На этой неделе Европейская комиссия сообщила о важных инициативах в области системы доменных имен (DNS), которые касаются, среди прочего, регистрационных данных доменных имен и провайдеров услуг DNS. Корпорация ICANN хотела бы обратить внимание сообщества на это событие.
Закон о цифровых услугах
Во вторник, 15 декабря 2020 года, был представлен пакет законов о цифровых услугах (DSA), в который вошел Закон о цифровых услугах (DSA) и Закон о цифровых рынках (DMA).
DSA предусматривает правила для онлайн-платформ, чьи обязательства соответствуют их роли, размеру и влиянию в онлайн-экосистеме. Онлайн-платформы, которые представляют собой такие компоненты сетевой инфраструктуры как, например, интернет-провайдеры и провайдеры DNS-услуг, а также хостинговые услуги, такие как облачные и веб-хостинговые услуги и онлайн-порталы, подпадают под действие DSA вне зависимости от размера. Онлайн-порталам надо будет предпринять больше мер для ограничения незаконных контента и товаров.
В тексте DSA поясняется, что провайдеры DNS-услуг также подпадают под его действие. Тем самым устраняется неясность действующего законодательства, которое состоит из Директивы 2015/153516 и Директивы об электронной торговле относительно того, можно ли считать операторов DNS «услугами информационного общества» и в какой мере к ним применимы положения об освобождении от ответственности, предусмотренные действующей директивой об электронной торговле.
DSA будет распространяться на онлайн-платформы, предоставляющие свои услуги на территории Европейского единого рынка, даже если они зарегистрированы за пределами Европейского Союза (ЕС). Положениями DMA предусматриваются новые требования к крупным онлайн-платформам, которые квалифицируются как так называемые гейткиперы (англ. gatekeeper – привратник) – влиятельные платформы с устойчивыми позициями. За несоблюдение правил DMA грозит крупный штраф до 10% от глобального дохода компании или, в худшем случае, дробление компаний, неоднократно нарушающих эти новые правила.
Европейский парламент и страны-члены ЕС обсудят предложенные Европейской комиссией законодательные акты, которые, в случае принятия, будут действовать на территории всего ЕС.
Новый пакет постановлений ЕС в области кибербезопасности
16 декабря 2020 года Европейская комиссия сообщила о ряде инициатив в сфере кибербезопасности. Это, прежде всего, «Сообщение о стратегии ЕС в области кибербезопасности на предстоящее десятилетие» с описанием основных целей ЕС в области политик в сферах кибербезопасности и технологического суверенитета. Во-вторых, Европейская комиссия выдвинула проект «Уточненной редакции Директивы о мерах по достижению высокого общего уровня безопасности сетевых и информационных систем» (NIS 2). В-третьих, Еврокомиссия внесла на рассмотрение проект под названием «Директива об отказоустойчивости критических структур».
Новая Стратегия ЕС в области кибербезопасности, которая предусматривает укрепление коллективной устойчивости Европы к киберугрозам, описана в соответствующем документе, который включает раздел под названием «Повышение уровня глобальной безопасности Интернета». В Разделе 1.6 этого документа предлагается ряд действий, связанных с DNS. «Комиссия планирует разработать план действий в чрезвычайных ситуациях, который будут финансироваться ЕС, направленный на реагирование на экстремальные события, влияющие на целостность и наличие глобальной корневой системы DNS.[...] Комиссия стремится сократить масштабы проблем в сфере безопасности, возникающие в связи с концентрацией рынка, и поэтому будет побуждать компании, интернет-провайдеров и поставщиков браузеров из ЕС применить у себя стратегию диверсификации разрешения DNS. [...] Комиссия также планирует участвовать в обеспечении безопасности связности интернета, поддержав развитие открытого DNS-резолвера в Европе. В качестве альтернативы через инициативу «DNS4EU» планируется обеспечить европейскую услугу обеспечения доступа в глобальный интернет. [...] Кроме того, Комиссия, совместно со странами-членами и представителями отрасли, планирует ускорить процесс внедрения ключевых интернет-стандартов, включая Ipv6 и устоявшиеся стандарты обеспечения безопасности интернета и передовые практики для DNS, маршрутизации и обеспечения безопасности электронной почты [...] И, наконец, Комиссия рассмотрит потребность в разработке механизма более последовательного мониторинга и сбора агрегируемых данных об интернет-трафике и уведомления о потенциальных сбоях».
Проект «Уточненной редакции Директивы о мерах по достижению высокого общего уровня безопасности сетевых и информационных систем» (Директива NIS2) направлен на уточнение существующей директивы ЕС NIS и подразумевает ввод новых требований для «критических» и «важных» провайдеров услуг в критических секторах, включая требования о необходимости уведомления о кибератаках, развертывания политик безопасности, тщательной проверки безопасности поставщиков и использования технологии шифрования.
