EU-Parlament verabschiedet NIS 2-Richtlinie mit Identifizierungspflicht für Domaininhaber

Ein Gastbeitrag von Fach- und Rechtsanwalt Hagen Hild

 

Bereits 2020 hatte die EU- Kommission bekannt gemacht, dass die bestehende Richtlinie zur Netz- und Informationssicherheit (NIS -Richtlinie) durch eine überarbeitete Richtlinie zur Stärkung der Cybersicherheit ersetzt werden soll, der NIS 2-Richtlinie.

Nun stimmte das EU-Parlament über den Entwurf der Richtlinie ab und verabschiedete diesen mit einer Mehrheit von 577 zu 6 Stimmen bei 31 Enthaltungen.

 

Neuerungen durch die NIS 2-Richtlinie

Durch die Richtlinie sollen die Vorschriften über die Anforderungen und die Umsetzung der Maßnahmen zur Cybersicherheit in den Mitgliedsstaaten angeglichen werden, sodass eine wirksame Zusammenarbeit zwischen den Mitgliedsstaaten möglich ist. Beispielsweise wird der Anwendungsbereich nun EU-weit einheitlich festgelegt, während zuvor die Mitgliedsstaaten diesen selbst bestimmen konnten. Die NIS 2-Richrlinie legt einen Schwellenwert für die Größe von Einrichtungen fest, ab welchem sie als „Betreiber wesentlicher Dienste“ einzuordnen sind und damit in den Anwendungsbereich der Vorschriften fallen. Einrichtungen im Bereich Verteidigung, nationale Sicherheit, öffentliche Sicherheit und Strafverfolgung sind davon jedoch ausgeschlossen, genauso wie die Justiz, Parlamente und Zentralbanken.

Außerdem wird durch die Richtlinie das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe) eingeführt, das die Koordination und Bewältigung von Cybervorfällen unterstützen und den Austausch zwischen Mitgliedsstaaten und EU-Organen sicherstellen soll.

 

Speichern von Registrierungsdaten

Eine große Änderung kommt durch den Art. 28 der Richtlinie. Dieser regelt die „Datenbank der Domänennamen-Registrierungsdaten“. Die Vorschrift verpflichtet die EU-Mitgliedsstaaten dazu, dass Registries die personenbezogenen Daten, im Rahmen des EU-Datenschutzrechts, sammeln und pflegen, sodass Domain-Inhaber und Domain-Registrare identifiziert werden können. Gespeichert werden sollen die Domain, das Datum der Registrierung, der Name des Domäneninhabers, seine E-Mail-Adresse und Telefonnummer und die Kontakt-E-Mail-Adresse und Telefonnummer der Anlaufstelle, die den Domänennamen verwaltet. Außerdem sollen die TLD-Namenregister über Überprüfungsverfahren verfügen, um Genauigkeit und Vollständigkeit der Angaben in der Datenbank zu gewährleisten. Daten, die nicht personenbezogen sind, sollen außerdem öffentlich zugänglich sein.

 

Kritik

Kritik an der Vorschrift kam zum einen von der Piratenpartei. Eine Identifizierungspflicht für Domaininhaber habe nichts mit Cybersicherheit zu tun. Dies habe auch Folgen für Menschenrechts- und Demokratieaktivisten, wenn diese Pflicht auch von anderen Staaten wie dem Iran, Russland oder China übernommen würde. Politische Aktivisten bräuchten die Möglichkeit der Anonymität im Netz

Auch die Denic äußerte sich kritisch. Auch aus ihrer Sicht sei die Identifizierungspflicht nicht erforderlich für die Sicherheit, Stabilität und Resilienz der DNS, da die Identifikation der Person, die die Domain registriert hat, nicht zwangsläufig mit demjenigen übereinstimmt, der tatsächlich die Kontrolle über den Namensraum ausübe.

 

Die Richtlinie muss nun innerhalb von 21 Monaten nach ihrem Inkrafttreten durch die Mitgliedsstaaten in nationales Recht umgesetzt werden.

 

Anwaltskanzlei Hild & Kollegen | IT.IP.Media.
Rechtsanwalt Hagen Hild
Fachanwalt IT-Recht
Fachanwalt Gewerblicher Rechtsschutz
wwww.kanzlei.biz

Die vollständige Besprechung des Beitrags finden Sie unter: https://www.kanzlei.biz/kanzlei-blog/eu-parlament-verabschiedet-nis-2-richtlinie-mit-identifizierungspflicht-fuer-domaininhaber-16-12-2022/