Директива по безопасности сетей и информационных систем (NIS2) (Директива о мерах по достижению высокого общего уровня безопасности сетевых и информационных систем, EU 2022/2055), позволяет укрепить меры по кибербезопасности и управлению рисками и оптимизировать обязательства относительно отчетности об инцидентах для критически важных объектов, предоставляющих свои услуги в Европейском Союзе (ЕС). Провайдеры услуг системы доменных имен (DNS) и регистратуры доменов верхнего уровня (TLD) считаются критически важными объектами согласно определениям директивы. Директива NIS2 также налагает обязательства в отношении сбора и хранения регистрационных данных доменных имен, а также предоставления доступа к ним, на регистратуры TLD и организации, предоставляющие услуги по регистрации доменных имен.
Страны-член ЕС обязаны перенести Директиву в национальное законодательство не позднее 17 октября 2024 года. Этот срок также касается и Европейской комиссии, которая должна определить технические и методологические требования относительно мер по управлению рисками в области кибербезопасности для критически важных объектов, а также разъяснить, какие инциденты считаются важными, за счет принятия подзаконных актов. В этом контексте Европейская комиссия опубликовала проект исполнительного распоряжения и принимала отзывы с 27 июня до 25 июля 2024 года.
ICANN передала отзыв о проекте положений правил, связанных с ситуациями недоступности сервиса, ухудшения качества сервиса и нарушений кибербезопасности в бэкенд-системах провайдеров услуг DNS и регистратур имен TLD, а также о технических и методологических требованиях к мерам по управлению рисками в области кибербезопасности.
Если говорить конкретно, ICANN выдвинула тезис о том, что факторы вне контроля провайдера услуг DNS или регистратуры имен TLD — такие как проблемы со связностью на уровне местной сети или на уровне провайдера услуг DNS, сети посредника или транзитной сети, а также качество конечных устройств или программно-аппаратного оборудования могут отрицательно сказаться на восприятии качества обслуживания. Следовательно, если рассматривать качество обслуживания с точки зрения конечного пользователя, это может непрямым образом привести к тому, что ответственность за обеспечение высокого качества обслуживания будет перенесена на провайдеров услуг DNS и регистратур имен TLD из-за факторов за пределами их контроля. ICANN порекомендовала прояснить критерии определения размера урона репутации, вызванного тем или иным инцидентом, а также критерии выявления повторяющихся инцидентов, чтобы фиксировать существенные инциденты, возникающие по причинам, действительно зависящим от соответствующей организации.
ICANN предложила применять лучшие практики в области безопасности DNS в качестве меры управления рисками в области кибербезопасности и призвала соответствующие организации применять лучшие практики, не указывая какие именно, так как они со временем могут меняться. Соответствующие сообщества должны достичь договоренностей относительно этих практик.
Текст отзыва, переданного ICANN в рамках консультации Европейской комиссии, доступен на странице, посвященной участию корпорации ICANN в общественных обсуждениях, организованных внешними организациями. Все поданные отзывы и предложения доступны на сайте общественного обсуждения Европейской комиссии.
Работа государств-членов над переносом Директивы NIS в национальные законодательства идет хорошими темпами, хотя ожидаются некоторые задержки. Темпы этой работы очень разные; всего три государства-члена полностью или частично перенесли Директиву в национальное законодательство, а еще пятеро опубликовали законопроекты, находящиеся сейчас на рассмотрении на соответствующем законодательном уровне. Еще одиннадцать государств-членов завершили фазу консультаций. Более существенные задержки предполагаются у государств-членов, в которых выборы или изменения в составе национального правительства значительно повлияли на соответствующие планы и процессы по законодательной деятельности.
Также отмечается, что был сформирован Рабочий поток Группы по вопросам координации работы сетевых и информационных систем соответственно статье 28 Директивы NIS2 для содействия сотрудничеству и обмену информацией среди государств-членов ЕС относительно применения положений статьи 28 в области регистрационных данных доменных имен. Ожидается, что группа опубликует необязательные инструкции для государств-членов по переносу этой статьи директивы.
Насколько нам известно, специальная рабочая группа посвятила свою деятельность вопросам верификации регистрационных данных и доступа к регистрационным данным. 9 ноября 2023 года ICANN направила письмо в адрес Рабочего потока Группы по вопросам координации работы сетевых и информационных систем относительно статьи 28. В нем ICANN поделилась информацией о роли и работе мультистейкхолдерной модели ICANN и ее деятельности по формированию политик, включая действующие политики, процедуры и требования, связанные со статьей 28, «Базы данных регистрационных данных доменных имен».
Согласно тексту письма, ICANN считает, что «инструкции и стандарты, подготовленные структурами, связанными с мультистейкхолдерным управлением на международном уровне» и признанные Директивой NIS2, должны учитываться при ее применении. Требования национального законодательства, которые могут войти в противоречие с правилами, созданными в пределах экосистемы ICANN, могут привести к существенным проблемам для регистратур и регистраторов. Это становится особенно очевидно при возникновении различных толкований статьи 28 и разницы в ее применении, что может привести к возникновению разрозненного ландшафта национальных требований, отличных от политик ICANN. Эти требования также могут привести к проблемам в отношении модели мультистейкхолдерного управления интернетом в целом.
Октябрьский срок уже совсем не за горами и важно, чтобы все заинтересованные стороны продолжали участвовать и действовать активно, чтобы NIS2 была перенесена в национальные законодательства одинаковым образом, что не только позволяет признать уникальность национальных экосистем, но и соответствует международным стандартам, позволяя защитить целостность DNS и экосистемы интернета в целом.

