In der vergangenen Woche hat das EU Parlament eine Richtlinie „für ein hohes gemeinsames Cybersicherheitsniveau“ beschlossen. Darin werden bestehende Regeln zur Netz- und Informationssicherheit (NIS) reformiert werden. Teil dieser Reform ist die „ Pflicht zur Identifizierung von Domain-Inhabern“, die zuvor eher weniger beachtet wurde.
Das Parlament hat dazu den Artikel 28 herangezogen. Dieser verpflichtet alle EU Mitgliedsstaaten dazu, den Registrys die Pflicht aufzuerlegen für Webadressen und Top Level Domains (TLD) „genaue und vollständige“ persönliche Informationen über die Inhaber „in einer speziellen Datenbank – z.B. das WHOIS Register – zu sammeln. Dabei muss zwingend das Datenschutzrecht angewendet werden. Das Ziel der Maßnahme ist die Erhöhung der „Sicherheit, Stabilität und Belastbarkeit“ des DNS.
Ausführliche Dokumentation von Personendaten gefordert
Die NIS2 Richtlinie des EU Parlaments fordert in den Datenbanken die „Identifizierung und Kontaktaufnahme erforderlichen Angaben“, wie den Domainnamen und das Registrierungsdatum, den Namen des Inhabers sowie dessen Telefonnummer und e-Mail-Adresse. Die Pflicht zur Identifizierung soll auch für „Privacy-“ und „Proxy“-Registrierungsdienste und Reseller gelten.
Zudem werden die Registries verpflichtet, ein Überprüfungsverfahren zu installieren, das sicherstellt, dass die WHOIS Datenbank jederzeit „genaue und vollständige Angaben enthält“. Nicht personenbezogene Registrierungsdaten sind „unverzüglich“ öffentlich zugänglich zu machen. Zusätzlich sollen „berechtigte Zugangsnachfragen“ von Strafverfolgungsbehörden unverzüglich und bis spätestens 72 Stunden nach Eingang bearbeitet werden.
Aus für anonyme Dienste
Die derzeitigen privacy Dienste zur stellvertretenden Registrierung von Domains werden mit dem Inkrafttreten der NIS2 Richtlinie in die Illegalität geschoben, was der EU Abgeordnete Patrick Breyer von der Piratenpartei kritisiert: „Wenn die Betreiber von Leakseiten wie Wikileaks künftig namentlich verzeichnet würden, riskieren sie wie Julian Assange lange Haftstrafen für die Veröffentlichung von Kriegsverbrechen der USA.“ Laut Breyer ist die Regelung weltweit einzigartig und bricht „ mit internationalen Prinzipien der Internetregulierung“. Webseiten Betreiber verlieren dadurch den Schutz der Anonymität, die „vor Datenklau und Datenverlust, Stalking und Identitätsdiebstahl, Doxxing und ‚Todeslisten‘ schützt.
Im Allgemeinen werden die Auflagen für Cybersicherheit für Unternehmen und Organisationen im EU Raum deutlich verschärft. Zu den neuen Vorgaben gehören z.B. „ … erweiterte Mindestvorschriften für Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit und für Meldepflichten bei Online-Attacken sowie daraus resultierenden Datenpannen“ Zur Verantwortung sollen Führungskräfte der jeweiligen Unternehmen gezogen werden können.
Betriebe mit mehr als 250 Mitarbeitern und mehr als 10 Millionen Jahresumsatz werden zu gemeinsamen Cybersicherheitsregeln verpflichtet und müssen die Behörden innerhalb von 24 Stunden über Cybersicherheitsvorfälle informieren. Erweiterte Regelungen wurden auch für Anbieter öffentlicher elektronischer Kommunikationsdienste und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte wie medizinischer Geräte, Maschinen und Kfz, Post- und Kurierdienste und die öffentliche Verwaltung getroffen.
EU Parlament ist von NIS2 überzeugt
EU Berichterstatter Bart Groothuis ist – ebenso wie das Parlament, dass mit 577 Mitgliedern für die Richtlinie stimmte ( 6 Gegenstimmen) von dem positiven Effekt der Regelungen überzeugt: „Diese europäische Richtlinie wird rund 160.000 Unternehmen dabei helfen, ihre Sicherheit zu erhöhen und Europa zu einem sicheren Ort zum Leben und Arbeiten zu machen. Sie wird auch den Informationsaustausch mit dem privaten Sektor und Partnern in der ganzen Welt ermöglichen. Wenn wir im industriellen Maße angegriffen werden, müssen wir auch im industriellen Maße reagieren.“
Die NIS2 Richtlinie wird in Deutschland große Auswirkungen haben, denn statt bisher 2000 Betriebe, werden 20.000 Betriebe reguliert. Die Verhältnismäßigkeit muss dabei sicher noch überprüft werden.