Unia Europejska jest w trakcie pracy nad przepisami dotyczącymi cyberbezpieczeństwa. Mogą one zwiększyć obowiązki rejestratorów w zakresie dbałości o autentyczność danych abonenckich i przełożyć się na wzrost cen domen.

Chodzi o dyrektywę NIS 2. Ma ona stanowić zrewidowaną wersję dyrektywy NIS 1, czyli pierwszego unijnego prawa w zakresie cyberbezpieczeństwa, która została przyjęta 6 lipca 2016 r. Konieczność aktualizacji NIS 1 podyktowana jest tempem rozwoju cyfryzacji i związanych z nią zagrożeń, takich jak awarie systemów informatycznych, przerwanie ciągłości w dostawie usług, wycieki danych osobowych i informacji poufnych czy rozmaite formy ataków hakerskich, np. typu ransomware.

Jak można przeczytać na stronie PARP, „w świetle projektu dyrektywy NIS 2 władze państw członkowskich powinny przede wszystkim:

• zapewnić funkcjonowanie odpowiednich organów związanych z zapewnieniem cyberbezpieczeństwa (w tym m.in. wyznaczyć pojedyncze punkty kontaktu i właściwe zespoły reagowania na incydenty bezpieczeństwa komputerowego – CSIRT),
• opracować krajowe strategie cyberbezpieczeństwa (w ramach których powinny zostać opracowane odpowiednie polityki, m.in. w zakresie rozwoju i promowania kompetencji dotyczących cyberbezpieczeństwa), a także
• zapewnić współpracę z właściwymi organami i CSIRT innych państw członkowskich (m.in. w ramach sieci CSIRT oraz Grupy Współpracy państw członkowskich).”

NIS 2 to definitywny koniec z anonimowością w sieci?

W projekcie dostępnym na stronie parlamentu są jednak zapisy, które mogą niepokoić. Wynika z nich, że w przyszłości rejestracja domen internetowych ma wymagać prawidłowej identyfikacji abonenta w bazie whois, włącznie z nazwiskiem, adresem i telefonem. Obecnie wiele rejestrów prowadzi luźną politykę w zakresie wymaganych danych osobowych. Podawania numeru telefonu nie wymaga np. NASK, ani niemiecki Denic. U wielu rejestratorów można zarejestrować konto na fikcyjne dane. Jeśli nowe przepisy wejdą w życie, będzie to niemożliwe. Zmiany mogą przybrać postać taką, jak w przypadku giełd kryptowalutowych, które zostały zmuszone do weryfikowania dowodów osobistych swoich użytkowników. Nowa dyrektywa oznacza też koniec z usługami prywatności whois i rejestracji domen by proxy. Może to stanowić zagrożenie dla rozmaitych aktywistów i whistleblowerów. Do pewnego stopnia ograniczy również działalność cyberprzestępców, ci jednak – przy odpowiedniej dozie determinacji – zawsze mogą zastosować metodę „na słupa” lub posłużyć się skradzionymi danymi osobowymi, w tym skanami dowodów. W efekcie przepisy są wymierzone przede wszystkim w osoby, które chcą zachować anonimowość w dobrej wierze i w obawie o własne bezpieczeństwo.

NIS 2 to cios w whistleblowerów, aktywistów i mniejszości

Jedną z osób krytykujących projekt dyrektywy jest Patrick Breyer, niemiecki prawnik i polityk,
działacz Niemieckiej Partii Piratów i członek Parlamentu Europejskiego. Na swojej stronie zamieścił on następujący komentarz:

„Polityka bezwzględnej identyfikacji abonentów domen to wielki krok na drodze do zniesienia swobody zamieszczania w internecie anonimowych publikacji i przecieków. Dyrektywa zagraża właścicielom stron, bo jedynie anonimowość w sposób efektywny chroni przed kradzieżą i utratą danych, stalkingiem, kradzieżą tożsamości czy doxxingiem. Prawo do anonimowości online jest szczególnie ważne w przypadku kobiet, dzieci, przedstawicieli mniejszości i osób w inny sposób narażonych na rozmaite nadużycia. Whistleblowerzy, informatorzy prasowi, polityczni aktywiści i osoby potrzebujące porady prawnej zamilkną, jeśli nie otrzymają gwarancji anonimowości. Jedynie anonimowość chroni ludzi odważnych lub potrzebujących pomocy przed prześladowaniami i dyskryminacją. (…) Gdyby, przykładowo, aktywiści Wikileaks musieli zarejestrować domenę swojej platformy na własne nazwiska, natychmiast zajęłyby się nimi amerykańskie organy ścigania.”

Jak nowa dyrektywa ma się do RODO?

Jak widać sprawa jest poważna. Oczywiście dyrektywa musi być zgodna z RODO dlatego nie wymusi publikacji danych whois w sposób dostępny dla wszystkich. Jeśli jednak wejdzie w życie w obecnej postaci, będzie wymagała weryfikacji danych abonenckich przez rejestratorów w taki sposób, by mieć pewność co do ich autentyczności i zapewnić dostęp do tych danych odpowiednim instytucjom, np. organom ścigania lub obrońcom praw autorskich.

Bardziej przyziemnym skutkiem nowych przepisów może być wzrost cen domen, ponieważ koszty związane z dodatkowymi obowiązkami rejestratorzy zapewne zechcą przerzucić na swoich klientów.

Warto zaznaczyć, że dyrektywa unijna posiada inny status niż rozporządzenie. To ostatnie to prawo obowiązujące w całej UE. Ta pierwsza to zestaw wytycznych dla rządów krajów członkowskich, który ma zostać dostosowany do lokalnych warunków i wdrożony jako lokalne prawo zgodne z tą dyrektywą.

Domeny blockchainowe rozwiązaniem na zakusy UE?

Nie wiadomo, jaki kształt ostatecznie przybierze NIS 2. Nie ulega jednak wątpliwości, że trend jest jednoznaczny: anonimowości w internecie jest coraz mniej, a zakusy instytucji na nasze dane coraz większe. To jednak stanowi impuls do rozwoju specyficznej niszy, jaką są domeny blockchainowe. Nie tylko zapewniają one anonimowość, ale są niezależne od instytucji centralnych i niemożliwe do „zbanowania”.

Tagi: aktywiści, anonimowość, cenzura, cyberbezpieczeństwo, dyrektywa NIS 2, Europarlament, Niemiecka Partia Piratów, NIS 1, NIS 2, Patrick Breyer, prywatność, UE, Unia Europejska, whistleblowerzy