El artículo 28 de la Directiva NIS2 (Directiva (UE) 2022/2555) exige a los registros y registradores de TLD que recopilen, verifiquen y mantengan datos precisos sobre los registrantes, y que los revelen rápidamente a los "solicitantes de acceso legítimos", como los organismos encargados de hacer cumplir la ley. El blog original de Excedo describió esto como una revolución del "conozca a su cliente" (KYC) para el sistema de nombres de dominio.

Nueve meses después, la atención se ha intensificado aún más. El artículo 28 se centra específicamente en el Sistema de Nombres de Dominio (DNS) y obliga a los registros y registradores de TLD a recopilar, verificar y mantener datos de registro precisos en bases de datos públicas y documentadas. El objetivo es reducir el anonimato tras el que se esconden los ciberdelincuentes, respetando al mismo tiempo las normas del RGPD sobre el tratamiento de datos personales.

Estado de la transposición y plazos

  • Seguimiento de la transposición: A fecha de 7 de julio de 2025, solo 14 de los 27 Estados miembros de la UE han incorporado plenamente la NIS2 a su legislación nacional; la mayoría de los que no cumplieron el plazo del 17 de octubre de 2024 están ahora bajo escrutinio.
  • Listas específicas por dominio: Antes del 17 de abril de 2025, los Estados miembros debían notificar a la Comisión y al Grupo de Cooperación NIS2 todas las "entidades que prestan servicios de registro de nombres de dominio" y clasificarlas como esenciales o importantes, un paso fundamental para activar las obligaciones del artículo 28.
  • Procedimientos por infracción: El 7 de mayo de 2025, la Comisión instó formalmente a 19 Estados miembros a completar la transposición, advirtiéndoles de posibles acciones legales (comunicado de prensa DIGIT/2025/247).

Orientaciones basadas en el riesgo del Grupo de Cooperación (8 de abril de 2025)

El 8 de abril de 2025, el Grupo de Cooperación NIS2 publicó unos "requisitos mínimos" no vinculantes para armonizar la aplicación del artículo 28 en toda la UE.

Aspectos destacados:

  • Validación sintáctica y operativa de las direcciones de correo electrónico y los números de teléfono en el momento del registro.

  • Comprobaciones de identidad basadas en el riesgo de los solicitantes de registro, favoreciendo la verificación electrónica solo para los casos de riesgo medio o alto, en lugar de comprobaciones generales de todos los dominios.

  • Verificación de la etapa del ciclo de vida, por ejemplo, en caso de renovación, transferencia, actualizaciones de campos clave o a petición motivada de solicitantes de acceso legítimos (CERT, fuerzas del orden y, a discreción de los Estados miembros, responsables de la aplicación de los derechos de propiedad intelectual).

  • Procedimientos acelerados de divulgación de datos para amenazas urgentes (por ejemplo, riesgos inminentes para la vida o infraestructuras críticas), lo que podría reducir los tiempos de respuesta de los registradores a 24 horas en lugar de las 72 horas estándar.

Preparación de los registradores: tendencias y soluciones KYC

  • Guía iDenfy (febrero de 2025): describe un enfoque KYC llave en mano para los registradores, que combina la verificación de identidad basada en IA, la verificación de negocios, la detección de AML y la puntuación de riesgo continua, en total conformidad con los requisitos de verificación del artículo 28.

  • Actualizaciones del mercado (junio de 2025): Los comentarios del sector (por ejemplo, el blog EuroDNS y el informe CENTR) recuerdan a los registradores que las obligaciones de la NIS2 se extienden a los TLD no pertenecientes a la UE (como .com y .info). Por lo tanto, se anima a los registradores a implementar una reverificación periódica, una práctica recomendada en las directrices del Grupo de Cooperación, para mantener la exactitud de los datos a lo largo del ciclo de vida del dominio.

Mejores prácticas que surgirán en 2025

  • Verificación multifactorial: Combinación de documentos emitidos por el gobierno, validación de instrumentos de pago y servicios de identidad acreditados.

  • Puntuación de riesgo automatizada: señalización de los registrantes de alto riesgo (por ejemplo, carteras de gran volumen, datos incongruentes) para su revisión manual.

  • Políticas transparentes: publicación de las prácticas de registro de datos y los umbrales de verificación para cumplir con el artículo 28, apartados 3 y 5.

Retos y perspectivas

  • Enfoques nacionales divergentes: las preocupaciones relacionadas con el RGPD han llevado a algunos Estados a limitar la publicación de datos, mientras que otros adoptan listas de acceso legítimo más amplias que incluyen a los encargados de hacer cumplir la propiedad intelectual privada, lo que supone un riesgo de mayor fragmentación.

  • Retraso en la aplicación: los Estados miembros que siguen sin cumplir los plazos se enfrentan a procedimientos de infracción, pero los registradores que operan en ellos deben prepararse, no obstante, para la inminente entrada en vigor de las normas nacionales.
  • Futura legislación secundaria: Los observadores esperan que la Comisión adopte actos delegados o de ejecución que detallen los requisitos técnicos para las bases de datos de registro de dominios. A fecha de julio de 2025 no se ha publicado ningún calendario oficial, pero sigue existiendo la posibilidad de que los borradores aparezcan a finales de año.

Conclusión

Mantenerse a la vanguardia significa combinar flujos KYC robustos con una estrategia de verificación basada en el riesgo y orientada al ciclo de vida. A medida que los Estados miembros finalicen sus leyes y la Comisión perfeccione las normas secundarias, los registradores que ya hayan invertido en controles de identidad por capas encontrarán más fácil el cumplimiento y el ecosistema de nombres de dominio será más seguro.

¿Necesita ayuda para navegar por la NIS2 y todos los cambios necesarios para cumplir con la normativa?

Póngase en contacto con nosotros para una consulta gratuita: