Dass Cyberangriffe auf Firmen, Institutionen und kritische Infrastrukturen in den vergangenen Jahren zugenommen haben, ist auch der Europäischen Union nicht verborgen geblieben. Mit der NIS-2-Richtlinie («Network and Information Security 2») verfolgt die EU das Ziel, die Mindestanforderungen an die Cybersicherheit aller EU-Staaten zu erhöhen und die Widerstandsfähigkeit von Netz- und Informationssystemen sowie die internationale Zusammenarbeit zu stärken. Die meisten EU-Mitgliedstaaten dürften die NIS-2-Richtlinie im Verlaufe dieses Jahres in nationales Recht umsetzen.
NIS-2 stellt die Weiterentwicklung der ersten NIS-Richtlinie dar, die bereits im Jahr 2016 in Kraft trat. NIS-1 war die erste umfassende EU-Vorschrift, die darauf abzielte, die Cybersicherheit von Netz- und Informationssystemen zu erhöhen. Im Dezember 2020 erfolgte der Anstoss zur Ausarbeitung der Nachfolge-Richtlinie NIS-2, welche NIS-1 vollständig ersetzte und schliesslich im Januar 2023 in Kraft trat.
Worum geht es bei der NIS-2-Richtlinie?
Wie bereits erwähnt, soll die NIS-2-Richtlinie die Cybersicherheit in Europa stärken, zudem erweitert sie die Anforderungen auch auf Unternehmen, die keine kritischen Infrastrukturen betreiben. Die Richtlinie definiert insgesamt 18 Sektoren, die in zwei Kategorien unterteilt sind:
-
Wesentliche Dienste («Essential Entities»):
Unternehmen mit mehr als 250 Mitarbeitenden oder einem Umsatz von über 50 Millionen Euro gelten als besonders kritisch, wenn sie z. B. den Sektoren Energie, Verkehr, Bankwesen, Gesundheitswesen, Wasserversorgung oder auch der öffentlichen Verwaltung zugeordnet werden. -
Wichtige Dienste («Important Entities»):
Unternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz über 10 Millionen Euro gelten als wichtig, aber weniger kritisch als die wesentlichen Dienste. Hierzu zählen etwa Post- und Kurierdienste, Chemieunternehmen, Lebensmittelproduzenten, jedoch auch Anbieter digitaler Dienste. Auch kleinere Unternehmen, wie z. B. Anbieter von Domain Name Services, können als «wesentlich» eingestuft werden, wenn ihre Dienste für die Versorgungssicherheit oder andere kritische Infrastrukturen unerlässlich sind.
Grundsätzlich verlangt die NIS-2-Richtlinie von Unternehmen ein solides Risikomanagement. Sie müssen Sicherheitsvorfälle bewältigen und den Betrieb nach Störungen wiederherstellen können. Zudem sind Lieferketten in das Risikomanagement einzubeziehen, ergänzt durch Massnahmen wie Cyberhygiene, Cybersicherheitsschulungen, Zugriffskontrolle, Multi-Faktor-Authentifizierung und gesicherte Kommunikation.
Auswirkungen von NIS-2 auf Domains
Auch für Hostpoint und unsere Domainkunden hat NIS-2 gewisse Folgen. Artikel 28 der Richtlinie schreibt vor, dass Registries von Top-Level-Domains (TLDs) im EU-Raum aktuelle und verifizierte Informationen über Domaininhaber führen müssen. Die Erhebung dieser Daten obliegt dabei der jeweiligen Domain Registry, aber auch den Domain-Registraren wie Hostpoint.
Konkret geht es um folgende Daten:
- Domainname
- Datum der Registrierung
- Name, E-Mail-Adresse und Telefonnummer des Domaininhabers
- E-Mail-Adresse und Telefonnummer der Kontaktperson, falls die Domain von einer Drittperson verwaltet wird
Welche TLDs sind betroffen?
Zu den TLDs der EU zählen beispielsweise .de, .at, .fr und .it. Hingegen sind Domainendungen aus Staaten ausserhalb der EU, wie die Schweizer ccTLD .ch, sowie generische TLDs wie .com, .org oder .net von dieser Regelung ausgenommen.
Damit die Daten der Domaininhaber stets aktuell sind, nimmt die EU die Registries in die Pflicht. Diese wiederum stellen Anforderungen an die zuständigen Registrare, bei denen die Domain registriert wurde. Auch Hostpoint, als führender Domain-Registrar der Schweiz, ist von diesen Anforderungen nicht ausgenommen. Wir fungieren als Schnittstelle zwischen den Registries der einzelnen Länder und der Domaininhaber. Unsere Aufgabe ist es, die benötigten Informationen bei den Kunden zu erheben und auf Anfrage einer Registry zusätzlich zu verifizieren.
Der Vorgang lässt sich am besten anhand eines Beispiels verdeutlichen: Eine Person oder ein Unternehmen möchte bei Hostpoint einen Domainnamen mit der Endung .de registrieren. Dabei verlangen wir bei der Bestellung der Domain die Angabe einiger Kontaktdaten. Diese werden von Hostpoint geprüft und selbstverständlich vertraulich behandelt. Allerdings kann es sein, dass diese Daten auf Verlangen der zuständigen Registry (in Fall von .de-Domains ist dies DENIC) zusätzlich verifiziert werden müssen.
Durch die Verifizierung von Domaininhaberdaten soll sichergestellt werden, dass diese in sicherheitsrelevanten Fällen einfach kontaktiert werden können. Gleichzeitig soll der Missbrauch von Domains (etwa für Phishing) durch falsche oder unvollständige Registrierungsdaten reduziert werden. Eine Registrierung von EU-ccTLDs unter Angabe falscher Daten wird damit künftig erschwert.
Was ändert sich für Nutzer bei der Domainabfrage (WHOIS)?
Mit NIS-2 könnten für juristische Personen wieder mehr Daten in der WHOIS-Abfrage sichtbar werden. Was genau veröffentlicht wird, hängt von den Regeln der jeweiligen Registry ab. Für private Nutzer bleiben personenbezogene Daten weiterhin geschützt.
Muss ich als Domaininhaber etwas tun?
Wenn Sie über eine ccTLD aus dem EU-Raum verfügen und diese bei Hostpoint registriert wurde, muss dies nicht zwingend bedeuten, dass Sie handeln müssen. Falls es Kontaktdaten gibt, die noch verifiziert werden müssen, kontaktieren wir Sie proaktiv und stellen Ihnen einen möglichst einfachen Prozess zur Verfügung.
Weitere Informationen zum Verifizierungsprozess erhalten Sie in unserem Support Center. Bei Fragen zum Thema Domains und NIS-2 können Sie sich gerne per E-Mail (domain@hostpoint.ch) oder per Telefon (0844 04 04 04) an unseren Support wenden. Wir sind an sieben Tagen in der Woche von 8 bis 18 Uhr in Ihrer Sprache für Sie da.
