NIS2 Directive | Challenges für Domain Experts
Erfahren Sie, wie die NIS-2-Richtlinie Veränderungen für die Domain-Branche verspricht und damit die Landscape der Cybersicherheit neu gestalten wird!
Published by
Simone Catania
Date
Am 16. Januar 2023 trat die mit Spannung erwartete NIS-2-Richtlinie (EU) 2022/2555 in Kraft, die die ursprüngliche NIS-Richtlinie (EU) 2016/1148 ersetzt. Die neue Gesetzgebung zur Cybersicherheit zielt darauf ab, die digitale Landscape der Europäischen Union gegen die sich entwickelnden Cyberthreats zu stärken. Ein umfassendes Verständnis über die Auswirkungen der NIS-2-Richtlinie ist für DNS- und Domain Experts unerlässlich, um eine sichere und robuste digitale Infrastruktur zu gewährleisten. In diesem Artikel beleuchten wir die Ziele und kritischen Aspekte der NIS-2-Richtlinie und ihre Auswirkungen auf die Domain-Branche.
Stärkung der Cybersicherheit innerhalb der EU
Um der raschen Zunahme von Cyberthreats zu begegnen und die Komplexität neuer Attacken zu bewältigen, führt die NIS-2-Richtlinie strenge Aufsichtsmaßnahmen ein, erweitert ihren Anwendungsbereich und fördert die Zusammenarbeit zwischen den Mitgliedstaaten.
Die Richtlinie zielt darauf ab, die Widerstandsfähigkeit von Unternehmen gegenüber Cyberthreats zu verbessern, indem sie ihnen dabei hilft, ihre Informationssicherheit zu verstärken und effektiv auf Sicherheitslücken zu reagieren. Zudem soll durch die Richtlinie das Vertrauen gefördert und ein harmonisierter Ansatz zwischen den Mitgliedstaaten und Sektoren etabliert werden. Ziel ist es, Unterschiede bei der Bereitschaft, für mehr Cybersicherheit zu sorgen, zu verringern.
Die Richtlinie sieht vor, das Verständnis und die gemeinsame Krisenreaktion zwischen den Mitgliedstaaten zu verbessern. Dies beinhaltet die Stärkung kollektiver Systeme zum Datenaustausch und Methoden für Krisenmanagement, die in Krisenszenarien helfen sollen, schnelle und fundierte Entscheidungen zu treffen. Die Gesetzgebung wird den Mitgliedstaaten helfen, effektiv zusammenzuarbeiten, Ressourcen zu bündeln und Informationen über Cyberthreats auszutauschen.
Der vielseitige Ansatz, der politische Lücken überbrückt, Entwicklungsprozesse kultiviert und Anpassung fördert, verfolgt die Vision, ein stärkeres Europa zu schaffen, um besser auf Cyberthreats vorbereitet zu sein.
Überblick über die NIS-2-Richtlinie
Die Richtlinie zur Netz- und Informationssicherheit (NIS-2) ist eine rechtliche Maßnahme, die entwickelt wurde, um den allgemeinen Standard der Cybersicherheit innerhalb der Europäischen Union zu stärken. Diese Gesetzgebungsinitiative, die ab Oktober 2023 von den EU-Mitgliedstaaten in nationales Recht umgesetzt wird, ist ein wichtiger Schritt, um zukünftigen digitalen Attacken effizient entgegenzuwirken.
-> Verbindliche Cybersicherheitsprotokolle und Governance
Die Richtlinie schreibt den Mitgliedstaaten vor, einen Rechtsrahmen zu schaffen, der Unternehmen zur Annahme und Umsetzung klarer, bewertbarer Cybersicherheitsprotokolle verpflichtet. Bei Nichteinhaltung drohen je nach Branche erhebliche Geldbußen von mindestens 7 Mio. EUR und höchstens 10 Mio. EUR. Mit diesen neuen Rechtsvorschriften sollen mehrere Schlüsselaspekte der Cybersicherheit verbessert werden, u. a. Risikomanagementverfahren, Sicherheitsmanagement, Widerstandsfähigkeit der Systeme sowie Netz- und Anwendungssicherheit. Die Richtlinie geht jedoch über diese Maßnahmen hinaus und schreibt insbesondere Melde- und Wiederherstellungsverfahren für Vorfälle vor, um eine schnelle Reaktion und Systemintegrität zu gewährleisten.
