Weinig EU-landen halen deadline NIS-2

De in 2022 aangenomen Network Information Security Directive 2 (NIS-2) die veel impact gaat hebben op de domeinnaam- en hostingsector is door op twee landen na door geen enkele lidstaat gehaald. Dat meldt domeinorganisator SIDN.

Delen van de richtlijn leggen verplichtingen op aan DNS-aanbieders en aanbieders van domeinnamen. Een belangrijke verplichting is bijvoorbeeld het controleren van domeinnaamhoudergegevens op correctheid en volledigheid.

In de praktijk betekent dit dat bij de registratie van domeinnamen een verificatie van de gegevens moet plaatsvinden. Om een idee te geven van de schaal: in Nederland worden jaarlijks 1,1 miljoen nieuwe domeinnamen geregistreerd, waarvan ruim 700.000 .nl-domeinnamen.

Europa voert NIS-2 traag in. Alleen België en Kroatië kunnen met zekerheid zeggen dat ze de deadline gehaald hebben. Van veel andere landen is de status onduidelijk omdat ze de richtlijn in delen invoeren. In Nederland heeft een consultatie op basis van een concepttekst plaatsgevonden, maar invoering van de nieuwe Cyberbeveiligingswet duurt nog tot Q3 2025.

De belangrijkste reden voor al die vertraging is dat de richtlijn de lidstaten veel ruimte laat in de vertaling naar nationale wetgeving. Daardoor ontstaan er binnen de lidstaten discussies over de beste interpretatie, wat weer leidt tot vertraging.

Toch kunnen bedrijven en instellingen die onder de richtlijn vallen niet ontkomen aan maatregelen. Een aantal regels uit de richtlijn vergt veel voorbereidingen. Bovendien is het voor Europees opererende bedrijven ondoenlijk om per land bij te houden wat de status van de richtlijn is en hun acties daarop aan te passen. Zij geven er vaak de voorkeur aan de EU als een geheel te benaderen om zo complexiteit te vermijden.