DIU, Alm.del - 2024-25 - Bilag 76: Orientering om høring om bekendtgørelse til L 141 forslag til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau

Udvalget for Digitalisering og It 2024-25
DIU Alm.del Bilag 76
Offentligt

BEKENDTGØRELSE

Bekendtgørelse om validering, verifikation og udlevering af domænenavnsregistrerings-

data

I medfør af § 11, stk. 8, og § 32, stk. 3, i lov nr. … af … om foranstaltninger til sikring af

et højt cybersikkerhedsniveau (NIS 2-loven) fastsættes:

Kapitel 1

Anvendelsesområde og definitioner

§ 1.

Denne bekendtgørelse finder anvendelse på topdomænenavneadministratorer og en-

heder, der leverer domænenavnsregistreringstjenester, som er omfattet af NIS 2-loven.

§ 2.

I denne bekendtgørelse forstås ved:

1) Syntaktisk validering: En sikring af, at data er korrekt formateret på tværs af indtast-

ningsfelter.

2) Operationel verifikation: En sikring af, at indsamlede kontaktoplysninger er funktionelle

og muliggør kontakt.

3) Identitetsverifikation: Indsamling og validering af information om en registrant for at

sikre, at registranten er den, som registranten udgiver sig for at være.

Bekendtgørelsen gennemfører dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022

om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr.

910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet), EU-Tidende 2022,

nr. L 333, side 80.

DIU, Alm.del - 2024-25 - Bilag 76: Orientering om høring om bekendtgørelse til L 141 forslag til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau

4) Elektronisk identifikation: Det at bruge personidentifikationsdata i elektronisk form, der

entydigt repræsenterer enten en fysisk eller juridisk person eller en fysisk person, der repræ-

senterer en juridisk person.

5) Kontaktpunkt: En fysisk eller juridisk person, som har fået overdraget ansvaret fra en re-

gistrant til at administrere et domænenavn på registrantens vegne, og som kan udføre alle

handlinger vedrørende et domænenavn, herunder ændre i domænenavnsregistreringsdata,

foretage fornyelse af domænenavnet eller overføre domænenavnet til en anden part.

6) DNS-misbrug: Det at et domænenavn anvendes som en del af et botnet, anvendes til

phishing eller pharming, eller anvendes til at sprede malware eller spam, når spam fungerer

som en leveringsmekanisme for botnet, phishing eller pharming.

7) Legitime adgangssøgende: En fysisk eller juridisk person, der fremsætter en anmodning i

henhold til EU-retten eller national ret i en af EU’s medlemsstater om at få adgang til ikke-

offentligt tilgængelige domænenavnsregistreringsdata, herunder personoplysninger.

8) Hasteanmodninger: En anmodning, der fremsættes i tilfælde af situationer, som udgør en

overhængende fare for liv, alvorlig personskade, offentlige institutioner, kritisk infrastruktur

eller udnyttelse af børn.

Kapitel 2

Validerings- og verifikationsprocedurer for e-mailadresse og telefonnummer

§ 3.

Ved registrering af et domænenavn eller ved hver fornyelse af et eksisterende domæ-

nenavn skal topdomænenavneadministratorer og enheder, der leverer domænenavnsregistre-

ringstjenester, sikre, at registrantens kontakt-e-mailadresse og telefonnummer er syntaktisk

valideret og operationelt verificeret i medfør af stk. 4, jf. dog stk. 5 og 6.

Stk. 2.

Hvis registranten på registreringstidspunktet har et kontaktpunkt, eller på et senere

tidspunkt etablerer et kontaktpunkt, der administrerer domænenavnet, skal der ved registre-

ring af et domænenavn, ved registrering af et kontaktpunkt eller ved ændring af et eksiste-

rende kontaktpunkts kontaktoplysninger gennemføres en syntaktisk validering og en operati-

onel verificering efter stk. 4 for kontakt-e-mailadressen og telefonnummeret for kontaktpunk-

tet i tilfælde af, at de er forskellige fra registrantens kontakt-e-mailadresse eller telefonnum-

mer.

