Websites en apps overheden op zwart door NIS2? ‘Wake up-call is nodig’
Overheden moet aan de bak met hun internetdomeinen om te voorkomen dat belangrijke websites en apps mogelijk uitvallen. De NIS2-richtlijn, die in oktober 2024 van kracht moet worden, brengt voor de registratie van domeinnamen namelijk nieuwe verplichtingen met zich mee. Overheden hebben inmiddels talloze domeinnamen en vaak ontbreekt het overzicht.
Michiel Henneke, specialist domeinnamenmarkt voor Stichting Internetdomeinregistratie Nederland (SIDN) hoopt dat overheden meer bewust worden van de uitdaging die ze de komende maanden te wachten staat. Uiterlijk medio oktober 2024 moet de Europese NIS2-richtlijn zijn vertaald naar nationale wetgeving. Niet alleen private, maar ook publieke organisaties moeten dan voldoen aan strengere eisen voor internetdomeinregistratie. Met name voor overheden, met meestal erg veel domeinnamen, is dat een enorme klus, met mogelijk vervelende consequenties.
Overheid heeft duizenden domeinnamen
Forum Standaardisatie constateerde in 2021 nog een wildgroei van duizenden domeinnamen bij de Rijksoverheid, destijds in totaal zo’n negenduizend. Zorgwekkend: overheidsorganisaties blijken lang niet altijd zicht te hebben op de internetdomeinen waar zij eigenaar van zijn.
Michiel Henneke spreekt van een nodige wake-up call. Want domeinnamen staan nu soms op naam van ambtenaren die niet meer bij de organisatie werkzaam zijn, en soms ook leveranciers die niet meer bestaan. Ook bij samenwerkingsverbanden zijn problemen, omdat vaak niemand weet wie er verantwoordelijk is. “En dat is risicovol. Wanneer een registratie niet op naam staat van de juiste organisatie of niet te verifiëren is, bestaat de kans dat de provider een domeinnaam gedwongen op non-actief zet”, aldus Henneke.
Onzichtbare domeinnamen
In de praktijk zal de soep wellicht niet zo heet gegeten worden dat er per medio oktober ook gelijk wordt gehandhaafd. “Dat verwacht ik niet gelijk, want er zijn in NIS2 ook bepalingen opgenomen over proportionaliteit”, voegt Henneke toe. Toch lijkt het verstandig om niet de proef op de som te nemen. “Het kan veel werk zijn. Want veel organisaties vergeten dat het niet alleen gaat om zichtbare websites, maar ook om toepassingen en applicaties voor intern gebruik, bijvoorbeeld testomgevingen, online planningsystemen en reserveringsystemen.”
SIDN biedt organisaties wel eens aan om op zoek te gaan naar al hun domeinnamen. En dat is in de praktijk vervolgens lang niet altijd even makkelijk. “Om een voorbeeld te geven: bij gemeente Goes hebben we dit eens geprobeerd. Wanneer je probeert om alle domeinnamen wereldwijd met de letters GOES, die ook in het Engels een betekenis hebben, te checken, word je na tien minuten volledig tureluurs.”
Nooit op naam leveranciers registreren
Wat Henneke betreft is het zeer belangrijk dat overheden alert zijn voor de gevolgen van NIS2 voor hun domeinnamen. “Ze zijn verder dan private partijen, maar er gaat nog genoeg mis.” Zo komt het regelmatig voor dat overheden domeinnamen op naam van leveranciers hebben geregistreerd. “Doe dat vooral niet. Want die kunnen het makkelijk en snel regelen in het kader van dienstverlening, maar zo creëren ze ook meteen een vendor-lockin. Want wanneer het bedrijf failliet gaat of er ontstaan problemen in de relatie, heb je pech en gaat je domein op den duur verloren omdat je als organisatie niet rechthebbend bent.”
Het voornaamste dat overheden nu kunnen doen, is tijdig bij providers informeren naar de staat van hun domeinnamen. De juiste data aanleveren, waaronder een naam, een e-mailadres en telefoonnummer is dan vaak niet het meeste werk. “Dat is vooral een compleet overzicht verkrijgen van alle domeinnamen die van belang zijn”, besluit Henneke.