Совет директоров Ассоциации регистратур национальных доменов европейских стран (CENTR) принял в Брюсселе проект заявления по поводу директивы о сетевой и информационной безопасности (NIS).
Ассоциация Регистратур европейских национальных доменов CENTR выступит с заявлением 20 февраля 2015 Совет директоров Ассоциации регистратур национальных доменов европейских стран (CENTR) принял в Брюсселе проект заявления по поводу директивы о сетевой и информационной безопасности (NIS).
Директива была одобрена Европарламентом в марте прошлого года, и в настоящий момент обсуждается на уровне Европейского совета. Она предусматривает, в частности, обязательное информирование обо всех значимых киберинцидентах и внедрение строгих мер аудита и отчетности с целью обеспечения кибербезопасности. Действие директивы предполагается распространить не только на предприятия и организации критической инфраструктуры, финансового сектора и крупных интернет–провайдеров, но и на участников доменного рынка, а именно – на регистратуры европейских национальных доменов и доменных регистраторов европейских стран. Ранее они не были включены в число организаций, на которые распространяется действие директивы.
Члены CENTR подтверждают свою приверженность принципам открытости, стабильности и безопасности Интернета и отмечают, что имеют многолетний опыт противодействия киберугрозам, которым охотно делятся друг с другом и всеми заинтересованными сторонами. Вместе с тем, они подчеркивают, что распространение действия директивы в ее нынешнем виде на участников доменного рынка может привести к серьезным негативным последствиям. Прежде всего, члены CENTR обращают внимание на то, что, затрагивая регистратуры национальных доменов, директива не распространяется на регистратуры общих доменов верхнего уровня и отмечают, что это ведет к нарушению принципов добросовестной конкуренции на доменном рынке.
Так, домен .COM продолжает оставаться одним из самых популярных в Европе. И во многих европейских странах, например, во Франции, Испании, Хорватии, Ирландии, Кипре или Люксембурге, пользователи отдают ему предпочтение перед национальными доменами своих стран. Несопоставимо во многих случаях и число зарегистрированных имен. В той же доменной зоне .COM, зарегистрировано более 100 миллионов доменов, а в национальном домене Мальты .MT – порядка 4 тысяч. Однако домен .COM управляется американской компанией Verisign, которая не подпадает под юрисдикцию ЕС. Поэтому она не обязана принимать строгие меры обеспечения безопасности, которые могут стать обязательными для регистратур национальных европейских доменов.
Таким образом, утверждение директивы NIS в нынешнем виде, во–первых, не защитит интересы большинства европейских пользователей. А во–вторых, обяжет регистратуры национальных доменов европейских стран пойти на серьезные расходы, необходимые для обеспечения требований, изложенных в директиве. Это повлечет за собой рост стоимости регистраций и создаст преимущества для регистратур общих доменов верхнего уровня, которые от необходимости нести эти траты избавлены. Кроме того, члены CENTR обращают внимание на то, что директива не учитывает особенности самой структуры доменного пространства.
Высшей ступенью ее иерархии является корневая зона DNS, совместно управляемая 12 организациями, лишь две из которых находятся в Европе. Таким образом, на остальные 10 действие директивы распространено быть не может. В заявлении также отмечается, что расходы, необходимые для обеспечения требований директивы NIS, могут оказаться непосильным бременем для многих европейских доменных регистраторов, являющихся сравнительно небольшими компаниями. Это способно изменить весь ландшафт европейского доменного рынка, лишив пользователей возможности выбора при регистрации доменных имен.
Наконец, члены CENTR указывают на неопределенность многих формулировок директивы, касающихся, в частности, «критического влияния» инцидентов, «пропорциональных и необходимых» мер реагирования, а также понятия «поставщика доменных услуг» (name service provider). Последнее в ряде случаев может быть применено не только к доменным регистраторам, но и к самим регистрантам, включая частных лиц, которые управляют своими доменами, но заведомо не способны выполнить требования директивы.