Twijfels of nieuwe EU-beveiligingsrichtlijn misbruik met domeinen tegengaat

[Captain Kirk]

Vorige maand stemde het Europees Parlement in met de nieuwe Europese beveiligingsrichtlijn NIS2. Die heeft ook gevolgen voor de registratie van domeinnamen binnen de Europese Unie, maar het is de vraag of dit gaat helpen bij het tegengaan van misbruik met domeinnamen, zo stelt de Stichting Internet Domeinregistratie Nederland (SIDN).

De richtlijn inzake netwerk- en informatiebeveiliging (NIS2) introduceert nieuwe regels die een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele EU moeten bevorderen - zowel voor bedrijven als voor landen. Ook worden de cyberbeveiligingseisen aangescherpt voor middelgrote en grote bedrijven die in belangrijke sectoren actief zijn. De eisen hebben onder meer betrekking op het afhandelen van incidenten, beveiliging van de toeleveringsketen, gebruik van encryptie en het openbaar maken van kwetsbaarheden.

Als registry van het .nl-domein gelden de regels ook voor SIDN. Zo moeten partijen die domeinnaamregistraties verzorgen ervoor zorgen dat ze gegevens van de domeinnaamregistratie verzamelen en dat die kloppen (pdf). Het gaat in ieder geval om de naam van de houder, het e-mailadres en telefoonnummer. De gegevens moeten na registratie gevalideerd worden in een procedure die sterk lijkt op de procedure die nu ook voor generieke topleveldomeinen geldt, aldus SIDN.

De stichting twijfelt of meer controle van domeinhoudergegevens voor een betere bestrijding van misbruik zorgt. "De ervaring met de procedure bij generieke topleveldomeinen leert dat de procedure relatief eenvoudig te omzeilen is. Bovendien kan de cybercrimineel ervoor kiezen om malafide registraties buiten de EU te doen en zo de hele richtlijn te omzeilen."

 

bron: https://www.security.nl