-> Risikobewertungen und Kontrolle durch Dritte
Ein neues Element der NIS-2-Richtlinie ist die spezifische Forderung nach Risikobewertungen von Sicherheitsprotokollen, die sich an wichtige verbundene Drittanbieter richten. Das bedeutet, dass die Richtlinie nicht nur Unternehmen überwacht, sondern auch ihre Interaktionen mit anderen digitalen Einrichtungen genau unter die Lupe nimmt.
-> Hauptziele: kritische digitale Infrastrukturen
Die Richtlinie weitet ihre Prüfung auch auf mittlere und große Unternehmen in einer Reihe von Schlüsselsektoren aus. Ihre tiefgreifenden Auswirkungen sind am stärksten bei Operatoren wesentlicher digitaler Infrastrukturkomponenten zu spüren, einschließlich – aber nicht beschränkt auf Technologieanbieter wie Data Center, Content-Delivery-Netzwerke und Anbieter von Vertrauensdiensten. Um eine universelle Anwendung zu schaffen, betrachtet die Richtlinie alle Provider von Domain Name Systems (DNS) entlang der DNS-Bereitstellungs- und Auflösungskette als „wesentlich“. Dazu gehören alle Provider von Top-Level-Domain (TLD)-Nameserver und autoritativen Nameserver für Domains bis hin zu rekursiven Resolvers.
-> Folgen der Nichteinhaltung
Die Nichteinhaltung der NIS-2-Richtlinie kann schwerwiegende Folgen nach sich ziehen, einschließlich erheblicher finanzieller Strafen und erheblicher Rufschädigung. Die Absichten, die hinter diesen strengen Konsequenzen stehen, sind klar: Es geht darum, Cybersicherheit zu gewährleisten und ein vertrauenswürdiges digitales Umfeld in der Europäischen Union zu schaffen.
Überbrückung der Gap zwischen NIS-2 und der Domain-Branche
Die Domain-Branche, zu der Domain-Registrars, wie wir von InterNetX, Registrys, Hosting-Provider und andere damit verbundene Unternehmen gehören, ist von zentraler Bedeutung für den Zugang der User zu Websites und Online-Diensten. Die digitale Landscape weitet sich weiter aus und begünstigt zugleich, dass die Domain-Branche zum potenziellen Vektor für Cyberthreats wird. Dadurch erkennt NIS-2 die Wichtigkeit an, Provider der Domain-Branche in ihren Geltungsbereich einzubeziehen. Ihre Services bilden die Grundlage für das Funktionieren des Internets.
Artikel 28: Auswirkungen auf die Registrierung von Domains
Artikel 28 der NIS-2-Richtlinie verändert die Praktiken in der Domain-Branche erheblich, insbesondere was die Erfassung und Pflege der Daten zur Registrierung von Domains betrifft. Die Richtlinie verpflichtet TLD-Registrys und Provider von Domain Name Registration Services, umfassende Datenbanken zu führen, die Informationen wie den Namen der Domain, das Registrierungsdatum und die Kontaktangaben des Registranten und des Operators enthalten.
