Nieuwe Europese richtlijn NIS2 stelt eisen aan domeinnaamregistraties in EU
Betekent dit ook een betere bestrijding van misbruik?
Betekent dit ook een betere bestrijding van misbruik?
Enkele weken terug stemde het Europees Parlement in met de nieuwe netwerk-informatiebeveiligingsrichtlijn NIS2. Deze richtlijn kreeg veel aandacht in de cybersecuritysector, maar heeft ook impact op domeinnaamregistraties binnen de Europese Unie. Wat betekent deze richtlijn voor domeinnaamhouders en merknaamhouders die willen optreden tegen misbruik?
Kern van NIS2 is dat de richtlijn lidstaten verplicht uiterlijk 2024 wetgeving aan te nemen om de beveiliging van bedrijven en instellingen die van kritiek belang zijn op een hoger niveau te brengen. Denk daarbij aan de energiesector, logistiek en financiële diensten. De definitie van wat kritiek is, is daarbij sterk uitgebreid. Dit wordt door experts als een zeer belangrijke verbetering ten opzichte van de oude richtlijn gezien.
Ook SIDN is, als registry van .nl, onderworpen aan deze regels. NIS2 stelt eisen aan domeinnaamregistraties en dan vooral aan de data die erbij hoort. Artikel 28 zegt hierover: [..] Member States shall require TLD name registries and entities providing domain name registration services to collect and maintain accurate and complete domain name registration data [..]
Deze data omvatten in ieder geval de naam van de houder, het mailadres en het telefoonnummer. De gegevens moeten na registratie gevalideerd worden in een procedure die sterk lijkt op de procedure die nu ook voor gTLD’s geldt. Daar is de regel dat de houder zijn gegevens moet bevestigen door op een mail van de registrar te antwoorden. Alle registry’s van domeinen in de EU moeten de procedures die zij inzetten voor het verifiëren van deze data op hun site publiceren.
Meer controle van houdergegevens, dus ook een betere bestrijding van misbruik? Dat is te vroeg gejuicht. De ervaring met de procedure bij gTLD’s leert dat de procedure relatief eenvoudig te omzeilen is. Bovendien kan de cybercrimineel ervoor kiezen om malafide registraties buiten de EU te doen en zo de hele richtlijn te omzeilen.
De volledige tekst van de richtlijn vind je op de website van de Europese Commissie.