NIS-Richtlinie

Quote from julian-w

Wie handelt ihr bezüglich der NIS2-Richtlinie? Leider ist man, sobald man einen Autoritative DNS-Server betreibt, direkt mit dabei, unabhängig von Umsatz oder Mitarbeiteranzahl.

Du hast mehr als 250.000 domains in Deinem DNS-server?

örks, nicht als kritische, sondern als besonders wichtige einrichtung.

aber ich würde behaupten, daß privatpersonen ausgenommen sind.

"zur Nutzung durch Dritte"

Das verstehe ich so, dass man Dritten anbietet, ihre Zonen zu hosten. Ansonsten waere das redundant, weil "autoritative Dienste" immer von Dritten abgefragt werden. Aber ich bin kein Jurist ...

Quote from julian-w

Könntest du sagen, woher du die Zahl hast?

anhang 4, teil 3 in https://www.gesetze-im-internet.de/bsi-kritisv/anhang_4.html

aber wie schon von mir korrigiert, das ist für kritische infrastruktur.

Quote from julian-w

Da es auch natürliche Personen betrifft

hätte ich hier jetzt nicht als privatperson interpretiert.

Quote from julian-w

Ein PiHole mit ein paar eigenen DNS-Einträgen und schon hat man einen autoritativen Dienst, der nicht von Dritten genutzt wird.

Ein DynDNS-Server mit angeschlossenem autoritativen DNS-Server, den man auch ein paar Freunden oder auch nur Familienmitgliedern zur Verfügung stellt, würde allerdings sicher von der Regelung erfasst. Nur, wenn man den ausschließlich selbst nutzt, kann man das noch in Deutschland machen. Wir haben hier bald keine IT-Sicherheitsprobleme mehr, weil dank Zerregelung IT nicht mehr stattfindet.

(Falls sich jemand Hoffnungen macht, dass diese "Meisterzwang durch die Hintertür" Regelungen ein Goldenes Zeitalter für IT-Dienstleister einläuten werden, die Antwort ist so trivial wie offensichtlich: Cloudflare.)

Quote

Die NIS-2-Richtlinie gilt für öffentliche und private Einrichtungen in 18 Sektoren, die entweder mindestens 50 Beschäftigte haben oder einen Jahresumsatz und eine Jahresbilanz von mindestens 10 Millionen Euro aufweisen.

damit sollte doch jede privat person raus sein oder nicht?

Quote from Chriz123

damit sollte doch jede privat person raus sein oder nicht?

Aus dem Entwurf:

Quote

Als besonders wichtige Einrichtung gelten

[...]

2. qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter,

[...]

Die Einschränkung auf Unternehmen mit mindestens 50 Mitarbeitern oder 1 Mio. Umsatz gilt nur für Punkt 3, "Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze"

Wo kein Kläger

Ich würde mir da keine Sorgen machen. Die Richtlinien sind so verwaschen, dass sogar Unternehmen die in die Richtlinie fallen müssten, glauben doch nicht darunter zu fallen. Und verlässliche Auskünfte gibt‘s auch von den wenigsten Organisationen. Zumindest ist das in AT derzeit so. Als Privatperson würde ich das bewusst ignorieren.

Aber muss jeder selbst wissen. Irgendwann kommt noch eine Richtlinie, die den Serverbetrieb regelt und privaten untersagt, so überreguliert wie wir sind.

Ich muss mich beruflich mit der NIS2 auseinandersetzen und im Endeffekt ist die Idee dahinter zwar gut, die Umsetzung sorgt aber nur für viel Papierkram und nicht mehr Sicherheit. Denn viele Unternehmen machen dann einfach Compliance-Bullshit und haken Dinge mit „akzeptiertes Risiko, Nutzen entspricht nicht dem Aufwand - ergo „Rechtfertigung hier einfügen“ - ab.

Quote from engine

Ich würde mir da keine Sorgen machen.

Das ist pragmatisch aber auch gesellschaftlich sehr gefährlich, denn es öffnet selektiver Durchsetzung Tür und Tor und gibt politisch gut vernetzten Unternehmen ein scharfes Schwert gegen missliebige Konkurrenten und von Privatpersonen betriebene Alternativen zu kommerziellen Diensten.

Verstehe deinen Post ehrlich gesagt nicht, denn die NIS2 Richtlinie trifft meines Wissens Privatpersonen nicht, da keine private Person eine a) kritische Einrichtung sein kann noch b) einen Umsatz generiert. Mir ist kein einziger Passus bekannt, wo geschrieben steht, dass Privatpersonen unter die NIS2 fallen, es ist immer nur von Unternehmen, Umsatz und Branchen bzw. kritische Einrichtungen die Rede.

Selbst bei der persönlichen Haftung ist von Geschäftsführern / Vorständen die Rede. Und selbst dann - wie oben schon angeführt - muss ein Mindestumsatz UND Mitarbeiteranzahl vorhanden sein.

Es gibt sogar kleinere lokale Energieversorger, die zwar KRITIS sind, aber nicht drunter fallen, weil sie eben nicht so gross sind und keine 10 Millionen Umsatz machen.

Es kann aber natürlich auch sein, dass ich bei den Schulungen nicht aufgepasst habe.

Quote from julian-w

Sobald man beim der NIS-2-Betroffenheitsprüfung vom BSI den Haken bei "DNS-Diensteanbieter" anwählt, hat man direkt gewonnen. In den anderen Fällen werden noch Daten zur Unternehmensgröße abgefragt.

Von daher wäre es schon spannend zu wissen, ob man in Zukunft "legal" in Deutschland einen DNS-Server betreiben kann, wenn man die NIS2 ignorieren will.

Wäre halt entscheidend zu wissen, was unter einem DNS-Diensteanbieter verstanden wird. Solange ich den Server nur für meine Domains betreibe, bin ich ja wohl kein Diensteanbieter. Ansonsten sehe ich für die ganzen Plesk/Keyhelp und sonstigen Server-Panels schwarz, die bieten ja auch DNS-Dienste an. Obwohl, zumindest bei Keyhelp kann ich einem Benutzer das Recht zur Nutzung des DNS-Editors entziehen.

Quote from julian-w

in Zukunft "legal" in Deutschland einen DNS-Server betreiben kann

dann versuch Dich mal zu registrieren, vielleicht sind ja

Quote from julian-w

Rechtsform
Handelsregisternummer

pflichtfelfer.

Ich meine ja auch, was darunter verstanden wird bzw was darunter zu verstehen ist und nicht was man in diese tolle Richtlinie reinformuliert hat. Denn das wird ja offensichtlich nicht verstanden . Naja, ist ja nichts Neues, wann wäre sowas je so formuliert worden, dass es verstanden worden wäre. Das Barrierefreiheitsstärkungsgesetz sollte dringend auf alle bestehenden und zukünftigen Gesetze, Verordnungen und Richtlinien erweitert werden, inklusive dem Gesetz selbst. Also bitte alles auch in einfacher Sprache . Aber gut, sowas formulieren Juristen, damit ist das von vornherein ausgeschlossen. Die wollen sich ja nicht arbeitslos machen.

Wenn man als Privatperson verpflichtet würde, relevante Sicherheitsvorfälle und sowas zu melden, frage ich mich, ob ein DNS-Server in Deutschland als sowas wie ein privates Atomkraftwerk gilt, bei denen die Betreiber zu àhnlichen Vorgehen verpflichtet wurden. Und was gilt dann eigentlich als "relevant"?

Handwerklich einfach schlecht gemacht. Mal abgesehen davon, dass man Privatpersonen und Kleinanbieter sehr einfach mit nur einem Satz ausnehmen könnte, frage ich mich doch ernsthaft, ob man hierzulande mittlerweile alles in irre hochbürokratischen Vorschriften ersticken will. Statt dieser Vorschriftenwut könnte man ja auch einfach Anreize setzen, sich wie gewünscht an gewissen Sicherheitsmaßnahmen zu beteiligen, weil das ja eigentlich auch im Eigeninteresse der "Betreiber" ist. Wie wäre es denn zum Beispiel mit einer kostenlosen Zertifizierungsmöglichkeit vom BSI, dass man deren Sachen umsetzt? Von mir aus mit so einer Qualitätsampel.

Aber dass es noch Anderes als kommerzielle Diensteanbieter oder "Du musst"-Regelungen gibt, kommt in der Vorstellungswelt derer, die sowas ausarbeiten wohl nicht vor.

Quote from nitram

wäre es da nicht besser gewesen mal auszusetzen?

Ich will doch schwer hoffen, dass es am Dienstag 13 Cent de-Domains gibt. Die letzten Tage habe ich mehrere tolle freie Domains entdeckt.

Server und Webhosting-Pakete kann man aber gerne beim nächsten Aktionstag aussetzen.

Quote from julian-w

Wie handelt ihr bezüglich der NIS2-Richtlinie?

Ich (und vermutlich viele hier) betriebe einen kleinen DNS-Server.

Na dann... gut dass man diese Angelegenheit dann im längsten Thema versteckt und keine separaten (sündhaft teuren) Thread dafür startet.

Quote from Chriz123

damit sollte doch jede privat person raus sein oder nicht

Zitate ohne Quelle sind immer irgendwie blöd.

Auf die Meinung einer Consulting-Firma setze ich wenig. Mich interessieren immer die Ursprungsquellen.

Meine Meinung zum Thema:

Die Quelle - also die NIS 2 Richtlinie EU 2022/2555 selbst - definiert den Anwendungsbereich unter Artikel 2 wie folgt:

Quote

Diese Richtlinie gilt für öffentliche oder private Einrichtungen der in den Anhang I oder II genannten Art, die nach Artikel 2 des Anhangs der Empfehlung 2003/361/EG als mittlere Unternehmen gelten oder die Schwellenwerte für mittlere Unternehmen nach Absatz 1 jenes Artikels überschreiten und ihre Dienste in der Union erbringen oder ihre Tätigkeiten dort ausüben.

Damit sind aus der Richtlinie alle Privatpersonen raus, die keine wirtschaftliche Tätigkeiten mit mehr als 10 Mio. Euro Jahresumsatz und 50 beschäftigten Personen beschäftigen (m.b.M.n. sind hier Vollzeitstellen gemeint, kann mich aber auch irren).

Quelle: EU 2003/361/EG

Als verkettete Bedingung (siehe Zitat) braucht man Anhang 1 & 2 der EU 2022/2555 übrigens gar nicht mehr lesen. Das ist nur interessant für Unternehmen über 50 MA & >10 Mio. Umsatz, welche die NIS 2 nicht umsetzen müssen, weil sie in einer nicht genannten Brache tätig sind.

Für Privatpersonen also nicht relevant.

Update Korrektur:

julian-w hat es korrekt benannt:

Durch die Ausnahmen in Artikel 2 betrifft die Richtlinie auch jede Privatperson welche einen popeligen DynDNS-Eintrag für die eigene Fritzbox betreibt.

Artikel 6 Punkt 20 a) beschreibt das explizit:

Quote

...für Internet-Endnutzer öffentlich verfügbare rekursive Dienste zur Auflösung von Domänennamen anbietet...

Genau das mache ich: Ich biete einen öffentlich verfügbaren rekursiven Dienst zur Auflösung meines Domainnamens fritzbox.meingeilerdnsserver.de an und stehe damit wohl schon mit einem Fuß im Knast.

Quote from julian-w

Leider sieht das der aktuelle Entwurf (November 2024) nicht vor:

Du zitierst einen aktuell in Deutschland nicht rechtswirksamen Referentenentwurf einer zukünftig möglicherweise kommenden Rechtsnorm.

Dein Zitat bzgl. § 2 Abs. 8 ist korrekt.

Der zitierte Gesetzentwurf enthält jedoch lediglich Änderungen an anderen Gesetzen (z.B. Kompetenzerweiterung des BND oder auch Referenzierungskorrekturen im Atomgesetz).

Kurz: Dein zitiertens Gesetz ist irrelevant fur Privatpersonen und ein rein formales Anpassungsgesetz.

Es macht keinen Sinn aus einem Gesetz(-entwurf) zu zitieren, durch das man selbst gar nicht betroffen ist.

Kurzum: NIS 2 interessiert mich als Privatperson nicht die Bohne. Ich werde weiterhin DynDNS-Domains für Familie und Freunde betreiben und auch weiterhin keinen öffentlichen zugänglichen DNS ins Netz stellen.

Randbemerkung: In der technischen Normung werden Standards, RFCs und Richtlinien meist zurückgezogen und durch neue Normen (die schön formatiert und gut lesbar sind) ersetzt. Man nennt das wirtschaftliche Effizienz.

In der Politik (Legislative) muss der Beamtenapparat beschäftigt werden, weshalb viele Rechtsnormen immer wieder geändert und ergänzt werden. Das ist ineffizient, sorgt aber für einen großen Beamtenapparat. Außerdem lassen sich dadurch die Einschränkungen von Rechten der Bürger und Unternehmen besser verschleiern. Ein Stichwort dazu ist 'Omnibusgesetz' welches zudem (durch Fraktionszwang) offenkundig undemokratisch ist. Ein echtes Demokratieförderungsgesetz würde solche Omnibusgesetzesabstimmungen verbieten.

Wie dem auch sei, in der Wirtschaft wäre das nicht möglich, insbesondere weil beim DKE und VDE größtenteils ehrenamtliche (technische) Normungsarbeit geleistet wird.