A teraz znów coś o NIS2, ale wreszcie mniej sennego: oto zgodnie ze znowelizowanymi przepisami o cyberbezpieczeństwie obowiązkiem podmiotów trudniących się rejestracją domen internetowych będzie weryfikacja danych abonenta domeny, włącznie z wdrożeniem procedury pozwalającej na potwierdzenie tożsamości poprzez numer PESEL.
- jak już zostało powiedziane: zgodnie ustawą implementującą dyrektywę NIS2 podmiotem kluczowym jest każdy — niezależnie od wielkości — rejestr nazw domen najwyższego poziomu (TLD) oraz podmiot świadczący usługi rejestracji nazw domen;
- gdzie zgodnie z ustawową definicją podmiotem świadczącym usługi rejestracji nazw domen jest rejestrator lub działający w jego imieniu agent, w tym dostawca lub odsprzedawca usług, choćby zajmował się tylko pośrednictwem w rejestracji domen internetowych;
- natomiast rejestrem domen TLD jest podmiot, któremu powierzono do zarządzania konkretną domenę internetową najwyższego poziomu, w tym za rejestrację nazw domen, jej techniczne funkcjonowanie, obsługę serwerów nazw, przy czym nie jest istotne, jeśli podmiot outsourcuje którekolwiek z tych zadań na zewnątrz;
- (tłumacząc z technicznego legalese na ludzkie: niniejsze „Czasopismo” jest dostępne pod adresem czasopismo.legeartis.org, gdzie domena TLD to „org”, nazwa domeny to „legeartis.org”, zaś „czasopismo.legeartis.org” to subdomena, bo kiedyś mnie tak podkusiło);
- ważne: te podmioty podlegają polskiej ustawie o krajowym systemie cyberbezpieczeństwa tylko wówczas, gdy Polska jest głównym miejscem prowadzenia działalności, nie jest wystarczający sam fakt świadczenia usług na terytorium RP (ten warunek dotyczy praktycznie całej branży cyfrowej, także dostawców chmur obliczeniowych, internetowych platform handlowych, wyszukiwarek oraz dostawców platformy usług sieci społecznościowej);
- przy czym główne miejsce prowadzenia działalności nie jest oceniane według siedziby podmiotu ujawnionej w rejestrze — istotne jest państwo UE, w którym siedzibę ma kierownik podmiotu podejmujący decyzje w sprawie systemu zarządzania bezpieczeństwem informacji; w drugiej kolejności liczy się państwo, w którym realizowane są zadania związane z systemem zarządzania bezpieczeństwem informacji; w trzeciej państwo, w którym podmiot ma najwięcej pracowników, art. 5a ust. 3-6 uksc);
- a skoro niedawno było o tym, że jadłodajniom rozwożącym jedzenie na telefon nie wolno zbierać skanów dokumentów tożsamości, nawet jeśli borykają się z fraudami: obowiązkiem rejestrów nazw domen TLD i rejestratorów domen będzie przetwarzanie dokładnych i kompletnych — zweryfikowanych — danych dotyczących rejestracji domen internetowych;
- stąd też każdy rejestrator będzie miał ustawowy obowiązek prowadzenia bazy zawierającej m.in. nazwę domeny i datę rejestracji powiązaną z imieniem i nazwiskiem lub nazwą abonenta oraz jego danymi kontaktowymi (listel i numer telefonu);
- mało tego: obowiązkiem każdego rejestru nazw domen TLD oraz podmiotu świadczącego usługi rejestracji nazw domen będzie opracowanie i wdrożenie polityki i procedur niezbędnych do weryfikacji tożsamości abonentów, włącznie z weryfikacją danych kontaktowych oraz prawem żądania udokumentowania przez klienta jego danych identyfikacyjnych;
art. 16b ust. 5 ustawy o krajowym systemie cyberbezpieczeństwa
Rejestry nazw domen najwyższego poziomu (TLD) i podmioty świadczące usługi rejestracji nazw domen opracowują i wdrażają polityki i procedury, w tym procedury weryfikacji, służące zapewnieniu, aby bazy danych [dotyczące rejestracji nazw domen], zawierały dokładne i kompletne dane. Procedury weryfikacji danych:
1) obejmują działania weryfikacyjne na etapie rejestracji nazwy domeny lub po takiej rejestracji;
2) są wyważone i proporcjonalne;
3) prowadzą do zweryfikowania co najmniej jednego ze sposobów kontaktu, o których mowa w ust. 4 pkt 3 lub 4;
4) obejmują uprawnienie rejestru nazw domen najwyższego poziomu (TLD) lub podmiotów świadczących usługi rejestracji nazw domen do żądania, w uzasadnionych przypadkach, udokumentowania danych identyfikacyjnych innych niż [dane osobowe, nazwę abonenta i jego dane kontaktowe], w szczególności numeru lub innego oznaczenia identyfikacyjnego abonenta nazwy domeny zawartego w rejestrach publicznych, o ile obowiązek jego posiadania wynika z przepisów prawa krajowego obowiązującego takiego abonenta.
