Blogs de la ICANN

Los blogs de la ICANN brindan información actualizada sobre actividades de desarrollo de políticas, eventos regionales y demás novedades.

La Comisión Europea publica importantes iniciativas pertinentes al DNS y los proveedores de servicios en el DNS

16 de diciembre de 2020
Por

Esta semana, la Comisión Europea publicó importantes iniciativas pertinentes al Sistema de Nombres de Dominio (DNS), las cuales incluyen a los proveedores de datos de registración de nombres de dominio y servicios en el DNS. La organización de la ICANN desea informar a la comunidad acerca de estas iniciativas.

Ley de Servicios Digitales: paquete de medidas legislativas

El martes 15 de diciembre de 2020, se publicó el paquete legislativo de la Ley de Servicios Digitales (DSA), comprendido por la Ley de Servicios Digitales (DSA) y la Ley de Mercados Digitales (DMA).

La DSA consta de una serie de normas sobre los servicios de intermediación en línea. Las obligaciones de los distintos agentes se corresponden con su respectivo papel, tamaño e impacto en el ecosistema digital. Los servicios de intermediación que ofrecen infraestructuras de red, tales como los proveedores de acceso a Internet y los proveedores de servicios en el DNS, y los servicios de alojamiento de datos, tales como servicios en la nube, alojamiento web y plataformas en línea, están contemplados en la DSA independientemente de su tamaño. Las plataformas en línea tendrán que incrementar sus acciones para combatir la difusión de contenidos y bienes ilícitos.

En la DSA, se aclara que los proveedores de servicios en el DNS están dentro del alcance de esta norma. De esta manera, se elimina la ambigüedad del marco legislativo actual, el cual comprende la Directiva 2015/153516 y la Directiva sobre el Comercio Electrónico, con respecto al estatus de "servicios de la sociedad de la información" de los operadores del DNS y el alcance del régimen de exención de responsabilidad de la Directiva sobre el Comercio Electrónico actualmente vigente sobre tales operadores.

Todos los intermediarios que ofrezcan sus servicios en el mercado único europeo, tanto si están establecidos en la Unión Europea (UE) como fuera de ella, deberán cumplir con la DSA. La DMA les impondrá nuevas obligaciones a las grandes plataformas en línea que actúan como "guardianes de acceso". Se trata de plataformas que tienen un impacto significativo y disfrutan de una posición arraigada y duradera. El incumplimiento de la DMA podría derivar en cuantiosas multas de hasta el 10 % del ingreso mundial de una empresa o, en los casos más graves, en el desdoblamiento de aquellas empresas que incumplan las nuevas normas reiteradamente.

El Parlamento Europeo y los Estados miembros de la UE debatirán las propuestas legislativas de la Comisión Europea. En caso de aprobarse, las leyes serán directamente aplicables en toda la UE.

Nuevo paquete de medidas sobre ciberseguridad de la UE

El 16 de diciembre de 2020, la Comisión Europea anunció una serie de iniciativas en materia de ciberseguridad. En primer lugar, anunció la Comunicación sobre la Estrategia de Ciberseguridad de la UE para la Década Digital, en la cual se presentan los principales objetivos políticos de la UE para las áreas de ciberseguridad y soberanía tecnológica. En segundo lugar, la Comisión Europea presentó una propuesta para la revisión de la Directiva sobre la Seguridad de las Redes y los Sistemas de Información (NIS 2). En tercer lugar, propuso una Directiva sobre la Resiliencia de Entidades Críticas.

La nueva Estrategia de Ciberseguridad de la UE, cuyo objetivo es reforzar la resiliencia colectiva europea contra las ciberamenazas, incluye una sección titulada "Mayor seguridad global de Internet". El artículo 1.6 de esta estrategia establece una serie de acciones relativas al DNS. "La Comisión tiene la intención de desarrollar un plan de contingencia, respaldado con fondos de la UE, para afrontar situaciones extremas que afecten la integridad y la disponibilidad del sistema raíz del DNS a escala mundial. [...] Con el fin de reducir los problemas de seguridad relacionados con la concentración del mercado, la Comisión alentará a las empresas, los ISP y los proveedores de servicios de navegación web de la UE a adoptar una estrategia de diversificación de la resolución del DNS. [...] Asimismo, la Comisión tiene la intención de contribuir a la seguridad de la conectividad a Internet mediante su respaldo al desarrollo de un servicio público europeo de resolución del Sistema de Nombres de Dominio (DNS). Esta iniciativa, DNS4EU, ofrecerá un servicio europeo alternativo para acceder a la Internet global. [...] La Comisión también actuará en coordinación con los Estados miembros y la industria para acelerar la adopción de estándares clave en Internet, como el IPv6 y las buenas prácticas y normas establecidas en materia del DNS, el enrutamiento y la seguridad de los correos electrónicos. [...] Por último, la Comisión analizará si es necesario un mecanismo para monitorear y recopilar de manera más sistémica los datos agregados sobre el tráfico de Internet y asesorar acerca de posibles disrupciones".

La propuesta para la revisión de la Directiva sobre la Seguridad de las Redes y los Sistemas de Información (Directiva NIS2) es una actualización de la Directiva NIS existente e impondrá nuevos requisitos para los proveedores de sectores "esenciales" e "importantes", como reportar ciberataques, implementar prácticas de seguridad, analizar exhaustivamente la seguridad de los proveedores y usar tecnología de cifrado.