Um zur Sicherheit, Stabilität und Belastbarkeit des Domain Name System beizutragen, verpflichten die Mitgliedstaaten TLD-Registrys und Einrichtungen, die Domain Name Registration Services anbieten, exakte und vollständige Domaindaten in einer speziellen Datenbank zu sammeln und zu speichern (…). NIS-2-Richtlinie, Artikel 28(1)
Um die Integrität und Richtigkeit der Daten in ihren Datenbanken zu gewährleisten, müssen diese Einrichtungen transparente Strategien und Verfahren einführen und umsetze. Außerdem sollten nicht-personenbezogene Daten zur Registrierung von Domains unmittelbar nach deren Registrierung veröffentlicht werden. Grund hierfür ist, dass berechtigte Antragsteller:innen nach EU-Recht und innerhalb von 72 Stunden nach einem rechtmäßigen und begründeten Antrag der Zugang zu bestimmten Registrierungsdaten gewährt werden muss. Darüber hinaus darf die Einhaltung der Verpflichtungen nach Artikel 28 nicht dazu führen, dass die Registrierungsdaten für Domains von mehreren Providern doppelt erhoben werden.
Während die NIS-2-Richtlinie darauf abzielt, die Cybersicherheit in der EU zu erhöhen, hat sie in der Domain-Branche aufgrund ihrer vermeintlichen Unklarheit Bedenken geweckt – insbesondere in Bezug auf den Verification-Prozess und die Rollenverteilung zwischen Registrars und Registrys. Dies hat die Domain-Branche dazu veranlasst, wachsam zu bleiben und mit Stakeholders zusammenzuarbeiten, um die Verwicklungen der NIS2-Richtlinie zu verstehen und zu bewältigen.
Auswirkungen der NIS-2-Richtlinie auf europäische ccTLD-Registrys
Die NIS-2-Richtlinie, die für alle in der EU tätigen TLD-Registrys gilt, bringt mehrere bedeutsame Änderungen für die Domain-Branche mit sich. Laut Polina Malaja, Policy Director bei CENTR, erlegt NIS-2 den Registrys eine Reihe von Pflichten auf. Diese Pflichten umfassen ihre Anerkennung als wesentliche Einrichtungen und erstrecken sich auf den Schutz ihrer Systeme vor verschiedenen Sicherheitsproblemen. Dazu gehört auch die rigorose Berichterstattung über derartige Vorfälle in Bezug auf Cybersicherheit.
TLD-Registrys und Registrars müssen die Erfassung und Pflege der Registrierungsdaten für Domains sicherstellen und deren Richtigkeit überprüfen. Darüber hinaus müssen sie mit den Partnern in der Registrierungskette zusammenarbeiten, um eine doppelte Erfassung dieser Daten zu vermeiden.
Die praktischen Auswirkungen können variieren, je nachdem, wie das Gesetz von den einzelnen EU-Mitgliedstaaten interpretiert wird. Zwei kritische Aspekte der Richtlinie, die weitere Erläuterungen einfordern, sind der Data Verification-Prozess und die doppelte Datenerfassung. Polina Malaja betont, dass allgemeine Verification-Prozesse mit bestehenden Datenschutzverpflichtungen im Rahmen der DSGVO, wie etwa der Datenminimierung, in Konflikt geraten könnten. Um hier Abhilfe zu schaffen, schlägt sie vor, dass die EU-Mitgliedsstaaten einen risikobasierten Ansatz wählen, der es den ccTLD-Operatoren erlaubt, die Risiken entsprechend ihrer Fähigkeiten zu berechnen und entsprechende Verification-Maßnahmen zu ergreifen. In Bezug auf die doppelte Datenerfassung schreibt NIS-2 vor, dass eine doppelte Erfassung vermieden werden muss, was die Registrys belasten und zu einer Konsolidierung des Business führen könnte.
Malaja ermutigt die EU-Gerichtsbarkeiten, flexible Data Transfer Agreements (DTA) zu erleichtern, um die Vielfalt der europäischen Domain-Branche zu erhalten. Sie schließt mit der Feststellung, dass die NIS-2-Richtlinie zusätzliche Klarheit auf nationaler Ebene erforderlich macht, um die Vielfalt der bestehenden Praktiken unter den europäischen ccTLDs – die sich als effektiv erwiesen haben – zu erhalten. Folglich müssen die EU-Mitgliedsstaaten in diesem Bereich sorgfältig navigieren und gleichzeitig die NIS-2-Anforderungen in ihre nationalen Gesetze aufnehmen, um die Wettbewerbsfähigkeit der europäischen Domain-Branche zu erhalten und weiter zu verbessern.
