Det digitala landskapet utvecklas snabbt, och i takt med det blir regelverket allt strängare för att skydda företag, privatpersoner och myndigheter från de växande hoten från cyberbrottslighet.

En av de viktigaste nyheterna på området är EU:s NIS2-direktiv (Network and Information Security Directive 2), som innebär nya skyldigheter för leverantörer av onlinetjänster. Bland de många bestämmelserna sätter artikel 28 fokus på processer för kundkännedom (KYC) för domännamnsregistranter.

I den här artikeln kommer vi att undersöka hur NIS2 och artikel 28 påverkar domänregistrering, varför kundkännedom är viktigare än någonsin och hur domännamnsregistrarer måste anpassa sig för att säkerställa efterlevnad och samtidigt förbättra cybersäkerheten. Men först en snabb genomgång av NIS2-direktivet.

Vad är NIS2-direktivet?

NIS2-direktivet, som antogs av EU 2022, uppdaterar och stärker det ursprungliga NIS-direktivet (2016), som syftade till att förbättra cybersäkerheten i hela EU genom att kräva att leverantörer av samhällsviktiga tjänster (till exempel energi, hälso- och sjukvård och transport) vidtar strängare säkerhetsåtgärder.

NIS2 utvidgar tillämpningsområdet till att omfatta ett bredare spektrum av sektorer, inklusive leverantörer av digital infrastruktur, som bland annat omfattar domännamnsregistrarer och DNS-tjänsteleverantörer. Syftet är att skydda kritisk infrastruktur och digitala tjänster från cyberhot som ransomware, dataintrång och attacker i leveranskedjan.

När det gäller ansvar och skyldigheter för registrarer av domännamn och leverantörer av DNS-tjänster måste särskild uppmärksamhet ägnas åt artikel 28.

Artikel 28: Ett särskilt fokus på registrering av domännamn

Ett av de avsnitt i NIS2 som är särskilt viktiga för domännamnsregistrarer är artikel 28, som handlar om domännamnsregistrarers och DNS-tjänsteleverantörers ansvar. Enligt artikeln måste dessa leverantörer samla in, verifiera och, i vissa fall, lämna ut korrekt och fullständig information om sina kunder - i synnerhet domännamnsregistranterna.

Genom artikel 28 införs principen om kundkännedom (KYC) i registreringsprocessen för domännamn, vilket innebär att domännamnsregistrarer måste veta exakt vem som registrerar ett domännamn och säkerställa att registrantens identitet är legitim.

Viktigaste slutsatserna från artikel 28:

  1. Korrekt information om registranter: Registrarer ansvarar för att säkerställa att domännamnsägare (registranter) tillhandahåller giltig och uppdaterad personlig och organisatorisk information.

  2. Verifiering: Registrarer måste införa mekanismer för att verifiera identiteten hos registranter, oavsett om det rör sig om fysiska personer eller juridiska organisationer, vid registreringstillfället.

  3. Tillgänglighet till uppgifter: Brottsbekämpande och andra behöriga myndigheter måste ha tillgång till uppgifter om domännamnsregistranter för utredningar eller cybersäkerhetsändamål.

Dessa åtgärder syftar till att stävja missbruk av domännamn för skadliga aktiviteter, inklusive nätfiske, botnätskontroll och bedrägeri. Genom att upprätthålla KYC försöker artikel 28 att minska anonymiteten som ofta utnyttjas av cyberbrottslingar.

Betydelsen av kundkännedom för domännamnsregistranter

Införandet av kundkännedom för domännamnsregistranter är ett viktigt steg mot att förbättra säkerheten och transparensen på Internet.

Här är några exempel på varför kundkännedom är viktigt i det här sammanhanget:

Bekämpning av cyberbrottslighet

Cyberbrottslingar använder ofta falsk eller anonym information när de registrerar domännamn, vilket gör att de kan agera ostraffat. Oseriösa domännamnsregistreringar används vanligen för:

  • Phishing-attacker: Skadliga domännamn som efterliknar legitima webbplatser för att stjäla personlig eller finansiell information.

  • Distribution av skadlig kod: Domännamn som är värd för eller distribuerar skadlig kod, inklusive utpressningsprogram eller spionprogram.

  • Botnet servers: Domännamn som används för att styra botnät, som kan utföra DDoS-attacker eller volymetriska spamkampanjer.

Genom att upprätthålla kundkännedom kan registrarerna förhindra att falska eller stulna identiteter används, vilket gör det svårare för brottslingar att dölja sin verksamhet.

