Systém tvorby evropského práva postavený na nutném kompromisu dvou institucí ve spolurozhodovací proceduře, Evropského parlamentu a Rady EU, má své pozitivní, ale bohužel i negativní stránky. Jednou z negativních stránek je, že snaha o kompromis nutí evropské zákonodárce k přesunu problematických věcí, na kterých se nemohou dohodnout, do prováděcích aktů nebo nezávazných doporučení. Takhle cesta ale rozhodně nepomáhá adresátům regulace ani harmonizaci.
Jako třeba nyní – skupina pro spolupráci v oblasti síťové a informační bezpečnosti (NIS Cooperation Group), složená ze zástupců členských států, Evropské komise a agentury ENISA, zveřejnila nezávazná doporučení k článku 28 směrnice NIS 2, který se týká „databáze údajů o registraci doménových jmen“. Přestože doporučení nejsou závazná, členské státy jsou vyzývány, aby se doporučením řídily ve svých transpozičních zákonech k NIS 2. To časování samozřejmě není šťastné, protože některé státy už mají směrnici NIS 2 implementovanou, ostatní jsou v pokročilém stádiu procesu a vylepšování tohoto typu může ten proces jen zkomplikovat. Dost na tom, že ho v Česku komplikuje bezpečnost dodavatelského řetězce.
Doporučení požaduje, aby u každého nového doménového jména a prodloužení registrace byla ověřena kontaktní e-mailová adresa a telefonní číslo držitele, a to jak po stránce syntaktické, tak aby bylo ověřena i jeho funkčnost. Ověřování totožnosti držitelů doménových jmen by mělo být založeno na přístupu založeném na riziku, přičemž doporučení výrazně upřednostňuje ověřování elektronickou identitou. To by se mělo týkat jak fyzických, tak právnických osob. Všechny středně a vysoce rizikové registrace by měly projít ověřením totožnosti. Členské státy by měly přinejmenším zajistit, aby všechny příslušné orgány pro kybernetickou bezpečnost podle NIS 2 a orgány odpovědné za „prevenci, vyšetřování, odhalování nebo stíhání trestných činů, CERT nebo CSIRT“ byly ve vnitrostátních prováděcích právních předpisech označeny za oprávněné žadatele o přístup k datům o držitelích domén. Volitelně podle doporučení mohou členské státy za oprávněné žadatele o přístup označit i další veřejné a soukromé subjekty, které se zabývají porušováním práv souvisejících s DNS, např. držitele práv duševního vlastnictví. Odpověď na žádosti o údaje by měly být těmto subjektům poskytnuty do 72 hodin.
Agentura ENISA zveřejnila 19. září výroční zprávu o stavu hrozeb pro rok 2024. Zpráva identifikuje hlavní hrozby kybernetické bezpečnosti v EU a popisuje současný stav kybernetické bezpečnosti. Mezi hlavní hrozby kybernetické bezpečnosti podle zprávy patří ransomware, malware, sociální inženýrství, ohrožení dat, ohrožení dostupnosti, např. útoky typu DDoS, manipulace s informacemi a útoky na dodavatelský řetězec. Zpráva uvádí, že útoky DDoS se stále častěji zaměřují na protokol DNS s cílem narušit „překlady DNS“ a znepřístupnit požadavky DNS běžným uživatelům. Počet útoků DDoS zaznamenal v roce 2023 28% nárůst a v 1. čtvrtletí roku 2024 meziroční nárůst o 80 %. Celkově se síťové útoky podle zprávy zvýšily na konci roku 2023 o 117 %.
Mezi další zaznamenané hrozby patří vydávání se za legitimní subjekty, kdy by aktéři hrozeb napodobovali webové stránky na doménách podobných skutečným zpravodajským webům („typo-squatting“). Americké ministerstvo spravedlnosti zabavilo 30 „doppelgänger“ domén vydávajících se za zavedená média. Ve svém oznámení ministerstvo spravedlnosti uvedlo, že hodlá „agresivně čelit pokusům ruské vlády nebo jakéhokoli jiného zlovolného činitele zasahovat do … voleb a podkopávat … demokracii a narušovat je“.
Rozdělení analyzovaných incidentů podle typu hrozby, zdroj: ENISA Threat Landscape 2024
Valné shromáždění Organizace spojených národů (OSN) přijalo 22. září Globální digitální pakt (GDC) jako přílohu Paktu pro budoucnost. Ten se samozřejmě zabývá řadou témat přesahujících digitální prostor, jako je udržitelný rozvoj, mezinárodní mír a bezpečnost. Když se OSN začne „vrtat“ do správy internetu, je potřeba být v pozoru – je to sice už 12 let, ale jako by to bylo včera, když se Česká republika a její delegace včetně Ondřeje Filipa společně s dalšími státy postavila proti dohodě na novém znění ITR (International Telecommunication Regulations) na WCIT-12, který měl ambici podřadit internet pod křídla regulace Mezinárodní telekomunikační unie, respektive národních vlád.
Pokud jde o otázky správy internetu, je pozitivní, že části GDC podporují multistakehoder model včetně dalších hlavních principů. Mezi ně patří uznání, že „správa internetu musí mít i nadále globální a vícestrannou povahu“ s plným zapojením všech zúčastněných stran a že internet „musí být otevřený, globální, interoperabilní, stabilní a bezpečný“. Patří sem také podpora Fóra pro správu internetu (IGF) a uznání technické komunity jako samostatné zúčastněné strany.
Závazek GDC podporovat „mezinárodní spolupráci mezi všemi zúčastněnými stranami“ s cílem řešit rizika roztříštěnosti internetu lze vykládat jako soulad s pokračujícím úsilím transatlantického okruhu států a organizací typu ICANN zajistit jednotný a soudržný globální internet prostřednictvím jejího poslání udržovat stabilní a bezpečné fungování systémů jedinečných identifikátorů internetu.
Proces přijetí GDC, který trval téměř dva roky, zahrnoval řadu formálních setkání a neformálních konzultací. Navzdory snahám spolupořadatelů zapojit různé zúčastněné strany, jednací řád Valného shromáždění OSN tyto pokusy značně omezoval. Výsledkem bylo, že cenná zpětná vazba od významných organizací a jednotlivců podílejících se na vývoji internetu byla ztracena kvůli absenci záznamů a zápisů. Je zřejmé, že revize fungování OSN je nezbytná.
Na čem se technická komunita shodne je, že se z procesu GDC musíme poučit a vyhnout se dalším chybám v nadcházejícím přezkumu WSIS+20, který je naplánován na rok 2025. Vlády členských států by si měly uvědomit, že podpora inkluzivní a smysluplné účasti všech zúčastněných stran na přezkumu WSIS+20 by mohla pomoci vytvořit výsledný dokument, který by zachycoval různé myšlenky a pohledy a přispěl by ke komplexnějšímu a vyváženějšímu přístupu ke správě internetu. Bohužel existuje množina států, u kterých je multistakeholder model správy internetu sprosté slovo…