La directive NIS2 impose de nouvelles obligations aux registres et bureaux d’enregistrement de noms de domaine en matière de collecte et de vérification des données. Face aux annonces récentes de plusieurs acteurs du secteur, il est essentiel pour les titulaires et gestionnaires de noms de domaine de se préparer aux évolutions réglementaires. IP Twins fait le point sur les premières mesures mises en œuvre et les actions à anticiper dès maintenant.
Notre Tristan Verna a rédigé en octobre un aperçu de la directive NIS2 et de sa transposition en droit français. En réponse à une vague d’annonces de la part des registres et bureaux d’enregistrement de noms de domaine sur les nouvelles mesures mises en place pour se conformer à NIS2, nous souhaitons poursuivre cette conversation et préparer les clients d’IP Twins aux changements à venir dans les politiques des registres et bureaux d’enregistrement.
Cet article se concentrera sur l’application de l’article 28 de NIS2, qui peut être consulté dans son intégralité ici et porte le titre « Base de données des données d’enregistrement des noms de domaine ». En termes généraux, cette directive vise à garantir la disponibilité de données précises sur les noms de domaine et leurs propriétaires, afin qu’elles puissent être fournies à la demande aux « demandeurs d’accès légitimes ».
IP Twins examine activement les annonces, les révisions contractuelles et d’autres forums où sont discutées les modifications de la politique des domaines dans le contexte de NIS2. Pour la plupart, les informations disponibles sur les changements réglementaires et leur calendrier de mise en œuvre restent préliminaires, cet article ne fournira donc pas de détails précis à ce sujet.
Cependant, comme le dit l’adage, « il n’y a pas de fumée sans feu ». Le nombre de registres de noms de domaine qui ont annoncé publiquement que des changements se profilent à l’horizon suggère que ces changements pourraient être mis en œuvre bientôt et qu’ils pourraient être significatifs.
Quels fournisseurs de noms de domaine sont concernés par la directive ?
Les obligations s’appliquent aux « registres et entités fournissant des services d’enregistrement de noms de domaine », ce qui inclut à la fois les registres des domaines nationaux de l’UE (ex. DENIC pour le domaine .de en Allemagne) et les bureaux d’enregistrement, qui détiennent des contrats avec les registres et revendent des services de domaine à leurs clients. Ces deux acteurs sont pertinents pour les clients d’IP Twins, notre réseau de fournisseurs impliquant à la fois des registres et des bureaux d’enregistrement.
La directive s’applique à l’Union européenne, mais son impact ne dépend pas uniquement du lieu d’établissement de l’entité concernée. Les entités basées en dehors de l’UE qui exercent leurs activités dans les États membres sont également concernées. Les langues et les devises prises en charge par le site web de l’organisation peuvent être des indicateurs déterminant si elle fournit des services dans l’UE.
Indépendamment des obligations supplémentaires que certains clients d’IP Twins pourraient rencontrer, cet article se concentre sur les changements réglementaires relatifs à la gestion des noms de domaine, quel que soit le lieu d’établissement du client ou la nature de son activité.
Quels changements sont déjà en cours de mise en œuvre ?
Après avoir examiné toutes les communications reçues des registres et bureaux d’enregistrement en lien avec l’application des exigences de NIS2, nous avons constaté que près de la moitié d’entre elles ne faisaient aucune mention de mesures concrètes. La plupart des annonces soulignaient le besoin de clarifications supplémentaires avant d’apporter des modifications à leurs systèmes d’enregistrement. Ces messages recommandent généralement aux gestionnaires et propriétaires de domaines de vérifier leurs données et d’effectuer les mises à jour nécessaires en prévision d’un examen plus strict à l’avenir.
Le besoin de précisions supplémentaires est une préoccupation fréquente, notamment dans les pays où la directive n’a pas encore été transposée en droit national. Cependant, certains partenaires d’IP Twins ont déjà annoncé des actions concrètes, qui se répartissent généralement en trois catégories :
- Audits : Des registres nationaux européens ont mis en place des outils automatisés pour analyser les données des domaines et détecter les inexactitudes, lesquelles, si elles ne sont pas corrigées, peuvent entraîner la suspension du domaine.
- E-mails de vérification des contacts : Certains bureaux d’enregistrement ont annoncé que certaines actions relatives aux domaines déclencheraient désormais un e-mail nécessitant une action de la part du destinataire (ex. cliquer pour vérifier) afin de confirmer que le propriétaire des données est informé de l’enregistrement du domaine et qu’il en valide l’exactitude.
- Nouvelles exigences en matière de données/syntaxe : Certains registres et bureaux d’enregistrement ont introduit de nouveaux champs obligatoires dans les données de domaine ou imposé un format standardisé pour certains champs.
Y a-t-il des règles plus strictes à venir ?
Aucune annonce officielle ne laisse entendre des mesures allant au-delà des précédentes, donc cette section est purement spéculative. Elle vise à illustrer comment une application stricte de la directive pourrait se traduire dans la pratique.
L’interprétation de certaines dispositions a donné lieu à des spéculations sur l’introduction de vérifications d’identité beaucoup plus poussées que ce qui est habituellement requis pour l’enregistrement d’un domaine.
Deux passages clés alimentent ces interprétations :
- Article 28 – Obligation de vérification :
« Les États membres exigent des registres de noms de domaine de premier niveau et des entités fournissant des services d’enregistrement qu’ils mettent en place des politiques et procédures, y compris des procédures de vérification, afin de garantir que les bases de données incluent des informations exactes et complètes. »
- Considérations préliminaires (111-120) – Nature de la vérification :
« Ces procédures doivent refléter les meilleures pratiques de l’industrie et, dans la mesure du possible, les avancées en matière d’identification électronique. »
Une interprétation extrême de ces passages suggère l’adoption de vérifications biométriques et de services d’identification numérique[7], ce qui représenterait un changement radical pour les politiques de gestion de domaine.
Que faire dès aujourd’hui ?
Des modifications plus concrètes seront introduites en 2025. En attendant, voici quelques actions recommandées pour les clients d’IP Twins en 2024 :
- Générer un rapport des informations de contact utilisées pour vos domaines : Disponible via notre plateforme en ligne ou sur demande auprès d’un gestionnaire de compte.
- Réévaluer les protocoles d’attribution des e-mails de contact :
- Remplacez les adresses obsolètes.
- Centralisez les contacts si plusieurs e-mails sont utilisés pour un même portefeuille de domaines.
- Prévoyez une adresse dédiée si le client préfère déléguer la validation à son prestataire.
- Engager le dialogue avec vos clients (si vous gérez leurs domaines) :
- Informez-les des nouvelles procédures de vérification.
- Confirmez que les e-mails de contact sont actifs et surveillés.
Conclusion
Il est trop tôt pour dresser un bilan définitif de l’impact de la directive NIS2, mais les tendances observées indiquent un renforcement des exigences en matière de données d’enregistrement. Les clients doivent s’attendre à une vérification plus rigoureuse et à des demandes d’informations plus détaillées.
IP Twins surveille activement ces évolutions et accompagnera ses clients dans leur mise en conformité pour minimiser les perturbations opérationnelles.
Notes
[1] Registro.it, Data accuracy: a key element for the development of the digital economy, June 2024
[2] EURid enhances Data Quality with new EURidity system – More news – EURid
[3] Preparing for NIS2 Compliance – CentralNic Reseller
[4] Update .be registrar agreement | DNS Belgium
[5] NIS 2 – A Law that Concerns All of Us! The NIS 2 Working Groups at DENIC
