Domena .io, uwielbiana przez startupy i firmy technologiczne, może wkrótce zmierzyć się z niepewną przyszłością. Zmiana suwerenności nad Archipelagiem Czagos, terytorium, z którym domena jest formalnie związana, budzi pytania o jej dalsze funkcjonowanie. Co stanie się, jeśli kod „IO” zostanie usunięty ze standardów międzynarodowych? Czy Twoja domena przestanie istnieć?
Czytaj dalej
W poprzednim artykule „Jak samodzielnie zarejestrować nazwę domeny internetowej w Urzędzie Patentowym?” przedstawiłem instrukcję rejestracji nazwy w Urzędzie Patentowym Rzeczpospolitej Polskiej (UP RP), bez pomocy rzecznika patentowego.
Polski Urząd Patentowy jest idealnym miejscem uzyskania tak zwanej prawnej ochrony krajowej obejmującej Polskę. Bądź co bądź nie każdy przedsiębiorca potrzebuje dla swojej marki daleko idącej protekcji obejmującej wszystkie państwa Unii Europejskiej.
Państwa członkowskie UE były zobowiązane wdrożyć dyrektywę NIS2 do prawa najpóźniej do 17 października 2024 r. Zaledwie kilka krajów UE zdążyło to zrobić w tym terminie. Polska dołączyła do nich z opóźnieniem – nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wdrażająca NIS2 została opublikowana w Dzienniku Ustaw 2 marca 2026 r. i weszła w życie 2 kwietnia 2026 r.
NIS2 to zaktualizowana wersja dyrektywy Unii Europejskiej w sprawie bezpieczeństwa sieci i informacji. Jej celem jest ustanowienie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, częściowo poprzez zapewnienie wymogów technicznych i operacyjnych dla dostawców infrastruktury cyfrowej i usług. Obejmują one szczególne wymogi dla dostawców rejestracji domen, które mają wpływ na rejestry, rejestratorów i resellerów.
Ten wpis ma na celu pomóc naszym klientom zrozumieć, w jaki sposób NIS2 – a teraz także polska ustawa KSC – wpłynie na branżę domen oraz jakie działania mogą być wymagane z Twojej strony.
Artykuł 28 NIS2 określa szczegóły dotyczące tego, jakie dane rejestracji domen są gromadzone oraz w jaki sposób są weryfikowane, przechowywane i ujawniane. Brzmi to dość prosto, ale istnieje kilka czynników komplikujących.
Głównym wyzwaniem jest to, że NIS2 jest dyrektywą, a nie rozporządzeniem. Określa cele, które muszą zostać osiągnięte, a państwa członkowskie UE muszą następnie „transponować” te wymogi do własnych przepisów. Każdy kraj może interpretować wymagania dyrektywy inaczej, co może oznaczać różne wymagania weryfikacji danych dla poszczególnych rejestrów. Na przykład niektóre rejestry przejmą w całości zadanie weryfikacji danych, podczas gdy inne przekażą je rejestratorom.
Państwa członkowskie muszą wymagać od rejestrów i dostawców usług rejestracji domen gromadzenia i przechowywania dokładnych i kompletnych danych rejestrującego w dedykowanej bazie danych. Baza danych musi zawierać wszystkie informacje niezbędne do zidentyfikowania osoby rejestrującej nazwę domeny. W szczególności musi ona obejmować:
Dyrektywa NIS2 ma przede wszystkim wpływ na europejskie domeny narodowe (ccTLD). Nie wszystkie rejestry będą wprowadzać zmiany, aby dostosować się do nowych przepisów – ich obecne zasady mogą być wystarczające.
W zakresie domen globalnych (gTLD) nie przewiduje się większych zmian. Już obecnie istnieje obowiązek weryfikacji adresu e-mail abonenta poprzez wysłanie jednorazowego linka weryfikacyjnego. Poza tym większość takich rejestrów ma siedzibę poza UE.
Część europejskich domen narodowych już od pewnego czasu stosuje ścisłą weryfikację tożsamości każdego abonenta na etapie rejestracji. Przykładem są rejestry bułgarski (domeny .bg) oraz duński (domeny .dk), które samodzielnie weryfikują tożsamość abonenta, a domeny nie są aktywne aż do pomyślnego zakończenia tej procedury.
Jeśli korzystasz z usług rejestracji domen wyłącznie dla siebie lub swojej organizacji, najprawdopodobniej nie będziesz objęty nowymi regulacjami jako podmiot kluczowy. Możesz jednak spodziewać się dokładniejszej weryfikacji danych, które podajesz jako dane swojego konta, używanych następnie do rejestracji nazw domen.
Będziemy mieć obowiązek weryfikacji co najmniej jednej z dwóch danych kontaktowych: adresu e-mail lub numeru telefonu. Z uwagi na to, że weryfikacja adresu e-mail jest prostsza, będzie ona domyślnym sposobem weryfikacji.
Już teraz weryfikujemy adres e-mail Twojego konta zanim będzie ono w pełni aktywne. Weryfikacja zostanie jednak rozszerzona również na inne adresy e-mail, jeżeli takowe używasz w ramach usług utrzymywanych u nas.
