Państwa członkowskie UE były zobowiązane wdrożyć dyrektywę NIS2 do prawa najpóźniej do 17 października 2024 r. Właśnie upływa ten termin i zaledwie kilka krajów UE zdążyło to zrobić w tym terminie.
NIS2 to zaktualizowana wersja dyrektywy Unii Europejskiej w sprawie bezpieczeństwa sieci i informacji. Jej celem jest ustanowienie „wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii”, częściowo poprzez zapewnienie wymogów technicznych i operacyjnych dla dostawców infrastruktury cyfrowej i usług. Obejmują one szczególne wymogi dla dostawców rejestracji domen, które mają wpływ na rejestry, rejestratorów i resellerów.
W Polsce nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wdrażającej NIS2 do polskiego porządku prawnego jest nadal na etapie projektu. Trwają konsultacje publiczne, a projekt nie został jeszcze skierowany do Sejmu: https://legislacja.gov.pl/projekt/12384504/katalog/13055207
Ten wpis ma na celu pomóc naszym klientom zrozumieć, w jaki sposób NIS2 wpłynie na branżę domen oraz jakie działania mogą być wymagane z Twojej strony.
Co w zakresie domen zawiera NIS2
Artykuł 28 NIS2 określa szczegóły dotyczące tego, jakie dane dotyczące rejestracji domen są gromadzone oraz w jaki sposób są one ujawniane, publikowane i weryfikowane. Brzmi to dość prosto, ale istnieje kilka czynników komplikujących.
Głównym wyzwaniem jest to, że NIS2 jest dyrektywą, a nie rozporządzeniem. Określa cele, które muszą zostać osiągnięte, a państwa członkowskie UE muszą następnie „transponować” te wymogi do własnych przepisów. Każdy kraj może interpretować wymogi dyrektywy inaczej. Co to oznacza? Mogą się pojawić różne wymogi weryfikacji danych dla każdego rejestru (czyli operatora danej końcówki domeny). Na przykład niektóre rejestry przejmą w całości na siebie zadanie weryfikacji danych, podczas gdy inne przekażą je rejestratorom.
Państwa członkowskie muszą wymagać od rejestrów i dostawców usług rejestracji domen, aby wdrożyli procedury weryfikacji danych w celu zapewnienia dokładności i kompletności danych. Ustawodawcy mogą interpretować słowo „zweryfikowany” inaczej w zależności od kraju, co może oznaczać różne akceptowane metody weryfikacji w zależności od domeny. Każdy rejestr narodowy z UE dokona przeglądu swoich bieżących procesów weryfikacji pod kątem zaktualizowanych lokalnych przepisów i wprowadzi dodatki lub modyfikacje według własnego uznania.
Państwa członkowskie muszą wymagać od rejestrów i dostawców usług rejestracji domen gromadzenia i przechowywania dokładnych i kompletnych danych rejestrującego w dedykowanej bazie danych. Baza danych musi zawierać wszystkie informacje niezbędne do zidentyfikowania osoby rejestrującej nazwę domeny. W szczególności musi ona obejmować:
- nazwę domeny,
- datę rejestracji domeny,
- imię i nazwisko rejestrującego,
- adres e-mail rejestrującego,
- numer telefonu rejestrującego,
- adres e-mail i numer telefonu kontaktowego administratora, jeśli administrator jest inny niż rejestrujący.
Dyrektywa NIS2 ma przede wszystkim wpływ na europejskie domeny narodowe (ccTLD). Nie wszystkie rejestry będą wprowadzać zmiany, aby dostosować się do nowych przepisów; ich obecne zasady mogą być wystarczające.
W zakresie domen globalnych (gTLDs) nie przewiduje się zmian. Już obecnie istnieje obowiązek weryfikacji adresu e-mail abonenta poprzez wysłanie na niego jednorazowego linka, którego kliknięcie oznacza pomyślną weryfikację. Poza tym większość takich rejestrów domen ma siedzibę w krajach poza UE.