- dla jasności: istotą regulacji jest ustalenie tożsamości klienta, zatem tożsamość każdego użytkownika będzie podlegała — uprzednio lub zastępczo — weryfikacji…
- …natomiast chociaż żądanie udokumentowania danych identyfikacyjnych (np. numeru PESEL, REGON, KRS) obligatoryjne nie będzie — rejestrator może sięgnąć po ten wymóg tylko „w szczególnych przypadkach” — to jednak polityka i procedura na to być musi;
- jakby ktoś był ciekaw: procedury i polityki będą jawne, tj. publikowane na stronach internetowych rejestratorów; jawne będą też informacje o zarejestrowanych domenach, z wyłączeniem danych osobowych abonentów;
- natomiast oczywiście komplet informacji będzie przysługiwał policji, prokuraturze, sądom, CSIRT-om (sektorowemu lub krajowemu, acz tylko na potrzeby przeprowadzenia obsługi incydentu (poważnego lub krytycznego) związanego z domeną);
- kary, kary: podmiot świadczący usługi rejestracji nazw domen lub rejestr nazw domen najwyższego poziomu (TLD), który nie wykonuje obowiązków w zakresie weryfikacji danych abonentów będzie podlegać karze pieniężnej w wysokości nie wyższej niż 10 mln euro lub 2% przychodów podmiotu (zależy, która wyższa), ale nie mniej niż 20 tys. zł (art. 73b ust. 2 pkt 1 i ust. 3 w zw. z art. 73 ust. 3 uksc);
- a jeśli P.T. Czytelniku naszła Cię myśl, że co mnie to, bo ja już swoją domenę mam: każdy rejestrator będzie miał rok na dostosowanie aktualnych baz danych do wymogów wynikających z dyrektywy NIS2;
art. 37 ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. z 2026 r. poz. 252)
Rejestr nazw domen najwyższego poziomu (TLD) oraz podmiot świadczący usługi rejestracji nazw domen:
1) dostosowuje bazy danych dotyczących rejestracji nazw domen do wymagań określonych w art. 16b ustawy [o krajowym systemie cyberbezpieczeństwa], w terminie 12 miesięcy od dnia wejścia w życie niniejszej ustawy;
2) opracowuje i wdraża polityki i procedury, o których mowa w art. 16b ustawy [o krajowym systemie cyberbezpieczeństwa] w terminie 12 miesięcy od dnia wejścia w życie niniejszej ustawy.
- tyle samo czasu będzie na przygotowanie i wdrożenie odpowiednich procedur, w tym służących niezbędnej weryfikacji danych abonentów domen;
- a skoro przepis mówi, że weryfikacja danych abonenta domeny może nastąpić po jej rejestracji — procedura powinna przewidywać także mechanizmy potwierdzenia tożsamości starych klientów, w tym zebrania od nich poświadczeń odpowiednich danych.
Zamiast komentarza: pamiętam kiedyś udział w M&A pewnej spółki prowadzącej serwis internetowy — czyli domena była niezwykle istotnym elementem biznesu — i konsternację, jak się okazało, że na etapie startutopizmu domena została zarejestrowana na osobę fikcyjną (a to dlatego, że założyciel wolał zachować prywatność ze względu bodajże na jakieś zakazy konkurencji, ale też nie chciał żywego słupa, żeby mieć 100% kontroli nad adresem). A do zbycia spółki konieczna była cesja domeny… i był mały zonk, i było ciepło.