Das EU-Parlament hat am 10. November 2022 dem umstrittenen Entwurf der Richtlinie zur Erhöhung der Cybersicherheit (überarbeitete NIS-Richtlinie, kurz »NIS 2«) zugestimmt. Eine anonyme Registrierung von Domains soll damit in Zukunft ausgeschlossen sein.
Im Dezember 2020 hatte die EU-Kommission ihre Pläne öffentlich gemacht, durch die überarbeitete »NIS 2« die kollektive Abwehrfähigkeit Europas gegen Cyberbedrohungen zu stärken. Darin eingeschlossen sind Änderungen im Bereich digitale Infrastrukturen, wie zum Beispiel DNS-Anbieter und Registries. So wird ausdrücklich klargestellt, dass die Aufrechterhaltung und Beibehaltung eines zuverlässigen, resilienten und sicheren Domain Name Systems ein Schlüsselfaktor für die Wahrung der Integrität des Internets und von entscheidender Bedeutung für dessen kontinuierlichen und stabilen Betrieb ist, von dem die digitale Wirtschaft und Gesellschaft abhängt. Daher soll die Richtlinie für Registries und DNS-Diensteanbieter gelten, die als Einrichtungen zu verstehen sind, die öffentlich zugängliche rekursive Dienste zur Auflösung von Domains für Internet-Endnutzer oder autoritative Dienste zur Auflösung von Domain-Namen erbringen. Der bisher diskutierte Entwurf der NIS 2 wurde nun mit einer großen Mehrheit der Abgeordneten im EU-Parlament von 577 zu 6 Stimmen bei 31 Enthaltungen verabschiedet.
Die einschneidendsten Änderungen bringt insoweit der neue Artikel 28, der sich »Datenbank der Domänennamen-Registrierungsdaten« widmet. Er verpflichtet die EU-Mitgliedstaaten, dass die Registries genaue und vollständige Registrierungsdaten in einer eigenen Datenbank im Einklang mit dem Datenschutzrecht der Union in Bezug auf personenbezogene Daten mit der gebotenen Sorgfalt sammeln und pflegen. Diese Datenbank muss die erforderlichen Angaben enthalten, anhand derer die Domain-Inhaber und die Domain-Registrare identifiziert und kontaktiert werden können. Umfasst sind jedenfalls die Domain selbst, das Datum der Registrierung, der Namen des Domain-Inhabers, seine eMail-Adresse und seine Telefonnummer. Ebenfalls vorgesehen sind Überprüfungsverfahren, mit denen sichergestellt werden soll, dass die Datenbanken genaue und vollständige Angaben enthalten. Nicht personenbezogene Registrierungsdaten sollen zudem öffentlich zugänglich sein. Die Pflicht zur Registrierung der Identität gilt ausdrücklich auch für Privacy- bzw. Proxy-Dienste.
Der Europaabgeordnete Dr. Patrick Breyer von der Piratenpartei, Schattenberichterstatter im mitberatenden Innenausschuss, kritisierte die Entscheidung heftig:
»Diese staatliche Identifizierungspflicht ist weltweit einzigartig und bricht mit internationalen Prinzipien der Internet Governance. Sie wird von Staaten wie Russland, Iran und China dankend übernommen werden und schlimme Folgen für mutige Menschenrechts- und Demokratie-Aktivisten haben.«
Eine Ausweispflicht für Domain-Inhaber habe nichts mit Netzwerksicherheit zu tun. Breyers Fraktion hatte eine separate Abstimmung über die Identifizierungspflicht beantragt, dies wurde von der Parlamentsmehrheit jedoch abgelehnt.