Die EU-Richtlinie zur Erhöhung der Cybersicherheit (»NIS 2«) könnte zur Zersplitterung der Domain Name Industry in Europa führen. Das wurde beim Branchentreff »Domain pulse« in Wien einmal mehr deutlich.
Am 16. Januar 2023 ist die NIS2-Richtlinie in Kraft getreten und muss nun von jedem der 27 Mitgliedsstaaten der EU bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Für die Domain Name Industry bringt die NIS 2 zahlreiche Änderungen mit sich, die sich vor allem aus Artikel 28 (»Datenbank der Domänennamen-Registrierungsdaten«) ergeben. Die Regelung verpflichtet Registries und Registrare, »genaue und vollständige Domänennamen-Registrierungsdaten in einer eigenen Datenbank im Einklang mit dem Datenschutzrecht der Union in Bezug auf personenbezogene Daten mit der gebotenen Sorgfalt [zu] sammeln und [zu] pflegen.« Da die Richtlinie den Mitgliedstaaten keine zwingenden Vorgaben erteilt, sondern Spielräume für die Umsetzung lässt, droht der Domain-Branche ein europäischer Flickenteppich an nationalen Regelungen. eco – Verband der Internetwirtschaft e.V., aber auch Lobbyverbände wie der US-amerikanische Handelsverbund i2Coalition (Internet Infrastructure Coalition) und einzelne Registries werben daher verstärkt dafür, dass die Regelungen einheitlich bleiben und (Branchen-)Standards übernommen werden.
Anlässlich der Domain Pulse in Wien warfen die drei veranstaltenden Registries DENIC eG, Nic.at und SWITCH der EU Regulierungswut vor. So warnte etwa nic.at-Geschäftsführer Richard Wein davor, dass grenzüberschreitend arbeitende Registries und Registrare am Ende 27 unterschiedlichen Anforderungskatalogen gegenüberstehen könnten. Weil im Herbst in Österreich Nationalratswahlen anstehen, will man dort am 12. März einen Entwurf für die Umsetzung vorlegen. In Deutschland warten die Experten auf den abschließenden Referentenentwurf des Bundesinnenministeriums, berichtet heise.de. Zu Detailfragen hat Vinzenz Heußler, Policy Officer Cyber Security bei der Europäischen Kommission, eine Konsultation im März oder April 2024 in Aussicht gestellt; deren Ende ist jedoch erst zum 17. Oktober 2024 angesetzt, so dass für eine Umsetzung in nationales Recht keine Zeit mehr bleibt.
Zu den praktisch relevantesten Fragen gehört die Validierung der Nutzerdaten. Welche Inhaberdaten die Domain-Registrare künftig validieren müssen und welches Verfahren sie dazu verwenden, ist noch nicht klar; nicht auszuschließen ist, dass jeder Kunde eines Registrars mit einem Personalausweis in die Kamera seines Laptops lächeln muss, wie etwa beim Eröffnen eines Bankkontos (Postident-Verfahren). Auch eine rückwirkende Prüfung ist nicht ausgeschlossen. Die Prüfung gilt zudem unabhängig von der Art der TLD, erfasst also sowohl generische als auch Länder-Endungen. Fest steht nur eins: Auch für kleinere Registries und Registrare bedeutet die NIS 2 erhebliche zusätzliche Arbeit – es dürfte kaum zu vermeiden sein, dass sich dies auf die Kosten auswirkt.