Część europejskich domen narodowych z kolei już od pewnego czasu stosuje ścisłą weryfikację tożsamości każdego abonenta jeszcze na etapie rejestracji domeny. Przykładem są rejestry bułgarski (domeny .bg) oraz duński (domeny .dk). Rejestry te samodzielnie weryfikują tożsamość każdego abonenta, a domeny nie są aktywne aż do pomyślnego zakończenia procedury.
Jeśli rejestrujesz domeny na własne potrzeby lub Twojej organizacji
Możesz spodziewać się dokładniejszej weryfikacji danych, które podajesz jako dane swojego konta u nas, które następnie są używane do rejestracji nazw domen.
Będziemy mieć obowiązek weryfikacji jednej z dwóch Twoich danych: adres e-mail oraz numer telefonu. Z uwagi na to, że weryfikacja adresu e-mail jest prostsza, będzie ona domyślnym sposobem weryfikacji.
Już teraz weryfikujemy adres e-mail Twojego konta, zanim będzie ono w pełni aktywne. Weryfikacja zostanie jednak rozszerzona również na inne adresy e-mail, jeżeli takowe używasz w ramach usług utrzymywanych u nas.
Weryfikacji adresu e-mail również dokonują poszczególne rejestry i rejestratorzy, z którymi współpracujemy. Najczęściej takowa weryfikacja jest jednorazowa, dopóki nie dokonasz aktualizacji lub zmiany danych.
Raz zweryfikowany zestaw danych nie będzie wymagać kolejnej weryfikacji przykładowo przy rejestracji kolejnej nazwy w tej samej końcówce domenowej.
NIS2 wymaga od rejestrów i dostawców rejestracji nazw domen, aby odpowiadali na wnioski o dostęp do danych rejestrującego w ciągu 72 godzin. Jeśli otrzymamy urzędowy wniosek o wydanie danych abonenta, musimy udzielić odpowiedzi w tym czasie. Wymaga to od nas wdrożenia procedur, które mogą kierować do manualnej weryfikacji podane przez Ciebie dane.
W szczególności mamy prawo do żądania dodatkowych dokumentów potwierdzających wprowadzone przez Ciebie dane w przypadku gdy mamy wątpliwości co do ich poprawności lub kompletności, lub też, gdy otrzymamy odpowiednie urzędowe wezwanie.
Podanie pełnych i prawidłowych danych rejestrującego jest zawsze niezbędne, abyśmy mogli świadczyć usługi. Ta zasada się nie zmienia. Nie ma i nie będzie możliwości anonimowych rejestracji nazw domen. Świadome podawanie fałszywych danych lub podszywanie się pod osobę trzecią może rodzić odpowiedzialność prawną.
Jeśli rejestrujesz domeny dla osób trzecich (resellerzy)
Poniższe informacje dotyczą naszych klientów, którzy na swoich kontach rejestrują lub utrzymują domeny na rzecz osób trzecich. W większości przypadków są to resellerzy.
Odpowiedzialność za spełnienie wymogów artykułu 28 spoczywa zbiorowo na „rejestrach i dostawcach usług rejestracji domen”, co można interpretować jako obejmujące zarówno rejestratorów, jak i resellerów. Co więcej, końcowe postanowienie artykułu 28 stanowi, że „rejestry i podmioty świadczące usługi rejestracji nazw domen” muszą „współpracować ze sobą”, aby uniknąć powielania gromadzenia danych.
Artykuł 28 NIS2 określa wymagania dotyczące gromadzenia, weryfikacji, publikowania i ujawniania danych rejestracji domen. Zgodnie z artykułem 28 NIS2 obowiązki weryfikacji danych spoczywają zarówno na rejestratorze (my) jak i również resellerach (Ty). Skuteczna weryfikacja danych abonentów będzie wymagała więc ścisłej współpracy.
Większość rejestrów, w tym rejestr domen .pl, planuje przyjąć „podejście oparte na ryzyku” do weryfikacji. Oznacza to, że będą one żądać dowodu weryfikacji w każdym indywidualnym przypadku, na przykład, gdy zostaną znalezione nieprawidłowości w zestawie danych rejestrującego.