Korrekta uppgifter om registrerade kommer att utgöra ett spår som brottsbekämpande myndigheter kan följa, vilket förbättrar chanserna att identifiera och stoppa cyberbrottslingar innan betydande skada har skett.

Ökat förtroende för ekosystemet för domännamn

KYC-praxis främjar transparens och ansvarsskyldighet, vilket i sin tur stärker förtroendet för det digitala ekosystemet för domännamn. När registranter tillhandahåller korrekt och verifierbar information minskar antalet dåliga aktörer som utnyttjar systemet. Detta är avgörande för onlineföretag, användare och tjänsteleverantörer som förlitar sig på en säker och pålitlig domännamnsinfrastruktur.

För legitima företag hjälper KYC till att minska domännamnspoofing och andra taktiker som cyberbrottslingar använder för att imitera betrodda varumärken. Detta skyddar inte bara varumärkets rykte utan ökar också konsumenternas förtroende för onlineinteraktioner.

Efterlevnad av lagstadgade krav

NIS2-direktivet och artikel 28 innebär ett steg mot en striktare reglering av domännamn. Domännamnsregistrarer som inte uppfyller kraven på kundkännedom riskerar att drabbas av påföljder eller till och med förlora sin ICANN-ackreditering.

Genom att implementera korrekta processer för kundkännedom kan registrarer säkerställa efterlevnad inte bara av NIS2-direktivet utan även av andra regelverk, till exempel den allmänna dataskyddsförordningen (GDPR), som reglerar datasekretess i EU. Registrarerna måste hitta en balans mellan att uppfylla kraven på kundkännedom och att skydda användarnas integritet, särskilt när de delar information med brottsbekämpande myndigheter eller andra enheter.

Förhindra missbruk av domännamn

Domännamn med falska eller anonyma registreringsuppgifter löper större risk att flaggas för skadlig verksamhet. Genom att verifiera registranternas identitet kan registrarerna avsevärt minska missbruk av domännamn. Detta bidrar till bättre ryktespoäng för domännamn, vilket hjälper både slutanvändare och sökmotorer att identifiera legitima webbplatser, vilket gör internet säkrare.

Hur domännamnsregistrarer bör implementera KYC

För att uppfylla kraven i NIS2 och artikel 28 måste domännamnsregistrarer införa effektiva mekanismer för kundkännedom.

Här är några viktiga steg de kan ta:

  1. Verktyg för identitetsverifiering: Registrarer kan integrera automatiserade verktyg för identitetsverifiering som verifierar en registrants identitet vid registreringstillfället. Dessa verktyg kan omfatta kontroller såsom verifiering av statligt utfärdat ID, företagsregistreringsdokument eller korsreferenser mot kända databaser.

  2. Kontinuerlig övervakning: Registrarerna bör inte bara verifiera informationen vid registreringen utan även utföra regelbundna revisioner eller kontroller för att säkerställa att registrantens information förblir korrekt över tid.

  3. Samarbete med brottsbekämpande myndigheter: Registrarerna bör upprätta tydliga processer för att på ett säkert sätt dela registrerades uppgifter med brottsbekämpande myndigheter när så krävs av utredningar eller cybersäkerhetsincidenter, i enlighet med sekretesslagar.

  4. Öppenhet för kunderna: Registrarerna bör informera sina kunder om kraven på kundkännedom och skälen bakom dem, och försäkra att processerna finns på plats för att öka säkerheten utan att i onödan äventyra integriteten.

  5. Datasäkerhet: Eftersom kundkännedom innebär att känslig information samlas in måste registrarerna genomföra strikta dataskyddsåtgärder för att skydda registrantens uppgifter från intrång eller obehörig åtkomst, i linje med GDPR och andra sekretessbestämmelser.

Slutsats

Införandet av NIS2-direktivet och artikel 28 innebär en vändpunkt för domännamnsbranschen. Genom att genomdriva processer för kundkännedom för domännamnsregistranter strävar EU efter att förbättra transparensen, ansvarsskyldigheten och säkerheten i den digitala världen.

Domännamnsregistrarer har nu en viktig roll att spela i kampen mot cyberbrottslighet genom att säkerställa att de domännamn de hanterar inte anonymt kontrolleras av illvilliga aktörer.

Att implementera robusta mekanismer för kundkännedom hjälper inte bara registrarer att följa NIS2 utan bidrar också till det bredare målet att skapa ett säkrare och mer pålitligt internet för alla.

 

Behöver du hjälp med att implementera alla nödvändiga ändringar för NIS2-efterlevnad?

Kontakta oss för en kostnadsfri rådgivning: