Fornitori di servizi DNS, cosa cambia con la direttiva NIS2

Cos’è un DNS

Per sistema dei nomi di dominio o DNS (Design Name System), secondo la definizione ai sensi dell’articolo 6 della direttiva NIS2, si intende un sistema di denominazione gerarchica distribuita che consente l’identificazione di servizi e risorse Internet, permettendo ai dispositivi degli utenti finali di utilizzare i servizi di instradamento e di connettività Internet per raggiungere tali servizi e risorse.

Mentre quando si parla di fornitori di servizi di DNS ci si riferisce a soggetti che forniscono alternativamente servizi di risoluzione dei nomi di dominio ricorsivi accessibili al pubblico per gli utenti finali di internet, oppure servizi di risoluzione dei nomi di dominio autoritativi per uso da parte di terzi, fatta eccezione per i server dei nomi radice (cosiddetto root nameserver). Ovvero, essi rappresentano l’infrastruttura tecnica che consente la traduzione dei nomi di dominio in indirizzi IP.

I soggetti coinvolti: un ecosistema complesso

La direttiva NIS2 identifica con precisione altri soggetti che operano nell’ecosistema DNS e che sono tenuti a adeguarsi ai nuovi obblighi e, precisamente:

• Registri dei nomi di dominio di primo livello: organizzazioni che gestiscono i database centrali per specifiche estensioni di dominio (.it, .com, .org, etc.), responsabili dell’assegnazione e della gestione tecnica dei domini.
• Registrar: intermediari autorizzati che vendono e gestiscono domini per conto degli utenti finali, fungendo da ponte tra i registri e i clienti.

• Rivenditori: soggetti che operano nella distribuzione dei servizi di registrazione domini attraverso una rete commerciale articolata.

Nuovi obblighi operativi: la trasformazione della gestione

Uno degli aspetti più innovativi della NIS2 riguarda i nuovi obblighi in materia di elaborazione dei dati di registrazione dei nomi di dominio. I fornitori di servizi DNS devono implementare procedure rafforzate per la raccolta, conservazione e protezione delle informazioni relative ai domini gestiti, bilanciando le esigenze di sicurezza con il rispetto della privacy degli utenti.

In particolare, la NIS2 prevede la gestione de:

• Ambito di applicazione – La NIS2 si applica direttamente ai fornitori DNS con sede nell’UE e può anche avere un impatto su entità non UE che offrono servizi sul mercato dell’UE.
• Dati di registrazione – I fornitori di servizi DNS devono assicurare la raccolta e la conservazione accurata e completa dei dati di registrazione del dominio, delle politiche e delle procedure in atto per verificare tali dati, oltre che a distinguere tra dati personali e dati non personali di persone giuridiche.
• WHOIS pubblico (i.e.database in cui sono contenute le informazioni riguardanti i domini) – I dati di registrazione non personali devono essere resi pubblici senza indebito ritardo; mentre i dati personali – quali gli indirizzi e-mail dei dichiaranti – devono essere protetti.
• Interazione con il GDPR: – La direttiva NIS2 si intreccia con il GDPR, ovvero, i fornitori di servizi DNS devono navigare l’intersezione complessa tra gli obblighi di cybersicurezza previsti da NIS2 e i requisiti di protezione dei dati personali stabiliti dal GDPR. Ciò richiede l’implementazione di misure che garantiscano simultaneamente la sicurezza delle infrastrutture e la privacy degli utenti.

È necessario, di fatto, un approccio equilibrato che consideri le esigenze di sicurezza nazionale, la protezione delle infrastrutture critiche e i diritti fondamentali degli individui, richiedendo competenze legali e tecniche specializzate.

È doveroso evidenziare che dall’entrata in vigore del GDPR nel 2018, il settore dei nomi a dominio ha affrontato numerose incertezze su come gestire tali dati in modo conforme alla normativa sulla privacy. A tal proposito, la NIS2 introduce un elemento di chiarezza, riconoscendo una base giuridica per la raccolta dei dati di registrazione ai fini specificati nella direttiva stessa, in linea con il GDPR. Tuttavia, permangono criticità rilevanti su come conciliare i requisiti di accuratezza e accessibilità previsti da NIS2 con principi cardine del GDPR, quali la minimizzazione dei dati. Pertanto, sarà sfidante raggiungere un equilibrio sostenibile tra sicurezza e tutela della privacy e ciò richiederà tempo e soluzioni condivise a livello europeo.

