Nach DSGVO im Mai 2018, DMA (Oktober 2022), DSA (Februar 2024) steht im Oktober 2024 mit Inkrafttreten der NIS-2 der nächste Paukenschlag im Ökosystem der EU-Digitalgesetzgebung bevor.

 

Betroffene Einrichtungen

Die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (EU) 2022/2555 (NIS-2-RL), so der volle Name, listet taxativ Branchen und Sektoren, welche als wichtige oder wesentliche Einrichtungen definiert sind und daher (behördlicher) Prüfungen in Form von regelmäßigen Audits zu unterziehen sind.

Neben Energie, Verkehr, Bankwesen, Finanzmarkt, Gesundheit, Trinkwasser, Abwasser, Weltraum zählt (wenig überraschend) die Verwaltung von IKT-Diensten, insbesondere digitale Infrastruktur wie DNS Diensteanbieter zu den wesentlichen Einrichtungen im Anwendungsbereich der NIS-2.

 

Erhoffte Gesetzesentwürfe bleiben bis jetzt aus

Seit Januar 2023 steht der 17. Oktober 2024 als Deadline für die nationale Umsetzung der NIS-2 in allen Mitgliedsstaaten fest. Trotz fortgeschrittener Zeit liegt in Österreich bisher öffentlich noch kein Gesetzesentwurf für die konkrete nationale Umsetzung vor.

Obwohl die Spatzen bereits einen Neuwahltermin Ende September 2024 von den Dächern pfeiffen, die weitere Umsetzung aufgrund einer erforderlichen Verfassungsbestimmung und der im Zuge der Gesetzwerdung erforderlichen Zustimmung aller neun Bundesländer dies als unwahrscheinlich erscheinen lassen, wird allerorts in der Wirtschaft ein solches Gesetz erhofft.

 

Säumigkeit des Gesetzgebers hat weitreichende Folgen

Sollte der österreichische Gesetzgeber säumig bleiben, würde dies zum direkten Inkrafttreten der NIS-2, ohne Begleitkommentare, Umsetzungsempfehlungen und einer klaren Regelung zur zuständigen NIS-Behörde führen. Ein Szenario, das mit der Umsetzung betraute Verantwortliche in allen Branchen zumindest mit leichten Sorgenfalten zurücklässt.

 

Bevorstehende Umstellungen

Als Betreiber von autoritativen DNS-Servern und Anbieter von DNS-Dienstleistungen sind wir als wesentliche Einrichtung eingestuft und daher bereits seit November 2022 intensiv mit den Vorbereitungen für eine NIS2-konforme Zertifizierung und ein konzeptionelles Re-Design unseres DNS-Managements befasst.

 

Diese Einstufung von DNS-Providern als wesentliche Einrichtung trifft übrigens jeden kommerziellen Betreiber von DNS-Diensten:

Im Gegensatz zu anderen Bereichen gibt es keine gelockerten Bedingungen für kleine Marktteilnehmer:

Die 10 Mindestmaßnahmen,

  • Konzept Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Business Continuity und Krisenmanagement
  • Sicherheit der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb/Entwicklung/Wartung von IKT
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
  • Cyberhygiene und Schulungen zur Cybersicherheit
  • Kryptografie und ggf. Verschlüsselung
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle
  • Multi-Faktor-Authentifizierung

gelten also auch für Einzelunternehmer, die selbst autoritative DNS-Server betreiben. Strenge Vorgaben, welche wirtschaftlich beinahe unmöglich zu erfüllen sind. Diese Vorgaben sind in den Artikeln 20ff der Richtlinie geregelt.

 

Unsere Fortschritte

Nachdem wir auch viele lokale Internet-Zugangsprovider, Agenturen, Webdesigner, Domainer und Großabnehmer zu unseren treuen Kunden zählen dürfen, wird unsere neue DNS-Verwaltungslösung für Partner auch als neutrale white-lable-Lösung mit Mandantenfunktion verfügbar werden.

So versuchen wir unseren Betrag zu leisten, dass trotz überbordender regulatorischer Vorgaben der EU-Grundgedanke eines möglichst pluralistischen Marktes zumindest im Ökosystem unserer Kunden und Partner überlebt.

Wir hoffen so, bestehende Partner (Domain- und Hosting-Reseller) und auch interessierte österreichische KMU Service-Provider mit eigenem DNS vom Weiterbetrieb des Geschäftszweigs der DNS- und Domain-Dienstleistungen überzeugen zu können.

 

 

Artikel 28 der Richtlinie regelt die künftig strengere Handhabung (Validierung und Prüfung) der Domain-Kontaktdaten.

Die Betreiber der Registry-Datenbanken, Domain-Registrare und auch Domain-Reseller sind hier besonders gefordert, bis zum nationalen Inkrafttreten der Richtlinie als gemeinsam Verantwortliche robuste und skalierbare Regeln, Maßnahmen und Prozesse zu entwickeln, die gleichermaßen den neuen (strengeren) regulatorischen Vorgaben gerecht werden und auch den betrieblichen Alltag möglichst wenig beeinträchtigen.

 

Unser Beitrag zur NIS-2 Umsetzung in der Branche

Franz Reischenböck, einer unserer Geschäftsführer, ist als Vertreter der Gruppe der betroffenen Registrare Mitglied in den mit der NIS-2-Umsetzung betrauten Arbeitsgruppen der Denic eG und Nic.at GmbH.

Wir sind daher sehr zuversichtlich, bis zum Sommer 2024 auch in diesem Detailbereich der NIS-2 eine für alle Kunden und Reseller marktfähige und möglichst friktionsfreie Lösung für eine adäquate Datenvalidierung anbieten zu können.

 

Einen guten Überblick zum Thema NIS-2 (inkl. laufender Updates) finden Sie auf den Seiten der Wirtschaftskammer Österreich unter www.wko.at/it-sicherheit/nis2-uebersicht.