Weryfikacji adresu e-mail dokonują również poszczególne rejestry i rejestratorzy, z którymi współpracujemy. Najczęściej jest ona jednorazowa – dopóki nie dokonasz aktualizacji lub zmiany danych. Raz zweryfikowany zestaw danych nie będzie wymagać kolejnej weryfikacji np. przy rejestracji kolejnej nazwy w tej samej końcówce domenowej.
Mamy prawo do żądania dodatkowych dokumentów potwierdzających wprowadzone przez Ciebie dane w przypadku, gdy mamy wątpliwości co do ich poprawności lub kompletności, lub gdy otrzymamy odpowiednie urzędowe wezwanie.
Podanie pełnych i prawidłowych danych rejestrującego jest zawsze niezbędne, abyśmy mogli świadczyć usługi. Ta zasada się nie zmienia. Nie ma i nie będzie możliwości anonimowych rejestracji nazw domen. Świadome podawanie fałszywych danych lub podszywanie się pod osobę trzecią może rodzić odpowiedzialność prawną.
Poniższe informacje dotyczą naszych klientów, którzy na swoich kontach rejestrują lub utrzymują domeny na rzecz osób trzecich. W większości przypadków są to resellerzy.
Polska ustawa KSC nie używa angielskiego określenia „reseller”. Wprowadza natomiast dwie kluczowe definicje:
Dostawca usług DNS – podmiot, który świadczy dostępne publicznie rekurencyjne usługi rozpoznawania nazw domen na rzecz ogółu użytkowników końcowych internetu lub autorytatywne usługi rozpoznawania nazw domen do użytku ogółu użytkowników końcowych, z wyjątkiem głównych serwerów nazw.
Podmiot świadczący usługi rejestracji nazw domen – rejestrator lub agent działający w imieniu rejestratorów, w tym dostawca lub odsprzedawca usług w zakresie prywatnej rejestracji lub pośrednictwa w rejestracji.
Ustawa nie różnicuje podmiotów ze względu na posiadanie bezpośredniej akredytacji rejestru domen. Oznacza to, że w wielu przypadkach taki podmiot może zostać uznany za podmiot kluczowy w rozumieniu ustawy. Dotyczy to niezależnie od formy organizacyjnej (osoba fizyczna czy firma) oraz niezależnie od wielkości – regulacje obejmują nawet mikroprzedsiębiorstwa.
Rejestracja w wykazie podmiotów kluczowych W ciągu 6 miesięcy od wejścia ustawy w życie (tj. do 2 października 2026 r.) należy dokonać rejestracji w wykazie prowadzonym przez ministra ds. informatyzacji.
Wdrożenie systemu zarządzania bezpieczeństwem informacji System powinien obejmować identyfikację zasobów, ocenę ryzyk, wdrożone zabezpieczenia techniczne i organizacyjne, a także monitorowanie i ciągłe doskonalenie poziomu bezpieczeństwa.
Współpraca z CERT Polska Obowiązkowe będzie zgłaszanie incydentów bezpieczeństwa za pośrednictwem systemu S46 w ciągu 24 godzin od ich wykrycia (tzw. wczesne zgłoszenie).
Zewnętrzne audyty bezpieczeństwa Pierwszy audyt należy przeprowadzić w ciągu 2 lat od wejścia ustawy w życie. Kolejne audyty będą wymagane co 3 lata.
Odpowiedzialność zarządów i kary finansowe Ustawa wprowadza osobistą odpowiedzialność osób zarządzających podmiotem kluczowym. Kary finansowe za naruszenia nie będą jednak nakładane w ciągu pierwszych 2 lat od wejścia ustawy w życie.
Dodatkowe informacje dostępne są na stronach rządowych: gov.pl – nowelizacja ustawy KSC
Odpowiedzialność za spełnienie wymogów artykułu 28 NIS2 spoczywa zbiorowo na „rejestrach i dostawcach usług rejestracji domen”, co obejmuje zarówno rejestratorów, jak i resellerów. Co więcej, końcowe postanowienie artykułu 28 stanowi, że rejestry i podmioty świadczące usługi rejestracji nazw domen muszą „współpracować ze sobą”, aby uniknąć powielania gromadzenia danych.
Obowiązki weryfikacji danych spoczywają więc zarówno na rejestratorze (Domeny.tv), jak i na resellerach. Skuteczna weryfikacja danych abonentów będzie wymagała ścisłej współpracy.
Większość rejestrów, w tym rejestr domen .pl, planuje przyjąć „podejście oparte na ryzyku” do weryfikacji. Oznacza to, że będą żądać dowodu weryfikacji w każdym indywidualnym przypadku, na przykład gdy zostaną znalezione nieprawidłowości w zestawie danych rejestrującego. Niektóre rejestry będą kontaktować się z rejestrującym bezpośrednio, podczas gdy inne – z rejestratorem.
