Cybersicherheit: Wann und wie kommt die NIS2-Umsetzung?
Die Vorbereitungen zur Umsetzung der "Network and Information Systems Directive 2" laufen auf Hochtouren. Doch es gibt noch offene Fragen und Unstimmigkeiten.
(Bild: CG Alex/Shutterstock.com)
Bei Registries, Registraren und DNS-Providern laufen die Vorbereitungen zur Umsetzung der "Network and Information Systems Directive 2" (NIS2-Richtlinie) auf Hochtouren. Allerdings ist es eine Umsetzung auf Verdacht. Denn Mitgliedsstaaten arbeiten selbst noch fieberhaft an ihrer nationalen Umsetzung und die EU-Kommission an einem Rechtsakt zur Durchführung. Beim Domain Pulse, dem Treffen der deutschsprachigen Registries in Wien, werfen nic.at, Denic eG und Switch der EU vor, durch zu viel Regulierungswut die Konsolidierung im Markt voranzutreiben.
Am 18. Oktober dieses Jahres tritt die NIS2-Richtlinie EU-weit in Kraft und soll für mehr Sicherheit der kritischen Infrastrukturen in der Gemeinschaft sorgen. Zusammen mit , Telekommunikationsanbietern gehören auch TLD-Namensregistries und DNS-Diensteanbieter zu den Unternehmen, die unabhängig von ihrer Größe zu vorausschauenden Risikoanalysen und strengen Berichtspflichten verpflichtet werden. Selbst kleine Webdesign-Agenturen mit einem überschaubaren Bestand von Domainregistrierungen für Kundenprojekte müssen daher nachrüsten.
Konsolidierung
"Unsere Lösung ist, wir werden die NIS umgehen, indem wir das DNS-Management abgeben", erklärte beim Domain Pulse Georg Schönberger. Er hat als Teamleiter DevOps für die in der Nähe von Linz gelegene XORTEX eBusiness GmbH die NIS2 Anforderungen geprüft und ist überzeugt, die Umsetzung würde das 30 Mitarbeiter starke Software- und Webunternehmen überfordern. "Das ist schade, denn operativ sind wir stark. Die erforderlichen Prozessdokumentationen, um Sicherheitsmaßnahmen nachzuweisen, mögliche Ex-Ante-Überprüfungen oder externe Audits, das ist für uns zu aufwendig."
Die erhöhte Komplexität des Betriebs sei letztlich nur durch höhere Stückzahlen handhabbar, so ein deutscher Provider. Daher müsse man davon ausgehen, dass wieder kleinere Marktteilnehmer aus dem Domain Geschäft hinaus gedrängt würden.
Regulierung statt Best Effort
Große Namensregistries wie die Denic eG, die 17.7 Millionen .de-Namen im Bestand hat, sehen der Entwicklung gelassener entgegen. Zwar sei richtig, dass die Regulierungsanforderungen im letzten Jahrzehnt massiv gewachsen seien. Bis 2010 habe es praktisch keine sektorspezifische Regulierung gegeben. Dann konnte man sich ausgiebig mit der ersten NIS Ausgabe und der Datenschutzgrundverordnung befassen. "Heute haben wir ein ganzes Bündel von gesetzgeberischen Initiativen, um die wir uns gleichzeitig kümmern müssen", so Musielak. Denn neben NIS2 stehen unter anderem auch das eEvidence Paket, der Cyber Resilience Act, Verbraucherschutzmaßnahmen nach Consumer Protection Cooperation und der Digital Markets Act auf dem Programm, sowie bald auch noch die KI-Verordnung.
Die Zeiten, in denen die Politik dem Best-Effort-Prinzip des Internets vertraut habe, seien vorbei, resümierte in Wien Urs Eppenberger, Leiter der ch-Registry Switch. Während die Denic ihre Mitglieder eigentlich gut vorbereitet sieht, warnte der kaufmännische Leiter der Nic.at Richard Wein klar vor negativen Effekten der "Regulierungswut". Ein Problem aus Sicht der nic.at: Grenzüberschreitend arbeitende Registrare und Registries könnten am Ende wieder 27 unterschiedlichen Anforderungskatalogen gegenüberstehen.
