Der US-amerikanische Handelsverbund i2Coalition (Internet Infrastructure Coalition) hat einen »Implementation Guide« für die Richtlinie zur Erhöhung der Cybersicherheit (»NIS 2«) veröffentlicht. Darin fordert er vor allem eine enge Bindung an ICANN-Regularien.
Am 16. Januar 2023 ist die NIS2-Richtlinie in Kraft getreten und muss nun von jedem Mitgliedsstaat der EU bis zum 17. Oktober 2024 in geltendes nationales Recht umgesetzt werden. Für die Domain Name Industry bringt die NIS 2 zahlreiche Änderungen mit sich, die sich vor allem aus Artikel 28 (»Datenbank der Domänennamen-Registrierungsdaten«) ergeben. Die Regelung verpflichtet Registries und Registrare,
genaue und vollständige Domänennamen-Registrierungsdaten in einer eigenen Datenbank im Einklang mit dem Datenschutzrecht der Union in Bezug auf personenbezogene Daten mit der gebotenen Sorgfalt sammeln und pflegen.
Diese Datenbank muss die erforderlichen Angaben enthalten, anhand derer die Domain-Inhaber und die Domain-Registrare identifiziert und kontaktiert werden können. Umfasst sind jedenfalls die Domain selbst, das Datum der Registrierung, der Namen des Domain-Inhabers, seine eMail-Adresse und seine Telefonnummer. Weiter soll es Überprüfungsverfahren geben, mit denen sichergestellt wird, dass die Datenbanken genaue und vollständige Angaben enthalten. Für das WHOIS wird klargestellt, dass die nicht-personenbezogenen Domain-Registrierungsdaten öffentlich zugänglich zu machen sind.
Die Mitglieder der i2Coalition-Arbeitsgruppe für DNS-Fragen haben in diesem Zusammenhang einen 12-seitigen Leitfaden veröffentlicht, der den EU-Mitgliedsstaaten helfen soll, auf eine einheitliche Umsetzung der NIS 2 und insbesondere von Artikel 28 hinzuwirken. Er stellt die Vorstellungen der i2Coalition dar, wie die Umsetzung voranschreiten sollte. Im Mittelpunkt stehen vier Leitprinzipien, die Fragmentierung vermeiden und eine globale Harmonisierung ermöglichen sollen:
- Reflecting only the minimum requirements set in Art. 28;
- Supporting flexible and diverse business solutions to the goals (outcomes) prescribed by NIS2;
- Recognizing that different rules and obligations apply to gTLDs and ccTLDs; and
- Complementing policies developed by ICANN’s multistakeholder model.
Über diesen vier Prinzipien schwebt die Direktive 111 der Richtlinie, die ausdrücklich darauf verweist, dass so weit wie möglich den von den Multi-Stakeholder-Governance-Strukturen auf internationaler Ebene entwickelten Standards Rechnung getragen werden soll. Daran anknüpfend schlägt die i2Coalition zu jeder Regelung in Artikel 28 eine konkrete Umsetzung vor und verweist dabei auf bestehende, von ICANN etablierte Regelwerke. Besonders interessant ist der Vorschlag zur Regelung zum Zugang zu den WHOIS-Daten, die nach Vorstellung der i2Coalition eng mit den Vorgaben von ICANN verknüpft sein soll:
In accordance with ICANN contracts and policy, gTLD registries and registrars must provide access to specific domain name registration data upon lawful and duly substantiated requests by legitimate access seekers, in accordance with Union data protection law.
Die Verpflichtung von Registries und Registraren, alle Anträge auf Zugang unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Eingang eines Antrags auf Zugang zu beantworten, stellt die i2Coalition nicht in Frage.
Die Harmonisierung der NIS2 mit bestehenden ICANN-Richtlinien ist nach Einschätzung der i2Coalition nicht nur machbar, sondern auch vorteilhaft für den Schutz der Registrierungsdaten. Durch die Angleichung könnten die EU-Mitgliedstaaten eine globale Kohärenz aufrechterhalten und die Sicherheit, Stabilität und Widerstandsfähigkeit des DNS stärken. Da sich die digitale Landschaft ständig weiterentwickele, sei es immer wichtiger sicherzustellen, dass rechtliche Rahmenbedingungen entsprechend angepasst werden, um sowohl lokalen als auch globalen Communities wirksam zu dienen und weiterhin Unterstützung für konsensbasierte Multi-Stakeholder-Prozess zu finden.