Die Richtlinie zur Erhöhung der Cybersicherheit (überarbeitete NIS-Richtlinie, kurz »NIS 2«) rückt in greifbare Nähe: am 13. Mai 2022 einigten sich der Europäische Rat und das Europäische Parlament auf gemeinsame Maßnahmen, um Resilienz und die Kapazitäten zur Reaktion auf Sicherheitsvorfälle zu verbessern.
Im Dezember 2020 hatte die EU-Kommission ihre Pläne öffentlich gemacht, durch die überarbeitete »NIS 2« die kollektive Abwehrfähigkeit Europas gegen Cyberbedrohungen zu stärken. Darin eingeschlossen sind Änderungen im Bereich digitale Infrastrukturen, wie zum Beispiel DNS-Anbieter und Registries. In Artikel 23 des Entwurfs sind zum Beispiel eigene Regelungen für »Datenbanken der Domänennamen und Registrierungsdaten« vorgesehen. Sie könnten zu einer »Klarnamenspflicht für Domaininhaber« führen, befürchtete unter anderem Patrick Breyer, Europaabgeordneter und Mitglied der Piratenpartei Deutschland. Natürliche Personen sollen zwar darauf vertrauen dürfen, dass die öffentlich einsehbaren WHOIS-Daten zahlreiche Angaben nicht enthalten. Im Falle juristischer Personen sollen jedoch der Name, die physische Adresse, die eMail-Adresse und die Telefonnummer des Domain-Inhabers das Minimum darstellen, das veröffentlicht wird. Details sind unklar, da lediglich Entwurfsfassungen der NIS 2 kursieren. Es zeichnet sich aber ab, dass nach der DSGVO auch die »NIS 2« die Internet-Verwaltung ICANN zu Änderungen im WHOIS zwingt.
In einer Pressemitteilung haben der Europäische Rat und das Europäische Parlament nun bekanntgegeben, dass man sich auf Maßnahmen zur Sicherung eines hohen gemeinsamen Cybersicherheitsniveaus in der gesamten Union geeinigt hat, um die Resilienz und die Kapazitäten zur Reaktion auf Sicherheitsvorfälle sowohl des öffentlichen als auch des privaten Sektors und der EU als Ganzes weiter zu verbessern. Dazu werden Mindestvorschriften für einen Rechtsrahmen und Mechanismen für eine wirksame Zusammenarbeit zwischen den zuständigen Behörden festgelegt. Die Liste der Sektoren und Tätigkeiten, für die Verpflichtungen im Hinblick auf die Cybersicherheit gelten, werden aktualisiert und es werden Abhilfemaßnahmen und Sanktionen festgelegt, um die Durchsetzung zu gewährleisten. Zudem wird das Netzwerk der Verbindungsorganisationen für Cyberkrisen (»EU-CyCLONe«) eingerichtet, das das koordinierte Management massiver Cybersicherheitsvorfälle unterstützen wird. Während nach der alten NIS-Richtlinie die Mitgliedstaaten dafür zuständig waren, festzulegen, welche Einrichtungen die Kriterien für die Einstufung als Betreiber wesentlicher Dienste erfüllen, wird mit der NIS2-Richtlinie ein Schwellenwert für die Größe eingeführt. Das bedeutet, dass alle mittleren und großen Unternehmen, die in den von der Richtlinie erfassten Sektoren tätig sind oder die unter die Richtlinie fallende Art von Diensten erbringen, in den Anwendungsbereich der Richtlinie fallen. Die Mitgliedstaaten müssen die Vorschriften der Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen. Die vorläufige Einigung muss nunmehr vom Rat und vom Europäischen Parlament gebilligt werden.
Unterdessen warnt die Internet Infrastructure Coalition (I2Coalition) davor, dass die NIS-2 zu Inkonsistenzen und Konflikten innerhalb der Domain Name Industry führen wird. Nach Einschätzung ihres Executive Director Christian Dawson differenziert Artikel 23 nicht ausreichend zwischen den verschiedenen Verantwortlichkeiten, die Registries und Registraren bei der Registrierung zukommt. So würden einige Registries die Daten der Domain-Inhaber gar nicht erfassen, da sie diese nicht benötigen. Ähnliche Bedenken hatte zuvor bereits eco, der Verband der Internetwirtschaft eV, geäußert. Ob sie Gehör gefunden haben, werden wir aber erst wissen, wenn eine aktualisierte Entwurfsfassung der NIS 2 veröffentlicht ist.