Los proveedores de servicios en el DNS se incluyen en la lista de entidades para las cuales se deberían identificar operadores de servicios esenciales en la Directiva NIS existente. En tal sentido, algunos países de la UE identificaron operadores de servicios esenciales dentro del Sistema de Nombres de Dominio (DNS), mientras que otros no lo hicieron. La Directiva NIS2 establece lo siguiente: "Promover y preservar un Sistema de Nombres de Dominio (DNS) confiable, resiliente y seguro es un factor clave para mantener la integridad de Internet y es esencial para su funcionamiento continuo y estable, del cual dependen la economía digital y la sociedad. Por lo tanto, esta Directiva se debería aplicar a todos los proveedores de servicios a lo largo de la cadena de resolución del DNS, incluidos los operadores de servidores de nombres en la raíz, servidores de nombres de dominios de alto nivel (TLD), servidores autoritativos para nombres de dominio y resolutores recursivos". Por consiguiente, los proveedores de servicios en el DNS estarán alcanzados automáticamente por la Directiva NIS2 sin que los Estados miembros de la UE tengan que identificar operadores de servicios esenciales en el DNS.

En caso de que un proveedor de servicios en el DNS se encuentre establecido fuera de la UE, pero ofrezca sus servicios dentro de la UE, el operador deberá designar un representante de conformidad con la Directiva NIS2. El representante deberá estar establecido en uno de los Estados miembros de la UE en donde se ofrezcan tales servicios. Se considerará que dicha entidad se encuentra bajo la jurisdicción del Estado miembro donde se encuentre establecido su representante.

Además, en la Directiva NIS2 se indica que "mantener bases de datos precisas y completas, con los datos de registración de los nombres de dominio (denominados 'datos de WHOIS') y permitir el acceso legítimo a dichos datos es esencial para garantizar la seguridad, estabilidad y resiliencia del DNS" y se incluyen disposiciones acerca de los datos de registración de los nombres de dominio. En virtud del artículo 23 de la Directiva NIS2, los Estados miembros de la UE deben cerciorarse de que tanto registros como registradores de nombres de dominio tomen determinadas medidas con respecto a los datos de registración.

Artículo 23

Bases de datos de nombres de dominio y datos de registración

1. Con el fin de contribuir a la seguridad, estabilidad y resiliencia del DNS, los Estados miembros se cerciorarán de que los registros del TLD y las entidades que prestan servicios de registración de nombres de dominio para el TLD recopilen y mantengan datos de registración de nombres de dominio completos y precisos en una base de datos dedicada específicamente a tal fin, con la debida diligencia y sujeta a la legislación en materia de protección de datos de la Unión Europea con respecto a los datos que son datos personales.

2. Los Estados miembros garantizarán que las bases de datos de registración de nombres de dominio mencionadas en el apartado 1 contengan información relevante que permita identificar y contactar a los titulares de los nombres de dominio y a las personas que administran los nombres de dominio bajo los TLD y figuran como puntos de contacto.

3. Los Estados miembros garantizarán que los registros del TLD y las entidades que prestan servicios de registración de nombres de dominio para el TLD cuenten con políticas y procedimientos para garantizar que las bases de datos incluyan información precisa y completa. Los Estados miembros garantizarán el carácter público de tales políticas y procedimientos.

4. Los Estados miembros garantizarán que los registros del TLD y las entidades que prestan servicios de registración de nombres de dominio para el TLD publiquen, sin demoras injustificadas después de la registración de un nombre de dominio, los datos de registración del nombre de dominio que no sean datos personales.

5. Los Estados miembros garantizarán que los registros del TLD y las entidades que prestan servicios de registración de nombres de dominio para el TLD permitan el acceso a datos de registración específicos ante solicitudes lícitas y debidamente justificadas, de conformidad con la legislación de la Unión Europea en materia de protección de datos. Los Estados miembros garantizarán que los registros del TLD y las entidades que prestan servicios de registración de nombres de dominio para el TLD respondan a todas las solicitudes de acceso sin demoras injustificadas. Los Estados miembros garantizarán el carácter público de las políticas y los procedimientos para la divulgación de tales datos.

La Directiva NIS2 propuesta estará disponible para comentario público hasta el 15 de marzo de 2021. La Comisión Europea resumirá los comentarios recibidos, los cuales se presentarán ante el Parlamento y el Consejo europeos a fin de contribuir al debate legislativo. Una vez que la Directiva NIS2 propuesta haya sido acordada por el Parlamento y el Consejo europeos y, por consiguiente, quede aprobada, los Estados miembros de la UE tendrán que incorporarla a su legislación nacional.

Lo mismo se aplica a la Directiva sobre la Resiliencia de Entidades Críticas (CER) propuesta, la cual amplía el alcance y la profundidad de la Directiva sobre Infraestructuras Críticas Europeas de 2008. La Directiva ya abordaba los requisitos de protección física, pero solamente en los sectores de energía y transporte. Ahora se ampliará su contenido para incluir diez sectores: energía, transporte, sector bancario, infraestructuras de los mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, administración pública y espacio. En virtud de la Directiva CER, se imponen normas contra la manipulación de activos físicos, redes digitales y redes de servicios.

El equipo de Participación Gubernamental elaborará un documento integral en el cual se analizarán estas iniciativas y su impacto en el DNS. Una vez publicado este documento, lo compartiremos con la comunidad de la ICANN.

Authors

Elena Plexida

Vice President, Government and IGO Engagement