Herziene NIS-richtlijn legt nieuwe verplichtingen op

Waarom nieuwe regels?

In 2016 is de eerste Europese NIS-richtlijn (Richtlijn betreffende de beveiliging van netwerk- en informatiesystemen) in werking getreden. De richtlijn heeft als doel om eenheid te brengen in het Europees beleid voor netwerk- en informatiebeveiliging om zo de digitale veiligheid en weerbaarheid van Europa te vergroten. Vervolgens heeft elk land deze richtlijn op geheel eigen wijze geïmplementeerd in nationale wetgeving. Nederland deed dat in 2018 in de Wet beveiliging netwerk- en informatiesystemen (Wbni) op grond waarvan SIDN bijvoorbeeld voor het beheer van .nl als aanbieder van essentiële diensten werd aangemerkt. Een aanwijzing brengt een meldplicht van ICT-incidenten bij de bevoegde autoriteit en verplichte beveiligingsmaatregelen van de systemen met zich mee. Registrars bleven vooralsnog buiten scope van deze richtlijn. Echter, eenheid van beleid tussen de landen is ver te zoeken en er is sprake van voortschrijdend inzicht, reden waarom de Europese Commissie in december 2020 met een voorstel is gekomen voor een nieuwe versie van de huidige richtlijn, de NIS2-richtlijn om alsnog eenheid te bewerkstelligen.

Wat zijn de belangrijkste wijzigingen voor registrars?

De belangrijkste wijzigingen in het NIS2-voorstel zijn:

• Voor registrars die ook DNS-provider zijn, de scope van de richtlijn is breder geworden waardoor deze betrekking heeft op alle DNS-providers in de DNS-keten, zowel recursive (recursieve) als authoritative (gezaghebbende) Domain Name Resolution Services. Dit zou betekenen dat ook organisaties die niet-essentieel of belangrijk zijn, zoals bijvoorbeeld enthousiastelingen die hun eigen DNS-dienst draaien eronder vallen. Er is inmiddels een amendement ingediend zodat deze groep niet onder het bereik van de richtlijn valt;
• DNS-providers die niet in de Europese Unie (EU) zijn gevestigd, maar diensten in de EU aanbieden, dienen vertegenwoordiging in de EU te hebben en vallen daarmee onder de rechtmacht van het land waar de vertegenwoordiger is gevestigd en daarmee ook onder de reikwijdte van de richtlijn;
• Registrars en registries dienen nauwkeurige en volledige domeinnaamregistratiegegevens te verzamelen en bij te houden in speciale databases. Deze databases dienen relevante informatie te bevatten om domeinnaamhouders en de beheerders van de domeinnamen te kunnen identificeren en contacteren;
• Whois-gegevens bij de registries dienen juiste en volledige informatie te bevatten volgens vastgesteld en vooraf openbaar gemaakt beleid en procedures. Domeinnaamgegevens die geen persoonsgegevens zijn, dienen direct na de registratie van een domeinnaam te worden gepubliceerd;
• Registrars en registries dienen toegang te verlenen tot specifieke domeinnaamregistratiegegevens aan gerechtvaardigde partijen die toegang vragen op grond van een rechtmatig en gemotiveerd verzoek daartoe. Deze toegang dient zonder onnodige vertraging te worden verleend. De overheid zorgt voor het beleid en procedures omtrent de openbaarmaking van dergelijke gegevens;
• In de amendementen wordt nog expliciet toegevoegd dat de registratiegegevens geverifieerd dienen te zijn en dat toegang tot de gegevens dient te worden verleend binnen 72 uur. Ook wordt nog voorgesteld dat ook resellers aan deze verplichtingen dienen te voldoen;
• Dit alles op straffe van hoge boetes bij niet nakoming van deze verplichtingen.

Wat is de impact voor registrars?

• Voor registrars die ook DNS-provider zijn, geldt dat alle DNS-providers onder het bereik van de richtlijn vallen waardoor de meldplicht van ICT-incidenten bij de bevoegde autoriteit en het nemen van verplichte beveiligingsmaatregelen van de systemen ook op hen van toepassing zijn;
• Registrars dienen aan de verplichting te voldoen om juiste en accurate registratie van gegevens van houders bij te houden, houders te identificeren en gerechtvaardigde partijen toegang te verschaffen tot registratiegegevens op grond van een rechtmatig en gemotiveerd verzoek daartoe.

Hoe nu verder?

Het voorstel ligt nu ter onderhandeling bij het Europees Parlement en de Raad van de Europese Unie. Eerst kijkt het Europees Parlement wat ze gewijzigd wil zien aan het voorstel.  DINL heeft input gegeven aan de rapporteur van het Europees Parlement die hiervoor is aangesteld, de Nederlander Bart Groothuis (VVD). Deze heeft onlangs een groot aantal amendementen voorgesteld op de huidige tekst van de NIS2-richtlijn (PDF). De amendementen zijn positief voor wat betreft de scope maar verscherpen de registratie- en toegangsverplichtingen van de registrars. De VvR blijft de ontwikkelingen met betrekking tot de NIS2-richtlijn volgen en proberen te beïnvloeden daar waar nog mogelijk. Vanzelfsprekend houden we jullie van belangrijke ontwikkelingen op de hoogte. Zodra de herziene richtlijn is aangenomen, dient de richtlijn binnen 18 maanden te zijn omgezet in nationale wetgeving, maar dat laat nog wel even op zich wachten.