• Richieste di divulgazione – I registry (i.e. proprietario delle estensioni di dominio) e i registrar (i.e. azienda responsabile della gestione delle prenotazioni dei vari nomi di dominio) dovranno fornire ai richiedenti di accesso legittimi i dati di registrazione, compresi i dati personali, entro 72 ore da una richiesta debitamente giustificata in conformità della NIS2 e GDPR.
• Approcci armonizzati – È importante sottolineare che, con il recepimento della NIS2 da parte dei singoli Stati membri dell’UE, esiste il rischio di dover affrontare un panorama frammentato di requisiti divergenti. Per prevenire questa disomogeneità, l’industria dei domain name dovrebbe adottare approcci standardizzati per quanto riguarda la verifica, la divulgazione e gli altri obblighi previsti dalla NIS2.
• Chiarezza contrattuale – È necessario avere accordi contrattuali chiari e definire le responsabilità tra le diverse entità nella catena di registrazione del dominio, considerando gli squilibri di potere tra alcuni attori.

È doveroso evidenziare che la direttiva NIS2 mira a preservare l’autenticità, l’integrità e la disponibilità delle informazioni dei DNS, concentrandosi su DNSSEC (i.e. DNS Security Exstension – Estensioni di sicurezza DNS) per l’affidabilità, al fine di garantire la protezione dell’infrastruttura digitale dell’UE e dei suoi cittadini dalle minacce informatiche.

Pertanto, i fornitori di servizi DNS nell’UE dovranno condurre valutazioni periodiche dei rischi, implementare misure di sicurezza adeguate e mantenere piani di risposta agli incidenti aggiornati per garantire la conformità con NIS2. Inoltre, dovranno stabilire canali di comunicazione chiari con le autorità competenti e le altre parti interessate per garantire di essere a conoscenza di eventuali minacce alla sicurezza e di poter rispondere efficacemente a qualsiasi possibile incidente.

Gli obiettivi

Si ritiene che l’introduzione di obblighi normativi stringenti favorirà un processo di consolidamento nel settore dei servizi DNS, con aziende di dimensioni minori che potrebbero trovare difficoltà nell’implementare tutti i requisiti richiesti. Di fatto, l’obiettivo ultimo è la creazione di un ecosistema DNS più resiliente e sicuro, capace di resistere agli attacchi informatici sempre più sofisticati e di garantire la continuità dei servizi digitali essenziali.

Ancora, qualsiasi entità extra-UE che offra servizi DNS all’interno dell’UE deve nominare un rappresentante. Tale rappresentante fungerà da punto di contatto per tutte le comunicazioni con le autorità dell’UE e gli interessati. L’obiettivo principale di questa misura è garantire che tali entità possano essere ritenute responsabili e raggiungibili ai sensi delle leggi e dei regolamenti dell’UE, in particolare in materia di protezione dei dati e della privacy.

Inoltre, NIS2 richiede di adottare misure di sicurezza della catena di fornitura, garantendo che ogni fase dell’erogazione del servizio DNS sia protetta da potenziali minacce e vulnerabilità. Le misure di sicurezza della catena di fornitura che saranno implementate dalle organizzazioni soggette a NIS2, sono progettate per mitigare i rischi derivanti da fornitori terzi, venditori o appaltatori coinvolti nei servizi DNS e garantire l’integrità, la riservatezza e la disponibilità dei servizi DNS, fondamentali per il funzionamento dell’economia e della società digitale.

Adeguamento Nis2, la roadmap per i fornitori di DNS

I fornitori di DNS che si sono iscritti sulla piattaforma di ACN entro il 17 gennaio 2025 e, quelli che successivamente hanno ricevuto da parte di ACN la comunicazione di inclusione, dovranno procedere con gli ulteriori adempimenti previsti nel decreto e, precisamente:

• Dal primo gennaio 2026 – Adempiere all’obbligo di notifica degli incidenti.
• entro il primo ottobre 2026 – Adempiere a:
  • gli obblighi degli organi di amministrazione e direttivi;gli obblighi in materia di misure di sicurezza;
  • l’obbligo di raccogliere e mantenere una banca dei dati di registrazione dei nomi di dominio, laddove applicabile.

Fornitori Dns e Nis2, cosa aspettarsi

La direttiva NIS2 rappresenta un punto di svolta nella regolamentazione dei servizi DNS, introducendo un quadro normativo che mira a bilanciare sicurezza, competitività economica e tutela dei diritti fondamentali. Il successo della sua attuazione dipenderà sia dalla capacità dei fornitori di DNS di adattarsi ai nuovi requisiti sia dall’efficacia del supporto offerto dalle autorità competenti.

In conclusione, per i provider DNS, prepararsi e adeguarsi alla NIS2 — pur rappresentando una sfida significativa nel breve periodo — significa non solo conformarsi agli standard richiesti, ma anche promuovere una cultura più solida di consapevolezza e di preparazione in materia di sicurezza informatica. Solo così sarà possibile contribuire a un’infrastruttura Internet più sicura e resiliente, a beneficio di cittadini e imprese.