Nye krav til domænenavne: Staten kræver striks identitetstjek

Annonceindlæg fra Pointsharp

Hvordan DKTV gennem automatisering kom i front med deres identitetsstyring

Manuelle og semi-automatiske strategier for identitetsstyring virker - lige indtil nogen beder om dokumentation. For at undgå denne fare har DKTV taget kontrol over sin identitets- og adgangsstrategi.

Digitaliseringsstyrelsen har netop sendt et udkast til en ny bekendtgørelse i høring, der skærper kravene til validering, verifikation og udlevering af domænenavnsregistreringsdata.

Bekendtgørelsen udspringer af NIS2-lovens paragraf 11 og har til formål at styrke cybersikkerheden i Danmark.

Udkastet til bekendtgørelsen fastsætter blandt andet "validerings- og verifikationsmetoder for emailadresse, telefonnummer og navn for en registrant af et domænenavn, samt hvornår en validering og verifikation skal finde sted," lyder det i høringsmaterialet fra Digitaliseringsstyrelsen.

Læs også: Bange for NIS2-bøder? Så har beredskabsminister Torsten Schack et løfte til dig

Skærpede krav til domæneadministratorer

Ifølge bekendtgørelsen vil administratorer af topdomænenavne og registratorer, der opererer under dansk jurisdiktion, blive pålagt nye forpligtelser.

Samtidig skal disse administratorer og enheder også føre en særskilt database, der indeholder nøjagtige og fuldstændige domænenavnsregistreringsdata samt procedurer for at verificere rigtigheden af oplysningerne.

En central del af bekendtgørelsen handler om adgangen til disse data.

Styrelsen understreger i sin henvendelse, at den fastsætter, "hvilke oplysninger, der skal afgives ved anmodninger fra legitime adgangssøgende og evt. andre, der fremsætter en begrundet anmodning om udlevering af ikkeoffentliggjorte domænenavnsregistreringsdata og tidsrammerne herfor."

Et særligt element i udkastet er en skærpet frist for behandling af hasteanmodninger om dataudlevering.

Dette punkt går længere end de minimumskrav, NIS2-direktivet fastsætter.

Det begrundes med hensynet til at kunne reagere hurtigt i tilfælde af "situationer,
der udgør en trussel mod liv, kritisk infrastruktur eller i tilfælde af misbrug af børn."

Læs også: Regeringen skifter kurs: Alle danske kommuner bliver fuldt omfattet af NIS2 - her er opgaverne

Økonomiske konsekvenser vurderes efterfølgende

Bekendtgørelsen forventes at træde i kraft den 1. juli 2025, men de erhvervsøkonomiske konsekvenser først vil blive vurderet efter implementeringen, lyder det.

Digitaliseringsstyrelsen oplyser i samme ombæring, at der vil blive gennemført en aktivitetsbaseret måling af virksomhedernes administrative byrder (AMVAB-måling) som en del af en bredere vurdering af konsekvenserne ved NIS2-loven.

Høringsfristen er sat til 29. april 2025.

Læs også: Så meget vil nye cybersikkerheds-regler i energisektoren koste de danske virksomheder