Провайдеры DNS-услуг указаны в приведенном в Директиве NIS перечне структур, для которых необходимо определить провайдеров жизненно необходимых услуг. Некоторые страны ЕС уже определили провайдеров жизненно необходимых услуг в отношении системы доменных имен (DNS), а некоторые – нет. В тексте Директивы NIS2 записано, что «Поддержка и сохранение надежной, отказоустойчивой и защищенной системы доменных имен (DNS) – ключевой элемент усилий по обеспечению целостности интернета, и он критически важен для его бесперебойной и стабильной работы интернета, от которой зависят цифровая экономика и общество. Следовательно, Директива должна быть применима ко всем провайдерам услуг DNS в цепочке элементов, составляющих процесс разрешения DNS, включая корневые DNS-серверы, DNS-серверы доменов верхнего уровня, авторитативные серверы для доменных имен и рекурсивные резолверы». Соответственно, провайдеры DNS-услуг автоматически подпадают под действие NIS2, даже если страны-члены ЕС не обозначат операторов жизненно необходимых услуг в области DNS.
В случаях, когда провайдер DNS-услуг, зарегистрированный за пределами территории ЕС, предоставляет услуги в пределах этой территории, согласно положениям NIS2 он обязан назначить своего представителя. Этот представитель должен быть зарегистрирован в одной из стран-членов ЕС, которая предоставляет эти услуги. Эта структура будет считаться находящейся в юрисдикции страны-члена, в которой находится этот представитель.
В тексте Директивы NIS2 также отмечается, что «Поддержка баз данных с достоверной и полной информацией о доменных именах и регистрационных данных (так называемых «данных WHOIS») и предоставление законного доступа к этим данным критически важно для обеспечения безопасности, стабильности и отказоустойчивости DNS»; в проект Директивы также вошли положения относительно регистрационных данных доменных имен. В частности, статьей 23 NIS2 определяются требования к странам-членам ЕС относительно обеспечения регистратурами и регистраторами доменных имен ряда мер, связанных с регистрационными данными.
Статья 23
Базы данных доменных имен и регистрационных данных
1. В целях оказания помощи в поддержании безопасности, стабильности и отказоустойчивости DNS, страны-члены должны следить за сбором и хранением полных регистрационных данных доменных имен регистратурами TLD и структурами, предоставляющими услуги в сфере регистрации доменных имен для TLD, в специальной базе данных, с соблюдением требований должной осмотрительности и в соответствии с законом ЕС о защите данных в отношении данных, которые считаются персональными.
2. Страны-члены должны следить за содержанием в базах данных регистрационных данных доменных имен, упомянутых в пункте 1, информации, позволяющей определить владельцев доменных имен и контактных лиц, управляющих этими доменными именами в этом TLD, и связаться с ними.
3. Страны-члены должны следить за тем, что у регистратур TLD и структур, предоставляющих услуги регистрации доменных имен для TLD, действуют политики и процедуры, позволяющие обеспечить достоверность и полноту информации в этих базах данных. Страны-члены должны проследить за размещением текстов этих политики и процедур в открытом доступе.
4. Страны-члены должны проследить за публикацией регистратурами TLD и структурами, предоставляющими услуги регистрации доменных имен в TLD, регистрационных данных домена, которые не являются персональными данными, без необоснованной задержки после регистрации доменного и имени.
5. Страны-члены должны проследить за предоставлением регистратурами TLD и структурами, предоставляющими услуги регистрации доменных имен в TLD, доступа к регистрационным данным того или иного доменного имени в ответ на получение правомерного и надлежащим образом обоснованного запроса от лица, подавшего законный запрос, в соответствии с законом ЕС относительно защиты данных. Страны-члены обязаны проследить за предоставлением регистратурами TLD и структурами, предоставляющими услуги регистрации доменных имен в TLD, ответов на все запросы о предоставлении доступа без необоснованных задержек. Страны-члены должны проследить размещением в открытом доступе политик и процедур раскрытия подобной информации.
Сбор комментариев общественности по Директиве NIS2 продлится до 15 марта 2021 года. Все полученные предложения будут подытожены Европейской комиссией и переданы на рассмотрение Европейскому парламенту и Совету для учета в законодательных дебатах. После достижения договоренности Европейским Парламентом и Советом относительно Директивы NIS2 и ее последующего утверждения, страны-члены ЕС должны будут включить ее положения в свои национальное законодательство.
То же самое касается и проекта Директивы об отказоустойчивости критических структур (CER), в котором предлагается расширить масштабы и глубину охвата Директивы ЕС 2008 года о критической инфраструктуре. Ранее Директивой предусматривались требования к обеспечению физической защиты в энергетической и транспортной отраслях, а теперь они будут распространяться на десять отраслей: энергетическую, транспортную, банковскую, инфраструктуру финансовых рынков, отрасль здравоохранения, водохозяйственный комплекс, отрасль управления удалением и очисткой сточных вод, отрасль цифровой инфраструктуры, отрасль государственного управления и ракетно-космическую отрасль. Директивой CER предусматриваются правила относительно защиты физических объектов, сетей и электросетей от вмешательства.
Отдел по взаимодействию с правительствами подготовит всеобъемлющий документ по этим инициативам и их влиянию на DNS, после чего он будет опубликован и предоставлен сообществу ICANN.