Die EU-Richtlinie zur Erhöhung der Cybersicherheit (NIS-2) erhöht auch die Hürden für eine Verifizierung von Domain-Inhaberdaten: Dänemark und Polen geben einen ersten Ausblick, wo die Reise hingeht.
Am 16. Januar 2023 ist die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (Network and Information Security 2, kurz: NIS-2) in Kraft getreten. Da die Richtlinie den Mitgliedstaaten keine zwingenden Vorgaben erteilt, sondern Spielräume für die Umsetzung lässt, droht der Domain-Branche mit der NIS-2 ein europäischer Flickenteppich an nationalen Regelungen. Verschärfend kommt hinzu, dass sie von jedem der 27 EU-Mitgliedsstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt hätte werden müssen, doch passiert ist wenig. Im November 2024 hat die EU deshalb Vertragsverletzungsverfahren gegen 23 Mitgliedstaaten (Bulgarien, Dänemark, Deutschland, Estland, Irland, Griechenland, Spanien, Tschechien, Frankreich, Zypern, Lettland, Luxemburg, Ungarn, Malta, Niederlande, Österreich, Polen, Portugal, Rumänien, Slowenien, Slowakei, Finnland und Schweden) eingeleitet, weil sie die NIS2-Richtlinie nicht vollständig umgesetzt haben. Für die Domain-Branche dauert die Phase der Ungewissheit damit weiter an. Zumindest in Dänemark und Polen zeichnet sich aber bereits ab, dass Domain-Inhabern ein eisiger Wind ins Gesicht bläst.
Die dänische Punktum hat als Verwalterin der Landesendung .dk bereits im Oktober 2023 eine Regelung eingeführt, wonach die Domain-Inhaberdaten sowohl bei der Registrierung verifiziert als auch während der Vertragslaufzeit überprüft werden. Zu diesem Zweck muss der Domain-Inhaber mit Wohnsitz in Dänemark auf Anfrage von Punktum einen Identitätsnachweis mittels MitID (oder einer anderen gleichwertigen elektronischen Identifizierung) vorlegen. Er muss sich dazu mit seiner MitID anmelden und anschließend seine Personenstandsnummer (CPR-Nummer) eingeben. Die Identität gilt als nachgewiesen, wenn Punktum die Übereinstimmung zwischen MitID und CPR-Nummer bestätigt kann; Punktum löscht dann die Informationen zur CPR-Nummer des Domain-Inhabers. Bei Unternehmen oder Organisationen muss sich deren Vertreter mittels MitID anmelden; diese wird dann mit der Handelsregisternummer (CVR) abgeglichen. Für Domain-Inhaber mit Sitz im Ausland kooperiert die Registry mit dem Unternehmen Addo Sign, das Unterlagen zur Identitätsprüfung anfordert; anschließend führt man eine Risikobewertung durch, ob die Kontaktinformationen fehlerhaft sind und damit das Risiko besteht, dass die Domain mit Cyberkriminalität in Verbindung gebracht werden könnte. Die Hürden sind dabei hoch: So behält sich Punktum beispielsweise das Recht vor, eine Stromrechnung anzufordern. Kommt man dem nicht oder nicht ordnungsgemäß nach, kann die Domain gesperrt werden.
In Polen hat die .pl-Registry NASK die Domain-Registrare stärker in die Verantwortung genommen. NASK benachrichtigt sie über Fälle potenziell fehlerhafter Registrierungsdaten, die wiederum dem Domain-Inhaber gemeldet werden. Es wird dabei eine kurze Frist eingeräumt, um die fehlerhaften Daten durch die Bereitstellung von Dokumenten zu korrigieren. Bisher einzigartig ist die Entscheidung von NASK, Geldbußen für Domain-Registrare einzuführen statt als »Strafe« für fehlerhafte Daten lediglich die Sperrung oder Löschung von Domain-Namen vorzusehen. Und die Strafen sind erheblich: vorgesehen ist eine Strafe für Fälle, in denen von vornherein unrichtige Daten übermittelt wurden und zusätzlich eine tägliche Strafe, wenn die Datenkorrektur zu lange dauert. Ob sich andere EU-Länder diesen Modellen anschließen, ist noch offen; ebenso diskutiert wird, dass jeder Kunde eines Domain-Registrars mit einem Personalausweis in die Kamera seines Computers lächeln muss, wie etwa beim Eröffnen eines Bankkontos (PostIdent-Verfahren); auch auf die fortdauernde Überprüfung muss man sich einstellen. Für kleinere Registries und Registrare bedeutet die NIS-2 damit erhebliche zusätzliche Arbeit – es dürfte kaum zu vermeiden sein, dass sich dies auf die Kosten auswirkt.