La Directiva sobre la Seguridad de las Redes y la Información (NIS2) (Directiva sobre medidas para un nivel elevado común de ciberseguridad en toda la Unión, UE 2022/2055) refuerza las medidas de gestión de los riesgos de ciberseguridad y optimiza las obligaciones de notificación de incidentes para las entidades esenciales e importantes que ofrecen sus servicios en la Unión Europea (UE). Los proveedores de servicios del Sistema de Nombres de Dominio (DNS) y los registros de nombres de dominio de alto nivel (TLD) se consideran entidades esenciales en virtud de la directiva. La Directiva NIS2 también impone obligaciones con respecto a la recopilación, el mantenimiento y el otorgamiento de acceso a los datos de registración de nombres de dominio a los registros de nombres de TLD y a las entidades que prestan servicios de registración de nombres de dominio.
Los Estados miembros de la UE deben transponer la directiva a la legislación nacional antes del 17 de octubre de 2024. Este plazo también se aplica a la Comisión Europea, que debe especificar los requisitos técnicos y metodológicos para las medidas de gestión de riesgos de ciberseguridad para entidades esenciales e importantes, así como aclarar cuándo un incidente se considera significativo, mediante la adopción de legislación secundaria. En este contexto, la Comisión Europea publicó un Reglamento Preliminar de Implementación y solicitó comentarios entre el 27 de junio y el 25 de julio de 2024.
La ICANN aportó sus comentarios sobre las disposiciones preliminares relativas a la falta de disponibilidad de un servicio, la degradación del servicio y las violaciones de la ciberseguridad en los sistemas de backend de los proveedores de servicios del DNS y los registros de nombres de TLD, así como los requisitos técnicos y metodológicos de las medidas de gestión de riesgos de ciberseguridad.
Específicamente, la ICANN sugirió que los factores que escapan al control de un proveedor de servicios del DNS o de un registro de nombres de TLD, como los problemas de conectividad a nivel de la red local o del proveedor de servicios de Internet, la red intermediaria o de tránsito, o la calidad del dispositivo o hardware del punto final, pueden tener un impacto negativo en la calidad percibida del servicio. Por lo tanto, abordar la degradación del servicio desde la perspectiva del usuario final podría transferir indirectamente la responsabilidad de mantener la calidad del servicio a los proveedores de servicios del DNS y a los registros de nombres de TLD por factores que escapan a su control. La ICANN recomendó aclarar los criterios para determinar el daño significativo a la reputación causado por un incidente, así como aquellos para identificar incidentes recurrentes, a fin de capturar incidentes significativos cuyas causas fundamentales estén dentro del control de la entidad afectada.
La ICANN sugirió incluir la aplicación de las mejores prácticas en la seguridad del DNS como medida de gestión de riesgos de ciberseguridad, e instó a las entidades pertinentes a aplicar las mejores prácticas sin especificarlas, dado que pueden evolucionar con el tiempo. Dichas prácticas deberían ser acordadas por las comunidades pertinentes.
La contribución de la ICANN a la consulta de la Comisión Europea está disponible en la página de Presentaciones ante organismos externos de la organización de la ICANN. Todas las contribuciones al proceso de Comentario público están disponibles en el sitio web de la consulta de la Comisión Europea.
La transposición de la Directiva NIS2 en los Estados miembros avanza a buen ritmo, aunque se prevén algunos retrasos. El ritmo de avance varía considerablemente; solo tres Estados miembros han transpuesto total o parcialmente la Directiva a su legislación nacional, mientras que otros cinco han publicado proyectos de ley que actualmente están siendo revisados por sus respectivas autoridades legislativas. Además, once Estados miembros han completado sus fases de consulta. Se prevén mayores retrasos en los Estados miembros en los que las elecciones o los cambios en la composición de los respectivos gobiernos nacionales han afectado significativamente a la planificación y los procesos legislativos.
También cabe señalar que se ha creado el Área de trabajo del Grupo de Cooperación en materia de Redes y Sistemas de Información para el Artículo 28 de la Directiva NIS2 con el fin de facilitar la cooperación y el intercambio de información entre los Estados miembros de la UE en relación con la implementación del Artículo 28 sobre los datos de registración de nombres de dominio. Se prevé que este grupo publique orientaciones no vinculantes para que los Estados miembros las tengan en cuenta a la hora de transponer este artículo de la directiva.
A nuestro entender, el grupo de trabajo específico se ha centrado principalmente en la verificación de los datos de registración y el acceso a los mismos. El 9 de noviembre de 2023, la ICANN envió una carta al Área de trabajo del Grupo de Cooperación en materia de Redes y Sistemas de Información para el Artículo 28. En la carta, la ICANN compartió información sobre la función y el trabajo del modelo de múltiples partes interesadas de la ICANN y su formulación de políticas, incluidas las políticas, los procedimientos y los requisitos existentes que son pertinentes para el Artículo 28 - “Base de datos de datos de registración de nombres de dominio”.
Como se indica en la carta, la ICANN considera que “las directrices y las normas elaboradas por las estructuras de gobernanza de múltiples partes interesadas a nivel internacional”, reconocidas por la Directiva NIS2, deben tenerse en cuenta durante su implementación. Los requisitos de la legislación nacional que pudieran generar conflictos con las normas creadas dentro del ecosistema de la ICANN pueden plantear importantes desafíos a los registros y registradores. Esto resulta especialmente evidente en el caso de las distintas interpretaciones e implementaciones del Artículo 28, que podrían dar lugar a un panorama dispar de requisitos nacionales, distintos de las políticas de la ICANN. Dichos requisitos también pueden plantear desafíos para el modelo multilateral de gobernanza de Internet en general.
A medida que nos acercamos a la fecha límite de octubre, sigue siendo importante que todas las partes interesadas se mantengan comprometidas y proactivas, para garantizar una transposición uniforme de la NIS2 que no solo reconozca la singularidad de los ecosistemas nacionales, sino que también se alinee con las normas internacionales, protegiendo la integridad del DNS y el ecosistema de Internet en general.