Niektóre rejestry będą kontaktować się z rejestrującym bezpośrednio, podczas gdy inne będą kontaktować się z rejestratorem. Ten proces nie jest nowy. Obecnie rejestry regularnie kontaktują się z rejestratorami, aby zapytać o nieprawidłowe lub podejrzane dane, a my z kolei kontaktujemy się z naszymi resellerami, aby potwierdzić ich dokładność. Jednak w świetle NIS2 te procedury zostaną doprecyzowane i będą ściśle przestrzegane.
Zgodnie z NIS2, jako nasz reseller będziesz musiał posiadać wdrożone procedury:
- procedura sprawdzania poprawności danych ex ante, czyli upewnienia się, że przekazywane nam dane rejestrującego są spójne, kompletne oraz nie zawierają oczywistych błędów. Obejmuje to na przykład brak numeru domu w zestawie adresu, niezgodne województwo, błędny kod kraju, czy też powtórzone wiele identycznych znaków w polu imię i nazwisko (rejestrujący o nazwie “Xxx Yyy” na pewno nie jest prawdziwą osobą). Ani dyrektywa, ani my, nie narzuca tutaj ścisłych i konkretnych warunków weryfikacji, istotne jest jednak wykazanie starannego działania.
- procedura weryfikacji adresu e-mail lub numeru telefonu osoby rejestrującej ex post. W zależności od domeny, będzie to wymagało przedstawienia potwierdzenia kliknięcia w link weryfikacyjny wysłany na adres e-mail abonenta, lub weryfikacji numeru telefonu poprzez nawiązanie połączenia głosowego, lub weryfikację przy użyciu kodu SMS.
- możesz być przez nas lub przez rejestr danej domeny poproszony o udostępnienie logów potwierdzających przeprowadzoną weryfikację danych.
Dokładne procedury nie są jeszcze znane. Po tym, jak dyrektywa NIS2 zostanie wprowadzona w pełni do porządku prawnego krajów UE, spodziewamy się ostatecznego kształtu wymagań w zależności od końcówki domenowej. Będziemy o tym informować na bieżąco.
Musimy również wspomnieć, iż informacje tutaj zawarte nie stanowią porady prawnej. Powinieneś rozważyć skorzystanie z usług prawnych, aby sprawdzić, jak NIS2 wpłynie na Twój biznes.
Podsumowanie
Dyrektywa NIS2 nie wprowadza rewolucji w świecie domen internetowych. Obserwując przygotowania rejestrów domen do jej implementacji, nie przewidujemy dużych zmian w procedurach rejestracji nazw domen.
Uściśleniu ulegną dotychczas używane procedury weryfikacji danych abonentów. Ścisłym wymogiem będzie weryfikacja adresu e-mail lub numeru telefonu każdego abonenta, obejmująca sprawdzenie, czy abonent jest osiągalny pod danym adresem e-mail lub numerem telefonu.
Niektóre rejestry domen mogą przejść na procedurę pełnej weryfikacji tożsamości każdego abonenta, na etapie rejestracji domeny lub późniejszym. Nie będzie to jednak dotyczyć domeny .pl ani najpopularniejszych domen globalnych.
Wszystko to ma na celu zapewnienie większego bezpieczeństwa w sieci, poprzez ograniczenie liczby domen wykorzystywanych do działań przestępczych.
Dokładne zmiany będą znane po wdrożeniu dyrektywy NIS2 w Polsce oraz w krajach, których domeny narodowe oferujemy. Wszystkie nowe informacje będziemy publikować na bieżąco na naszych stronach, w bazie domen oraz przekazywać w newsletterach.
Jako CEO MSERWIS posiadam ponad 20-letnie doświadczenie z zakresu tworzenia oprogramowania, funkcjonowania domen oraz serwerów wirtualnych. Odpowiadam za nadzór nad wszystkimi aspektami działalności, w tym sprzedażą, marketingiem, finansami i opracowywaniem strategii biznesowych. Pomagam przedsiębiorcom tworzyć sklepy e-commerce i konfiguratory 3D, które zapewniają więcej klientów dla ich biznesów.