Die Herausforderungen für Provider der Domain-Branche
Die neue EU-Gesetzgebung mit NIS-2 sieht beträchtliche Änderungen vor und stellt Provider der Domain-Branche vor zahlreiche Herausforderungen. Diese aktualisierte Verordnung unterstreicht die entscheidende Rolle des DNS in der digitalen Gesellschaft und zwingt Provider, sich in einer neuen digitalen Landscape von Verpflichtungen und Erwartungen zurechtzufinden.
1. Komplexität der Compliance
NIS-2 führt eine Reihe komplexer Verpflichtungen für Cybersicherheit, die Provider der Domain-Branche einhalten müssen, ein. Zu diesen Verpflichtungen gehören die Umsetzung von Risikomanagementmaßnahmen, die Sicherstellung von Fähigkeiten zur Reaktion auf Zwischenfälle und die Benachrichtigung von Behörden über bedeutende Zwischenfälle. Die Erfüllung dieser Anforderungen kann eine Herausforderung sein, insbesondere für kleinere Provider mit begrenzten Ressourcen. Es ist eine heikle Aufgabe, ein Gleichgewicht zwischen Compliance und betrieblicher Effizienz zu finden.
2. Grenzüberschreitende Koordination
Der globale Charakter der Branche bedeutet, dass Cyberthreats die nationalen Grenzen überschreiten können. Die NIS-2-Richtlinie verstärkt die Zusammenarbeit zwischen den EU-Mitgliedstaaten, um sich mit solchen Vorfällen auseinanderzusetzen und wirksame Gegenmaßnahmen zu ergreifen. Unterschiedliche rechtliche Rahmenbedingungen, unterschiedliches technisches Know-how und abweichende Kommunikationsprotokolle können jedoch eine nahtlose grenzüberschreitende Koordinierung behindern. Domain Experts müssen diese Herausforderungen meistern, um zu einem kohärenten Ecosystem der Cybersicherheit beizutragen.
3. Die sich schnell entwickelnde Cyberthreat-Landscape
Cyberthreats entwickeln sich ständig weiter und die Taktiken der Angreifer:innen werden immer raffinierter. Provider der Domain-Branche müssen sich wappnen, um ihre Systeme gegen DNS-Angriffe und verschiedene andere Attacken zu verteidigen, von DDoS-Angriffen (Distributed Denial of Service) bis hin zu Phishing, mit denen Userdaten kompromittiert werden. Um diesen Bedrohungen immer einen Schritt voraus zu sein, sind eine kontinuierliche Überwachung, der Austausch von Informationen über Cyberthreats und die Fähigkeit zur raschen Anpassung von Sicherheitsmaßnahmen erforderlich.
4. Gleichgewicht zwischen Datenschutz und User-Sicherheit
Provider der Domain-Branche sind mit sensiblen Userdaten, einschließlich Kontakt- und Zahlungsinformationen, betraut. Der Schwerpunkt der NIS-2 auf Meldungen von Vorfällen kann zu Bedenken hinsichtlich der Privatsphäre der User führen. Das richtige Gleichgewicht zwischen den Meldungen von Vorfällen an die Behörden und dem Schutz der Privatsphäre der User zu finden, ist für Operatoren eine schwierige Aufgabe, die es zu bewältigen gilt. Die Gewährleistung einer transparenten Kommunikation über den Umgang mit Daten wird sich als entscheidend erweisen.
5. Ressourcenzuweisung und Investitionen
Die Umsetzung standhafter Maßnahmen für Cybersicherheit erfordert erhebliche Investitionen in Technologie, Personal und Schulungen. Für kleinere Unternehmen der Branche sind für diese Investitionen möglicherweise mehr Ressourcen erforderlich. Die Abwägung zwischen Investitionen in die Cybersicherheit und anderen betrieblichen Erfordernissen wird zu einem Problem, das den Bedarf an risikobasierten Ansätzen unterstreicht, die auf die besonderen Umstände eines jeden Provider zugeschnitten sind.
