De Network Information Security Directive 2 (NIS-2), aangenomen in 2022, legt nieuwe veiligheidsverplichtingen op aan kritieke sectoren, waaronder óók de domeinnaam- en hostingindustrie. Lidstaten moesten deze Europese richtlijn vóór 17 oktober 2024 in hun wetgeving implementeren, maar bijna alle landen misten de deadline. Hoewel de richtlijn officieel nog niet overal van kracht is, wordt de impact al gevoeld, vooral bij bedrijven die in meerdere lidstaten opereren.

NIS-2 verplicht domeinnaamaanbieders en DNS-providers om gegevens van domeinnaamhouders te controleren op juistheid en volledigheid. In Nederland betekent dit dat jaarlijks de gegevens van circa 1,1 miljoen nieuwe domeinnamen moeten worden geverifieerd. De invoering verloopt echter traag; enkel België en Kroatië voldeden aan de deadline, terwijl Nederland invoering van de nieuwe Cyberbeveiligingswet pas in Q3 2025 verwacht. Deze vertraging komt vooral door de vrijheid die lidstaten hebben in de vertaling van de richtlijn, wat leidt tot discussie en onenigheid. In Duitsland verwierp de regering recent een voorstel voor strenge identiteitsscreening van domeinnaamhouders.

Ondanks de trage implementatie voelen bedrijven de noodzaak om vooruit te lopen op de wetgeving. Veel bedrijven willen niet per land verschillende regels hanteren en kiezen voor één uniforme aanpak voor heel Europa. Registrars overwegen om controles op gegevens juistheid, zoals e-mailvalidatie, Europees breed in te voeren.

Daarnaast moeten hosters en registrars onder NIS-2 zorgen voor de beveiliging van hun eigen systemen en die van hun leveranciers. Om aan deze vereisten te voldoen, heeft SIDN, de .nl-domeinbeheerder, een Online Trust Center opgezet. Hier kunnen registrars informatie vinden over SIDN’s beveiligingsbeleid, zodat ze hun verplichtingen eenvoudiger kunnen afvinken.

Lees ook
NIS2-uitstel is geen reden tot treuzelen