Zgodnie z NIS2 rejestrator domen będzie musiał posiadać wdrożone procedury:
Wkrótce dla domen .pl obowiązkowa stanie się weryfikacja adresu e-mail dla każdego zestawu danych abonenta. Obowiązek ten będziemy realizować dla wszystkich domen zarejestrowanych za naszym pośrednictwem:
Dla niektórych innych domen (np. .pt) konieczna będzie także weryfikacja numeru telefonu.
Zwracamy szczególną uwagę na konieczność sprawdzania i aktualizowania danych abonenta dla wszystkich zarejestrowanych domen. Wiele rejestrów już teraz prowadzi weryfikację poprawności danych, a w przypadku stwierdzenia nieprawidłowości może dojść do blokady działania domeny, a nawet jej usunięcia.
Jednocześnie ostrzegamy przed działaniami phishingowymi, w ramach których cyberprzestępcy podszywają się pod rejestry i rejestratorów. W przypadku wątpliwości co do wiarygodności otrzymanej korespondencji prosimy o każdorazowy kontakt z nami. Potrzebne aktualizacje danych abonenta należy zlecać wyłącznie w panelu administracyjnym rejestratora, nigdy na stronach trzecich.
Musimy również wspomnieć, że informacje zawarte w tym artykule nie stanowią porady prawnej. Powinieneś rozważyć skorzystanie z usług prawnych, aby sprawdzić, jak NIS2 i ustawa KSC wpłyną na Twój biznes.
Dla większości abonentów zmiany będą miały charakter ewolucyjny i sprowadzą się głównie do dokładniejszej weryfikacji danych kontaktowych. Uściśleniu ulegną dotychczasowe procedury – ścisłym wymogiem stanie się weryfikacja adresu e-mail lub numeru telefonu każdego abonenta.
Istotna zmiana dotyczy natomiast resellerów: jeśli rejestrujesz domeny dla osób trzecich, możesz zostać uznany za podmiot kluczowy w rozumieniu ustawy, niezależnie od skali działalności. Wiąże się to z konkretnymi obowiązkami – od rejestracji w wykazie podmiotów kluczowych, przez wdrożenie systemu zarządzania bezpieczeństwem informacji, aż po zewnętrzne audyty i zgłaszanie incydentów.
Wszystkie nowe informacje będziemy publikować na bieżąco na naszych stronach oraz przekazywać w newsletterach.
27 września 2024 roku mieliśmy zaszczyt uczestniczyć jako partner konferencji WEBMIX, która odbyła się w ADN Centrum Konferencyjne „Browary Warszawskie”. Wydarzenie zgromadziło ekspertów z branży internetowej, koncentrujących się na tematach związanych z domenami, hostingiem, e-commerce, SEO oraz narzędziami wspieranymi przez AI. Jako firma oferująca rejestrację domen i hosting, doskonale wpisujemy się w tematykę konferencji. Nasz udział pozwolił nam zdobyć wiedzę na temat najnowszych trendów oraz nawiązać wartościowe kontakty biznesowe, co bezpośrednio przynosi korzyści naszym klientom.
Czytaj dalej
1 października 2024 roku rusza wyjątkowa okazja na rejestrację 1-, 2- i 3-znakowych domen .SK. To propozycja skierowana nie tylko do firm, których nazwa, marka czy logo odpowiada jednej z unikalnych domen, ale także do inwestorów, ponieważ to jedyna taka okazja. W artykule znajdziesz szczegółowe informacje, jakie domeny będą dostępne do rejestracji i jakie warunki musisz spełnić, aby zdobyć jedną z nich.
Czytaj dalej
Pod koniec września nasza oferta domen internetowych poszerzy się o trzy nowe rozszerzenia: .locker, .deal i .now. W ten sposób nasza baza domen urośnie z 1095 do 1098. To podkreśla, że ciągle pracujemy nad tym, abyś miał dostęp do jak najszerszej gamy możliwości dla swojego biznesu.
Czytaj dalej
Czy zdarzyło Ci się kiedyś wpisać adres strony internetowej, popełniając drobną literówkę? Co się wtedy stało? Trafiłeś na zupełnie inną stronę, niż się spodziewałeś? To właśnie efekt działania typosquattingu – techniki, która może poważnie zaszkodzić Twojej firmie.
Czytaj dalej
Zastanawiałeś się kiedyś, dlaczego niektóre strony internetowe pojawiają się wyżej w wynikach wyszukiwania niż inne? Jednym z kluczowych czynników wpływających na to jest jakość domeny. Ten wyznacznik wpływa na to, jak Twoja strona jest postrzegana zarówno przez użytkowników, jak i przez algorytmy wyszukiwarek. Ocena tej jakości dostarczy Ci cennych wskazówek dotyczących poprawy autorytetu Twojej domeny.
Czytaj dalej
Maksyma cesarza Augusta „festina lente” (śpiesz się powoli – nie działaj pochopnie) idealnie odnajduje się w kwestii ochrony prawnej nazwy domeny internetowej. Kiedyś przecież nadchodzi ten moment w życiu firmy, gdy pojawia się konieczność uzyskania ochrony prawnej nazwy.
Czytaj dalej