Whois durch die Hintertür
Wie die am Ende aussehen, ist bisher nicht abschließend geklärt. Weil im Herbst in Österreich Nationalratswahlen anstehen, will man dort am 12. März einen Entwurf für die Umsetzung vorlegen. Als Frist für die Umsetzung hat man sich den 17. Oktober 2024 gesetzt. In Deutschland warten die Experten auf den abschließenden Referentenentwurf des Bundesinnenministeriums.
Eine Menge Detailfragen sind nach wie vor offen, warnte Fachanwalt Thomas Rickert, der beim eco Verband das "Names and Numbers"-Forum leitet. So habe der EU-Gesetzgeber unter anderem die Sammlung und Beauskunftung der sogenannten Whois-Daten wieder aufleben lassen. Deren Beauskunftung war durch die Datenschutzgrundverordnung massiv eingeschränkt worden.
Heikel sei in Bezug auf dieses Thema, wie man etwa mit der Herausgabe der Daten an Nicht-EU-Strafverfolger umgehen wolle. Nach aktueller Lesart könnte es am Ende so sein, dass diese geringeren Anforderungen beim Zugriff entsprechen müssen als bei Strafverfolgern der EU.
Verifikation von Inhaberdaten
Unklar sei nach wie vor auch, wer in der oft verzweigten Kette der Domainregistrierung die detaillierten Informationen über den Inhaber einer Domain bevorraten muss: Registry, Registrar, Reseller oder Dienstleister. An sich, so Rickert, wolle der Gesetzgeber eine Doppelung der Datenhaltung vermeiden. Eine diesbezügliche Klarstellung fehle aber.
Wichtig sind solche Details, damit am Ende klar ist, wer eigentlich verantwortlich ist, wenn es um die Validierung und Verifizierung von Kontaktdaten geht. Die muss, so die nic.at-Chefs, am Ende auch rückwirkend für den Domainbestand neu gemacht werden.
Beim Ionos-Unternehmen InternetX ist man aktuell bereits dabei, "Daten aufzuräumen", so Marco Hoffmann, Head of Domain Services der InterNetX GmbH, und mit den vielen Resellern zu klären, wer künftig am Ende welche Daten für eine erfolgreiche Registrierung einzuliefern hat. Gefragt, inwieweit WebID – oder künftige EuID-Lösungen – die Validierung per Ausweis ersetzen könnten, sagte Hoffmann, dass man dazu noch keine konkreten Pläne habe.
Stay tuned
Manche Detailfrage wird der Durchsetzungsakt der EU zur NIS2 beantworten, aber eben erst in letzter Sekunde. Zwar stellte Vinzenz Heußler, Policy Officer Cyber Security bei der Europäischen Kommission, dafür eine Konsultation im März oder April in Aussicht. Fertig werden will man damit aber, genauso wie die parallel arbeitenden nationalen Gesetzgeber, erst bis zum 17. Oktober. Wenn die NIS2-Umsetzung am Ende doch wieder zu unterschiedlich umgesetzt werde, dann, so Heußler könne es auch sein, "dass wir die NIS3 bekommen, und zwar als Verordnung."
Wann kommt die Umsetzung?
Aus gut informierten Kreisen heißt es derweil, dass sich die NIS2-Umsetzung verzögern wird, laut BMI sei man jedoch im Zeitplan. "Die Zeiträume entsprechen den für das Gesetzgebungsverfahren üblichen vorgesehenen Zeiträumen", heißt es von einer BMI-Sprecherin auf Anfrage. Ein Erlass von Rechtsverordnungen [...] ist grundsätzlich erst möglich, wenn das jeweilige Gesetz inklusive der entsprechenden Ermächtigung zum Erlass von Rechtsverordnungen in Kraft getreten ist". Der Kommissionsbeamte in Wien sagte, es hätten schon mehrere Länder einen Aufschub zur Umsetzung erbeten, Deutschland sei aber nicht dabei.
(mack)