Domeinnaam beveiligen: 9 checks om je onderneming online te beschermen
Nieuws
Wat betekent NIS2 voor resellers van domeinnamen?
15-10-2024 - De nieuwe NIS2-wetgeving wil Europese organisaties beter beschermen tegen toenemende cyberdreiging. We overlopen wat NIS2 betekent voor resellers van domeinnamen en welke veranderingen je mag verwachten.
De komst van de Europese NIS2-richtlijn heeft een flinke impact op registry's, registrars en resellers van domeinnamen. Want naast een robuust netwerk- en informatiesysteem, moeten aanbieders van domeinnamen ook meer aandacht schenken aan de registratiegegevens.
Waarover gaat NIS2?
NIS2 is een Europese richtlijn die strengere standaarden oplegt op vlak van cyberbeveiliging die ingaat op 18 oktober 2024. Via die richtlijn wil de Europese Unie haar lidstaten en dienstverleners aanzetten hun netwerk- en informatiesystemen te wapenen tegen toenemende cyberdreigingen.
Het Domain Name System, ofte DNS, speelt een centrale rol in het digitale ecosysteem. Dat betekent dat alle partijen die domeinnamen registreren of DNS-diensten aanbieden als een cruciale schakel worden beschouwd en dus aan nieuwe verplichtingen moeten voldoen.
Verplichte registratie voor digitale dienstverleners
Organisaties die onder het NIS2-beleid vallen, moeten zich verplicht registreren bij het Centrum voor Cybersecurity België (CCB) voor 18 december 2024 (artikel 14). Die verplichting geldt voor zowel voor registry's, registrars als resellers.
NIS2, DNS-diensten en domeinnamen
Aanbieders van autoritaire of recursieve nameservers zijn een essentiële partij en moeten aan NIS2 voldoen. Naast de verplichte registratie bij het CCB, moeten DNS-aanbieders ook dit doen:
Grondige maatregelen nemen voor risicobeheer (artikel 30), waarmee je je organisatie beschermt tegen cyberincidenten en de continuïteit van je dienstverlening garandeert.
Verplicht melden van incidenten (artikel 34-35) volgens de vooropgestelde maatregelen. Binnen 24 uur van een significant incident moet een eerste melding gemaakt worden. Binnen 72 uur wordt een uitgebreider verslag verwacht.
Wie domeinnaamregistraties aanbiedt zonder DNS-diensten, moet voldoen aan specifieke verwachtingen als het gaat over de verzameling, inzage, publicatie en verificatie van registratiegegevens bij domeinnamen (artikel 94). Die procedures kunnen verschillen tussen Europese landenextensies, aangezien elke lidstaat met een eigen wetgeving komt.
Ook voor internationale extensies, zoals .com en .net, komen mogelijks nieuwe regels aan wanneer die domeinnamen worden geregistreerd voor een partij die actief is binnen Europa.
Hoe dan ook moeten resellers van domeinnamen binnenkort specifieke registratiegegevens verzamelen én die gegevens verifiëren.
Welke gegevens moeten resellers verzamelen?
Resellers moeten juiste en complete gegevens opgeven van de domeinnaamhouder. Specifiek zijn dat deze:
Domeinnaam
Registratiedatum
Naam van de domeinnaamhouder
E-mailadres van de domeinnaamhouder
Telefoonnummer van de domeinnaamhouder
Adres van de domeinnaamhouder
E-mailadres en telefoonnummer van het administratief contact, als die verschillen van die van de domeinnaamhouder
Die gegevens zijn vandaag al nodig bij elke registratie van een domeinnaam. Het kan dat registry's van Europese landenextensies binnenkort meer gegevens opvragen, al is die kans vandaag eerder klein.
De verificatie van registratiegegevens
Alle verzamelde gegevens moeten correct zijn. Zowel registry's, registrars als resellers van domeinnamen moeten daarom een procedure hebben waarmee ze de registratiegegevens verifiëren.
Verificatie van e-mailadres
Verschillende Europese landenextensies, zoals .be, hebben vandaag al een verificatiesysteem voor e-mailadressen. Die procedures blijven waarschijnlijk bestaan.
Bij andere Europese landenextensies zal de procedure afhangen van registry tot registry. Het is belangrijk om te onthouden dat de verificatie van een e-mailadres binnen een bepaalde termijn nodig is om die actief te houden.
Verificatie van naam, nummer en adres
Voor de andere gegevens wordt waarschijnlijk een risicogerichte aanpak gehanteerd. Verificatie van die data zal van geval tot geval afhangen.
Afwijkingen in een telefoonnummer of postcode, of verdachte namen kunnen een trigger zijn om die specifieke gegevens te verifiëren. Resellers kijken daarom best de registratiegegevens proactief na.
Wat betekent NIS2 voor .be?
DNS Belgium heeft vandaag al een verificatieprocedure voor nieuwe registraties van .be-domeinnamen. Houders kunnen hun gegevens bevestigen via Itsme of eID. Waarschijnlijk blijft die procedure bestaan voor alle .be-domeinnamen.
Wat komt er nog aan?
De deadline voor een officiële wetgeving ligt op 17 oktober 2024. De komende weken volgt meer duidelijkheid over Europese domeinnaamextensies en de impact op resellers.
In principe wordt een bufferperiode voorzien voor resellers, al is dat niet zeker. Het is kortom belangrijk om zo snel mogelijk de juiste procedures op orde te hebben.
NIS2 voor resellers samengevat
Gaandeweg zullen de verificatieprocedures voor registratiegegevens van domeinnamen duidelijker worden. Dit kan je nu al doen om in orde te zijn met NIS2.
Registreer je organisatie zo snel mogelijk bij het CCB. De uiterlijke deadline is 18 december 2024.
Verzamel de nodige gegevens van de domeinnaamhouder vóór de registratie van een domeinnaam. Op die manier verzeker je een vlotte registratie.
Houd de registratiegegevens van domeinnamen proactief in het oog. Merk je een afwijking in de naam, telefoonnummer of het e-mailadres? Neem dan contact op met de houder om de gegevens te bevestigen en, indien nodig, te corrigeren.
Bereid een procedure voor om data zoals de naam en het telefoonnummer van de domeinnaamhouder te verifiëren.
Zit je met vragen over NIS2, de impact op je organisatie of de registratie van domeinnamen? Contacteer ons op ons telefoonnummer 0800/26 800, op support@nomeo.be of via live chat. We geven graag meer advies.
