V Bruselu se finalizují kroky pro finální schválení revize směrnice o kybernetické bezpečnosti („NIS 2“). Jejím cílem je posílit kybernetickou bezpečnost v EU, zvýšit spolupráci mezi členskými státy a odstranit dosavadní roztříštěnost. K posílení kybernetické bezpečnosti má vést i rozšíření druhů povinných subjektů. Nově se tak směrnice NIS 2 vztahuje na registry domén nejvyšší úrovně, subjekty poskytující služby registrace jmen domén (dále „registrátor“) a provozovatele DNS.
Subjektem poskytujícím služby registrace jmen domén je podle definice
1) registrátor,
2) zástupce jednající jménem registrátora, jako je
i) poskytovatel služeb ochrany soukromí (privacy registration service provider),
ii) zprostředkovatel registračních služeb (proxy registration service provider),
iii) přeprodeje.
Směrnice NIS 2 dává členskému státu zmocnění zavést systém registrace povinných subjektů (základních a důležitých subjektů a registrátorů) a vést jejich seznam. V tomto seznamu budou uvedeny alespoň:
a) název subjektu,
b) adresa a aktuální kontaktní údaje včetně emailových adres, rozsahu IP adres a telefonních čísel,
c) kategorizace odvětví/oboru směrnice NIS 2,
d) případně seznam členských států, ve kterých subjekt působí.
Povinnosti registrátorů
a) Vedení vyhrazené databáze
Registry domén nejvyšší úrovně a registrátoři mají shromažďovat a uchovávat přesné a úplné údaje o registraci jmen domén ve vyhrazené databázi, a to s náležitou péči v souladu s právem EU v oblasti ochrany údajů (pokud jde o data, která jsou osobními údaji).
Tento postup nesmí při shromažďování vést ke zdvojování, a proto mají členské státy v národní právní úpravě stanovit „povinnou“ vzájemnou spolupráci mezi registrátory a registry domén nejvyšší úrovně.
Vyhrazená databáze musí obsahovat nezbytné informace umožňující identifikaci a kontaktování držitelů jmen domén a kontaktní místa spravující jména domén v registrech domén nejvyšší úrovně. Mezi tyto informace podle směrnice určitě patří:
- jméno domény,
- datum registrace,
- jméno žadatele o registraci, jeho kontaktní e-mailová adresa a telefonní číslo,
- pokud žadatel o registraci není kontaktním místem spravujícím jméno domény, kontaktní e-mailovou adresu a telefonní číslo tohoto kontaktního místa.
Takové zpracování představuje právní povinnost ve smyslu čl. 6 odst. 1 písm. c) GDPR.
b) Ověření žadatele o registraci
Registrátoři mají zamezit uvádění nesprávných registračních údajů a opravovat je v souladu s právem Unie v oblasti ochrany údajů.
Registrátoři musí mít zavedeny zásady a postupy (včetně postupů ověřování), které zajistí, aby databáze zahrnovala přesné a úplné informace. Tyto postupy musí být veřejně dostupné.
Zároveň by tyto postupy měly odrážet osvědčené metody používané v daném odvětví a pokud možno pokrok dosažený v oblasti elektronické identifikace. Ověřovací postupy mohou být kontroly ex ante prováděné v době registrace a kontroly ex post prováděné po registraci. Registrátoři by měli ověřit alespoň jeden způsob kontaktu žadatele o registraci.
Registrátoři musí bez zbytečného obsahu po registraci jména domény zveřejnit údaje o registraci, které nejsou osobními údaji.
Touto povinností není dotčena možnost shromažďovat údaje o registraci jmen domén pro jiné účely, například na základě smluvních ujednání nebo právních požadavků stanovených v jiných unijních nebo národních právních předpisech.
c) Poskytování informací oprávněným žadatelům
Registrátoři musí poskytnout přístup ke konkrétním údajům o registraci jména domény na základě oprávněné a řádně odůvodněné žádosti oprávněných žadatelů o přístup (v souladu s právem EU v oblasti ochrany údajů).
Na tuto žádost musí reagovat nejpozději do 72 hodin.
Oprávněnými žadateli o přístup se rozumí jakákoli fyzická nebo právnická osoba, která podává žádost na základě práva Unie nebo vnitrostátního práva. Mohou sem patřit orgány příslušné podle směrnice NIS 2 a orgány, které jsou podle unijního nebo vnitrostátního práva příslušné pro prevenci, vyšetřování, odhalování či stíhání trestných činů, a skupiny CERT nebo týmy CSIRT. Množinu oprávněných subjektů by měl určit implementační zákon.
K žádosti oprávněných žadatelů o přístup by mělo být přiloženo odůvodnění umožňující posoudit nezbytnost přístupu k údajům.
Přístup k údajům by měl být bezplatný. Zásady a postupy pro tento postup musí být také veřejně dostupné.
Konkrétní podoba povinností bude záležet na implementaci do českého právního řádu, kterou má na starosti Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Ten již nyní zveřejnil pro zájemce informační web, kde prezentuje aktuální informace důležité nejen pro dnes (a v budoucnu) regulované subjekty. Implementační lhůta je 21 měsíců ode dne vstupu NIS 2 v platnost.