht umzusetzen. Im Zuge der Umsetzung der NIS-2 mehren sich seit geraumer Zeit die Diskussionen um deren Auslegung und verbleibende Spielräume des nationalen Gesetzgebers. So warnte zum Beispiel die Internet Infrastructure Coalition (I2Coalition) bereits im Mai 2022 davor, dass die NIS-2 zu nationalen Inkonsistenzen und Konflikten innerhalb der globalen Domain Name Industry führen könnte. Anlässlich des Domain pulse in Wien wies auch Nic.at-Geschäftsführer Richard Wein darauf hin, dass grenzüberschreitend arbeitende Registries und Registrare am Ende 27 unterschiedlichen Anforderungskatalogen gegenüberstehen könnten. Nach Einschätzung von Thomas Rickert, Rechtsanwalt und Director Names & Numbers bei eco – Verband der Internetwirtschaft eV, zeichnet sich mit der Veröffentlichung der ersten Gesetzesentwürfe der Trend ab, dass der für die Branche zentrale Artikel 28 NIS-2 (»Datenbank der Domänennamen-Registrierungsdaten«) mehr oder weniger mit nur geringen oder keinen inhaltlichen Änderungen in die Landessprachen übersetzt wird. Die Regelung verpflichtet Registries und Registrare,

genaue und vollständige Domänennamen-Registrierungsdaten in einer eigenen Datenbank im Einklang mit dem Datenschutzrecht der Union in Bezug auf personenbezogene Daten mit der gebotenen Sorgfalt [zu] sammeln und [zu] pflegen.

Dies ist nach Einschätzung von Rickert zwar eine gute Nachricht, was das Risiko einer europäischen Fragmentierung angehe; es gebe jedoch kaum bis gar keine Anleitung, wie die Formulierung in Artikel 28 NIS-2 verstanden und umgesetzt werden soll. In einem Artikel mit dem Titel Demystifying Art. 28 NIS2 bietet Rickert daher einen aktuellen Überblick über die Pflichten nach Art. 28 NIS-2 und dessen Anwendbarkeit.

Eine der wichtigsten Fragen sei, welche Unternehmen der Domain-Branche unter die NIS-2 fallen. Klar sei das für Registries, DNS-Dienstanbieter und Registrare, aber auch Reseller oder Anbieter von Datenschutz- oder Proxy-Registrierungsdiensten. Aussicht auf eine Ausnahme haben .brands, jedenfalls dann, wenn sie gemäß Artikel 6 (21) NIS-2 Domain-Namen nur für den eigenen Gebrauch verwenden. Die Anwendbarkeit könne sich aber auch aus anderen Rollen ergeben, beispielsweise im Kontext einer Lieferkette und Cloud- oder Hosting-Diensten. Weiter sei wichtig, dass auch Unternehmen mit Sitz außerhalb der EU in den Anwendungsbereich der NIS-2 fallen können, wenn sie entsprechend des Marktstandortprinzips ihre Dienste auch innerhalb der EU anbieten; sie müssen dann gemäß Artikel 26 (3) in Verbindung mit Art. 26 (1) (b) NIS-2 einen Vertreter in der EU benennen. Für eine Registry gelte das jedenfalls dann, wenn sie mit europäischen Domain-Registraren zusammenarbeite. Im Mittelpunkt der Überlegungen von Rickert steht sodann die Auslegung von Artikel 28 NIS-2 in Bezug auf die dort geregelten vier Aufgaben für Registries und Unternehmen, die Domain-Namensregistrierungsdienste anbieten. Rickert legt detailliert dar, weshalb nach seinem Verständnis vermieden werden soll, dass mehrere Stellen Kopien der Daten besitzen oder Kontrolleure bzw. Verarbeiter der Registrierungsdaten sind. Daraus zieht er den Schluss: Wenn die Parteien zusammenarbeiten, müssen keine Aufgaben doppelt ausgeführt werden; wenn jedoch keine Zusammenarbeit stattfindet, muss jede Partei ihre Verpflichtungen erfüllen. Es wäre also möglich, die Verantwortlichkeiten zwischen Registries, Registraren, Resellern sowie Datenschutz- und Proxy-Dienstanbietern unterschiedlich zu teilen.

Wer sich in seinem beruflichen Alltag mit der NIS-2 auseinandersetzen muss, tut gut daran, sich mit den Ausführungen von Rickert zu befassen und Argumente für, gegebenenfalls auch gegen die eigene Position zu sammeln. Die Domain Name Industry muss diese Diskussionen im Blick behalten und versuchen, die nationalen Regelungen zu vereinheitlichen und einheitlich auszulegen. Andernfalls droht ein europäischer Flickenteppich an nationalen Regelungen – zum Nachteil der Kunden.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht, oder weitergegeben.
Bitte füllen Sie die gekennzeichneten Felder aus.*

Abonnieren Sie unseren Newsletter

Der Domain-Newsletter von domain-recht.de ist der deutschsprachige Newsletter rund um das Thema "Internet-Domains". Unser Redeaktionsteam informiert Sie regelmäßig donnerstags über Neuigkeiten aus den Bereichen Domain-Registrierung, Domain-Handel, Domain-Recht, Domain-Events und Internetpolitik.

Mit Bestellung des Domain-Recht Newsletter willigen Sie darin ein, dass wir Ihre Daten (Name und E-Mail-Adresse) zum Zweck des Newsletterversandes in unseren Account bei der Optimizly GmbH (vormals Episerver GmbH), Wallstraße 16, 10179 Berlin übertragen. Rechtsgrundlage dieser Übermittlung ist Artikel 6 Absatz 1 Buchstabe a) der Europäischen Datenschutzgrundverordnung (DSGVO). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie am Ende jedes Domain-Recht Newsletters auf den entsprechenden Link unter "Newsletter abbestellen? Bitte einfach hier klicken:" klicken.

Top