16 OKTOBER 2024
NIS2 – am 17.10.2024 in der EU rechtskräftig
Obwohl die Schweiz nicht direkt von der EU-Gesetzgebung betroffen ist, ist die NIS2-Richtlinie auch für die Schweiz relevant. Denn die Richtlinie bezieht explizit Lieferketten und Partnerunternehmen ein und hat somit Auswirkungen auf Schweizer Unternehmen, die in oder mit der EU tätig sind.
Die NIS-2-Richtlinie (Network and Information Security Directive 2) der Europäischen Union zielt darauf ab, die Cybersicherheitsmassnahmen in verschiedenen Sektoren zu verstärken, indem sie Mindestanforderungen für Cybersicherheitsmassnahmen und Meldepflichten vorschreibt. Durch die Erweiterung ihres Geltungsbereichs, insbesondere in der Domain-Branche, nimmt die Richtlinie eine zentrale Rolle im Schutz des Internets ein. Artikel 28 der NIS-2-Richtlinie legt spezifische Anforderungen fest, die die Registries und Domain-Registrierungsanbieter direkt betreffen und deren Praktiken zur Verwaltung von Domain-Daten erheblich beeinflussen.
Bedeutung der Domain-Branche im Kontext von NIS-2
Die Domain-Branche, bestehend aus TLD-Registrys, Domain-Registrars und Hosting-Providern, bildet das Rückgrat der Internet-Infrastruktur. Diese Akteure ermöglichen die Registrierung und Verwaltung von Domains, was für den Zugriff auf Websites und Online-Dienste essenziell ist. Da Cyberangriffe immer häufiger und komplexer werden, werden auch diese Anbieter potenzielle Angriffspunkte für Cyberkriminelle. Ein gezielter Angriff auf Domain-Registrys oder Registrars könnte zum Beispiel zur Manipulation von DNS-Einträgen führen, was fatale Folgen für die Integrität des Internets haben könnte.
Die NIS-2-Richtlinie erkennt dies an und erweitert ihren Geltungsbereich auf diese Akteure, um sicherzustellen, dass diese essenziellen Dienste besser geschützt werden. Ziel ist es, die Widerstandsfähigkeit der Domain-Branche gegen Cyberangriffe zu erhöhen und sicherzustellen, dass Schwachstellen in der Internet-Infrastruktur frühzeitig erkannt und behoben werden.
Auswirkungen von Artikel 28 auf die Domain-Branche
Artikel 28 der NIS-2-Richtlinie führt wesentliche Änderungen für die Domain-Branche ein, insbesondere hinsichtlich der Verwaltung von Domain-Registrierungsdaten (NIS-2 Art 26 ff.) Die wichtigsten Änderungen umfassen:
- Erweiterte Datenerfassungspflichten: TLD-Registrys und Domain Name Registrars müssen künftig genauere und umfassendere Informationen über die Registranten und Betreiber von Domains sammeln. Dazu gehören:
- Der vollständige Name des Registranten.
- Die Kontaktdaten (Adresse, E-Mail, Telefonnummer).
- Das Datum der Registrierung. Diese Daten müssen stets auf dem neuesten Stand gehalten und regelmässig überprüft werden.
- Verpflichtung zur Datenvalidierung: Neben der blossen Erfassung von Daten verlangt Artikel 28, dass die bereitgestellten Informationen auf ihre Richtigkeit und Aktualität hin überprüft werden. Dies bedeutet, dass Registrys und Registrars Mechanismen einführen müssen, um sicherzustellen, dass die Daten korrekt sind. Falsche oder veraltete Informationen könnten zu Sanktionen führen.
- Bereitstellung der Daten an Behörden: Die Richtlinie sieht auch vor, dass Domain-Registrys und Registrars auf Anfrage von zuständigen Behörden wie Strafverfolgungsbehörden Zugang zu den gespeicherten Registrierungsdaten gewähren müssen. Dies dient der Bekämpfung von Cyberkriminalität und der Förderung von Transparenz im Internet. Anbieter müssen sicherstellen, dass diese Daten jederzeit verfügbar und leicht abrufbar sind.
- Erhöhte Compliance- und Sicherheitsanforderungen: Unternehmen in der Domain-Branche müssen nun strengere Sicherheitsvorkehrungen implementieren, um ihre Systeme vor Cyberangriffen zu schützen. Dazu gehört die Anwendung von Risikoanalysen, Sicherheitsüberprüfungen und die Einführung von Massnahmen, die die Verfügbarkeit, Integrität und Vertraulichkeit der Registrierungsdaten gewährleisten.
Fazit
Die NIS-2-Richtlinie, insbesondere Artikel 28, stellt einen bedeutenden Schritt zur Erhöhung der Cybersicherheit in der Domain-Branche dar. Die ccTLD Domain Namen, welche in den EU-Ländern registriert sind und werden, müssen mit den aktuellen und korrekten Daten des Inhabers hinterlegt sein. Die Registries werden dies über das Anfordern der Daten beim Registrar überprüfen und bei unvollständigen Informationen die Domaine suspendieren, oder unter Vorbehalt löschen.
Obwohl die Umsetzung dieser Anforderungen für viele Unternehmen eine Herausforderung darstellen wird, sind die Massnahmen entscheidend, um die Integrität und Sicherheit des Internets zu gewährleisten. Durch Zusammenarbeit, Technologie und regulatorische Unterstützung kann die Domain-Branche die Anforderungen von NIS-2 erfolgreich erfüllen und gleichzeitig ihre Rolle in der digitalen Infrastruktur stärken.
Unser Ziel ist es, unsere Kunden proaktiv zu unterstützen und die Domain Inhaberdaten so weit möglich aktuell zu halten.
Quelle: Richtlinie