Sodelovanje Registra .si pri pripravi Izjave upravnega odbora združenja CENTR vezane na osnutek izvedbene uredbe k NIS2
Register .si, član evropskega združenja nacionalnih registrov CENTR, je sodeloval pri pripravi pripomb na osnutek izvedbene uredbe Evropske komisije, ki določa podrobnejša pravila za uporabo 21. in 23. člena Direktive NIS 2.
Združenje CENTR je pripravilo skupen komentar na omenjeno izvedbeno uredbo. V ožji delovni skupini, ki je bila zadolžena za pripravo skupnega odziva, je bila tudi predstavnica Registra .si, Špela Jamnik.
Kot subjekti, na katere se neposredno nanašajo določbe osnutka izvedbene uredbe Evropske komisije o določitvi pravil za uporabo direktive NIS 2, člani CENTR s skupnim odzivom podajajo Evropski komisiji povratne informacije in izražajo pomisleke v zvezi z določbami vezanimi na obvladovanjem tveganj kibernetske varnosti in obveznostmi poročanja o pomembnih incidentih.
CENTR Board Statement (besedilo je v angleškem jeziku) želi Evropsko komisijo opozoriti predvsem na naslednja zaskrbljujoča področja:
Da bi zagotovili pravno jasnost za bistvene subjekte in zagotovili obvladljivost obravnave poročanja o incidentih za skupine CSIRT in pristojne organe, CENTR poziva, naj bo 3. člen izvedbene uredbe, ki določa splošno definicijo pomembnega incidenta, čim bolj jasen, osredotočen in ne preveč podroben. Morebitne dvoumne situacije bo lahko pokril prostovoljni mehanizem poročanja, ki ga predlaga direktiva NIS 2, ki bo tudi olajšal sodelovanje med skupinami CSIRT in bistvenimi subjekti.
CENTR prav tako poziva k dodatnim pojasnilom 5. in 6. člena izvedbene uredbe, ki opredeljujeta pomembni incident v povezavi s storitvami TLD registrov in ponudnikov storitev DNS. Obveznost poročanja motenj pri delovanju avtoritativnih strežnikov bi namreč morala vključevati zgolj situacije, ki so lahko pod nadzorom zadevnega subjekta in v okviru omrežnih sistemov, ki jih zadevni subjekt upravlja, ne pa katerekoli motnje v delovanju sistema.
Da bi se izognili prekrivanju pristojnosti med organi, CENTR poziva tudi k zožitvi merila za pomemben incident v 6.(c) členu, tako da bi zajemal zgolj kršitve celovitosti, zaupnosti ali avtentičnosti shranjenih, prenesenih ali obdelanih podatkov v zvezi s tehničnimi delovanjem TLD v skladu z opredelitvijo iz Direktive NIS 2. Pri vzdrževanju podatkovne zbirke podatkov o registraciji domenskih imen, vključno z domenskimi imeni osebnih podatkov imetnikov domen, direktiva NIS 2 namreč v 28. členu vključuje ločen sklop obveznosti. Ob upoštevanju da zbirka podatkov o registraciji domenskih imen vsebuje osebne podatke, je treba namreč kršitve določb 28. člena poročati pristojnim organom v skladu z EU GDPR.Dokument poudarja tudi, da s tem, ko tako NIS 2 kot Aneks k Izvedbeni uredbi določata povsem enake ukrepe za obvladovanje tveganj za kibernetsko varnost vseh ponudnikov DNS storitev, ne glede na njihovo velikost ali druge kriterije, se predvsem na tiste ponudnike, ki predstavljajo mikro in majhna podjetja, polaga nesorazmerno breme. V praksi bo to lahko vodilo v situacijo, kjer se bo dejavnost ponujanja DNS storitev skoncentrirala na manjšem številu večjih ponudnikov, kar bo z vidika kibernetske varnosti lahko imelo obratni učinek od željenega. Tako Evropska komisija kot države članice bi raznolikost po velikosti in poslovnih modelih ponudnikov DNS storitev morale vzeti v ozir pri določanju podrobnejših kriterijev za presojo izpolnjevanja obveznosti ter povečati podporo ter krepitev zmogljivosti manjših ponudnikov.
CENTR Board Statement poziva tudi k nujnosti določitve prehodnega obdobja za uveljavitev obveznih ukrepov iz Aneksa k Izvedbeni uredbi za vse zavezance.
