Stichting DINL heeft samen met de Vereniging van Registrars gebruik gemaakt van de mogelijkheid om te reageren op de Interconsultatie over de wijziging van de Wet Beveiliging Netwerk- en Informatiesystemen (WBNI) met betrekking tot DNS aanbieders.
In algemene zin verwonderen wij ons over een regulering die beoogt een risico te managen dat zich in de praktijk nooit heeft gemanifesteerd, en waarvan het niet erg aannemelijk is dat het zich überhaupt zal manifesteren. DNS is een van de meest robuuste, betrouwbare en veilige basistechnologieën van het Internet. Het heeft in de vele decennia dat het zonder overheidstoezicht door DNS providers in NL werd gerund nog nooit problemen opgeleverd. Er valt, kortom, eigenlijk niets te verbeteren aan de betrouwbaarheid van DNS en DNS providers in NL.
Onnodige lastendruk en kosten ontstaan voor providers
Tegelijkertijd herkennen we het gevoel van de EU, en de NL overheid dat het ontbreken van toezicht op een service die bij falen potentieel impact kan hebben op vitale ketens wat ongemakkelijk voelt. Met de EU NIS regulering is toezicht op DNS een fait accompli geworden. En nu staan we als sector en overheid gezamenlijk voor de opgave te voorkomen dat er onnodige lastendruk en kosten ontstaan voor providers die op zich nu al een perfecte service verzorgen, en dus blijkbaar de-facto al aan de reguleringsdoelen voldoen. En moeten we gezamenlijk zorgen dat er geen negatieve effecten van deze horizontale regulering op de markt ontstaan.
Omvangscriterium
Wat ons opvalt is dat de gekozen wijze van reguleren horizontaal is van karakter. Er is geen onderscheid naar het daadwerkelijk gebruik van de geregistreerde domeinen. Wij hebben daarom vraagtekens bij dat voorgenomen criterium, dat lijkt nogal arbitrair gekozen te zijn. Het komt er nu op neer dat wanneer 1 provider 400.000 .nl domeinen op z’n DNS servers heeft, er impliciet wordt gesteld dat er dan flinke impact kan zijn, maar dat er bij een incident bij een provider met 399.000 .nl domeinen niets is waar de overheid iets van zou moeten vinden.
Het ontbreken van die gerichtheid en differentiatie zorgt er voor dat de regulering feitelijk z’n doel voorbij schiet: het draait uit op een horizontale regulering die juist de partijen in niet-vitale ketens treft, en de partijen die wel onderdeel zijn van vitale ketens, buiten schot laat. Dat kan niet de bedoeling zijn.
We willen daarom het voorstel op de volgende punten aanpassen:
- Herzie het criterium 400.000 .nl domeinen. Differentieer, aansluitend bij de EU definities, naar gebruik van domeinen in basic, substantial en high.
- Kijk niet alleen naar .nl, maar naar alle in NL gangbare TLD’s , zodat een level playing field in de NL markt behouden blijft.
- Neem het daadwerkelijk gebruik van geregistreerde domeinnnamen in ogenschouw, en sluit geparkeerde domeinen uit.
- Met betrekking tot kosten en impact: Leg de stelling dat er van bestaande ISO certificeringen van providers gebruik gemaakt zal worden, expliciet vast, zodat niet later alsnog nieuwe regime met bijkomende hoge kosten in beeld kunnen komen die alsnog voor hoge kosten gaan zorgen.
- Als voor beoogde providers ook het EUCS zal gelden, borg dat EUCS certificering ook voor deze toepassing geldigheid zal hebben.
Klik hier om onze volledige reactie te lezen.