Att navigera mellan NIS2 och artikel 28 i mitten av 2025: Betydelsen av kundkännedom för domännamnsregistranter

Artikel 28 i NIS2‑direktivet (direktiv (EU) 2022/2555) föreskriver att TLD‑register och registrarer ska samla in, verifiera och lagra korrekta registrantuppgifter – och snabbt lämna ut dessa till ”legitima begärande parter”, exempelvis brottsbekämpande myndigheter. I Excedos ursprungliga bloggpost beskrevs detta som en Know‑Your‑Customer-revolution (KYC) för domännamnssystemet.

Nio månader senare har intresset bara vuxit.

NIS2 skärper cybersäkerhetskraven på viktiga och betydande leverantörer av digitala tjänster i hela EU. Artikel 28 riktar sig specifikt till domännamnssystemet (DNS) och förpliktar TLD-register och registrarer att samla in, verifiera och upprätthålla korrekta registreringsdata i tillförlitliga, offentligt dokumenterade databaser. Syftet är att minska den anonymitet som cyberbrottslingar drar nytta av, samtidigt som GDPR-reglerna om personuppgiftshantering respekteras.

Införlivandestatus och tidsfrister

• Införlivande: Den 7 juli 2025 hade endast 14 av EU:s 27 medlemsstater helt införlivat NIS2 i sin nationella lagstiftning. De flesta av dem som missade tidsfristen den 17 oktober 2024 är nu föremål för granskning.
  
  
• Domänspecifika listor: Senast den 17 april 2025 skulle medlemsstaterna anmäla alla ”enheter som tillhandahåller domännamnsregistreringstjänster” till kommissionen och NIS2‑samarbetsgruppen samt klassificera dem som väsentliga eller viktiga – ett avgörande steg för att artikel 28 ska kunna tillämpas.
  
  
• Överträdelseförfaranden: Den 7 maj 2025 uppmanade kommissionen formellt 19 medlemsstater att slutföra införlivandet och varnade för möjliga rättsliga åtgärder (pressmeddelande DIGIT/2025/247).

Samarbetsgruppens riskbaserade riktlinjer (8 april 2025)

Den 8 april 2025 offentliggjorde NIS2‑samarbetsgruppen icke bindande ”minimikrav” för att harmonisera genomförandet av artikel 28 inom EU.

Höjdpunkter:

• Syntaktisk och operativ validering av e‑postadresser och telefonnummer vid registrering.
  
  
• Riskbaserade identitetskontroller av registranter, där elektronisk verifiering prioriteras för fall med medelhög eller hög risk i stället för generella kontroller av alla domäner.
  
  
• Verifiering under hela domänens livscykel – t.ex. vid förnyelse, överföring, ändring av nyckelfält eller på motiverad begäran från legitima åtkomstsökande (CERT, brottsbekämpande myndigheter och, efter medlemsstatens beslut, myndigheter som bevakar immateriella rättigheter).
  
  
• Snabba förfaranden för utlämnande av uppgifter vid akuta hot (t.ex. överhängande risker för liv eller kritisk infrastruktur), vilket kan minska registrarens svarstid till 24 timmar jämfört med de normala 72 timmarna.

Registrarernas beredskap: KYC‑trender och lösningar

• iDenfy‑guiden (februari 2025): Beskriver en nyckelfärdig KYC‑lösning för registrarer som kombinerar AI‑driven identitets‑ och företagsverifiering, AML‑screening och kontinuerlig riskbedömning – helt i linje med kraven i artikel 28.
  
  
• Marknadsuppdateringar (juni 2025): Branschkommentarer (t.ex. EuroDNS‑bloggen och CENTR‑briefingen) påminner registrarer om att NIS2-förpliktelserna även omfattar TLD:er utanför EU (t.ex. .com och .info). Registrarer uppmanas därför att genomföra regelbundna omverifieringar – en praxis som rekommenderas i samarbetsgruppens riktlinjer – för att säkerställa att uppgifterna är korrekta under hela domänens livscykel.

Bästa praxis som etableras 2025

• Multifaktorautentisering: Kombination av myndighetsutfärdade dokument, validering av betalningsinstrument och ackrediterade identitetstjänster.
  
  
• Automatiserad riskbedömning: Flaggar högriskregistranter (t.ex. stora portföljer, inkonsekventa uppgifter) för manuell granskning.
  
  
• Transparanta policyer: Offentliggör rutiner för datainsamling och verifieringströsklar för att uppfylla artikel 28 (3) & (5).

Utmaningar och framtidsutsikter

• Skillnader i nationella tillvägagångssätt: GDPR‑frågor har lett till att vissa stater begränsar publiceringen av data, medan andra inför mer omfattande listor över legitima användare, inklusive privata företag som arbetar med IP-rättigheter. Resultatet riskerar att bli ytterligare fragmentering.
  
  
• Efterlevnadsförseningar: Medlemsstater som fortfarande ligger efter i tidsplanen riskerar överträdelseförfaranden, men registrarer som verkar där måste ändå förbereda sig för kommande nationella regler.
  
  
• Kommande sekundärlagstiftning: Observatörer förväntar sig att kommissionen kommer att anta delegerade akter eller genomförandeakter med detaljerade tekniska krav för domänregistrerings-databaser. Ingen officiell tidsplan har publicerats per juli 2025, men det är möjligt att utkast presenteras senare under året.

Slutsats

För att ligga steget före krävs robusta KYC‑flöden kombinerade med en riskbaserad, livscykelorienterad verifieringsstrategi. I takt med att medlemsstaterna färdigställer sin lagstiftning och kommissionen förfinar sekundära regler kommer registrarer som redan har investerat i flerlagersidentifiering att uppleva en smidigare efterlevnadsprocess – och ett säkrare domännamnsekosystem.

Behöver du stöd för att implementera alla nödvändiga förändringar för NIS2‑efterlevnad?

Kontakta oss för en kostnadsfri konsultation.