Anpassung an NIS-2: Strategien für Provider der Domain-Branche
Die Anpassung an die NIS-2-Verordnungen stellt Provider der Domain-Branche vor einzigartige Komplexitäten und Herausforderungen. Wenn sie diese jedoch verstehen und proaktive Strategien entwickeln, können sie die Veränderungen in eine Chance zur Weiterentwicklung ihres Business verwandeln.
Kollaborative Threat-Analyse
Provider der Domain-Branche sollten die Zusammenarbeit mit anderen Industry Players der Branche fördern und Threat-Daten sowie bewährte Verfahren austauschen. Durch die Bündelung von Ressourcen und Wissen können Provider Einblicke in neue Cyberthreats gewinnen und ihre kollektive Verteidigung stärken.
Kontinuierliche Schulung und Ausbildung
Die Schulung und Weiterbildung der Mitarbeiter:innen ist für den Aufbau einer widerstandsfähigen Cybersicherheitsstruktur unerlässlich. Indem sie ihre Teams mit den neuesten Fähigkeiten und Kenntnissen ausstatten, können Provider der Domain-Branche Risiken der Cyberthreats besser vorhersehen und schneller eindämmen.
Einsatz von Automation und KI
Automation und künstliche Intelligenz können die Fähigkeiten zur Erkennung und die Reaktion auf Vorfälle verbessern. Die Implementierung von KI-gesteuerten Sicherheitslösungen kann den jeweiligen Provider dabei helfen, Anomalien zu erkennen, auf Vorfälle in Echtzeit zu reagieren und die Belastung der Humanressources zu verringern.
Zusammenarbeit mit Aufsichtsbehörden
Provider der Domain-Branche sollten aktiv mit den Regulierungsbehörden zusammenarbeiten, um Richtlinien zu entwickeln, die praktikabel und effektiv sind und besondere Herausforderungen der Branche einbinden. Gemeinsame Bemühungen können zu Vorschriften führen, die sowohl schützend als auch durchführbar sind.
NIS-2-Richtlinie: Wie geht es weiter?
Die NIS-2-Richtlinie stellt einen bedeutenden Fortschritt in den Bemühungen der Europäischen Union dar, die Cybersicherheit der digitalen Infrastruktur zu verbessern. Trotz des noch andauernden Umsetzungs- und Implementierungsprozesses – bei dem einige Besonderheiten noch genauer definiert werden müssen – ist der Schwerpunkt der Harmonisierung, der erweiterten Sicherheitsprotokolle und der Zusammenarbeit zwischen den Mitgliedstaaten ein starkes Signal für die Entschlossenheit der EU, eine sichere und robuste digitale Zukunft zu schaffen.
Die NIS-2-Richtlinie stellt DNS-Provider und Domain Experts vor enormen Herausforderungen. Organisationen müssen wachsam bleiben und nationale Maßnahmen befolgen. Indem sie sich an allgemein anerkannte bewährte Praktiken der Cybersicherheit halten, können sie die Einhaltung der Vorschriften gewährleisten und ihre allgemeine Sicherheit stärken.
Die Einführung von NIS-2 unterstreicht die Notwendigkeit für Provider der Domain-Branche, ihre Strategien anzupassen, ihre Maßnahmen für Cybersicherheit zu verbessern und grenzüberschreitend zusammenzuarbeiten, um die Integrität ihrer Dienste zu wahren. Indem sie sich diesen Herausforderungen stellen und zukunftsweisende Lösungen implementieren, können Provider weiterhin sichere und zuverlässige Online-Erlebnisse für User auf der ganzen Welt bieten.
Erfahren Sie mehr über diese Herausforderungen und die besten Möglichkeiten, sie zu meistern. Laden Sie unseren umfassenden Leitfaden zum Thema “NIS2: Unraveling the Directive. Insight for operators and digital experts”.