DIU, Alm.del - 2024-25 - Bilag 76: Orientering om høring om bekendtgørelse til L 141 forslag til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau

Stk. 3.

Den syntaktiske validering og operationelle verificering efter stk. 1 skal også udfø-

res, hvis:

1) et domænenavn overføres til en anden registrant,

2) topdomænenavneadministratoren eller enheden, der leverer domænenavnsregistrerings-

tjenester, modtager en skriftlig begrundet mistanke om, at et domænenavn anvendes i for-

bindelse med DNS-misbrug, eller

3) topdomænenavneadministratoren eller enheden, der leverer domænenavnsregistrerings-

tjenester, modtager en skriftlig begrundet mistanke om, at kontaktoplysninger for et domæ-

nenavn ikke er korrekte.

Stk. 4.

Den syntaktiske validering og operationelle verifikation skal mindst omfatte føl-

gende:

1) at e-mailadressen er formateret i overensstemmelse med RFC5322,

2) at e-mailadressen er operationelt verificeret,

3) at telefonnummeret er formateret i overensstemmelse med ITU-T E 164’s anbefalinger

for internationale telefonnumre, og

4) at telefonnummeret er operationelt verificeret.

Stk. 5.

Hvis elektronisk identifikation anvendes til at verificere en registrants navn efter

stk. 1, og registranten mindst én gang årligt bekræfter dennes kontakt-e-mailadresse og te-

lefonnummer, kan den syntaktiske validering og den operationelle verificering af registran-

tens kontakt-e-mailadresse og telefonnummer efter stk. 1 undlades ved fornyelsen af et do-

mænenavn.

Stk. 6.

Hvis en registrant registrerer eller har registreret flere domænenavne under samme

topdomænenavn, er det tilstrækkeligt at udføre den syntaktiske validering og operationelle

verificering af registrantens kontakt-e-mailadresse og telefonnummer efter stk. 1 for ét af re-

gistrantens domænenavne.

Kapitel 3

Verifikationsprocedurer af registrantens navn

DIU, Alm.del - 2024-25 - Bilag 76: Orientering om høring om bekendtgørelse til L 141 forslag til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau

§ 4.

Ved registrering af et domænenavn skal topdomænenavneadministratorer og enheder,

der leverer domænenavnsregistreringstjenester, i det omfang der er mulighed for det, anvende

elektronisk identifikation til at verificere en registrants navn, jf. dog stk. 2 og 6.

Stk. 2.

Hvis en topdomænenavneadministrator og en enhed, der leverer domænenavnsre-

gistreringstjenester, ikke har mulighed for at anvende elektronisk identifikation til at verifi-

cere en registrants navn, anvendes i stedet en risikobaseret tilgang. Den risikobaserede tilgang

skal tage hensyn til bedste praksis på området.

Stk. 3.

Den risikobaserede tilgang anvendes ved registrering af et domænenavn og ved

hver fornyelse af et eksisterende domænenavn.

Stk. 4.

Hvis den risikobaserede tilgang viser, at en registrering udgør en medium eller høj

risiko for at blive anvendt i ondsindet øjemed, skal topdomænenavneadministratoren og en-

heden, der leverer domænenavnsregistreringstjenester, gennemføre en identitetsverifikation

af registranten.

Stk. 5.

Verifikation af en registrants navn efter stk. 1 eller 2 skal også udføres, hvis

1) et domænenavn overføres til en anden registrant,

2) topdomænenavneadministratoren eller enheden, der leverer domænenavnsregistrerings-

tjenester, modtager en skriftlig begrundet mistanke om, at et domænenavn anvendes i for-

bindelse med DNS-misbrug, eller

3) topdomænenavneadministratoren eller enheden, der leverer domænenavnsregistrerings-

tjenester, modtager en skriftlig begrundet mistanke om, at kontaktoplysninger for et domæ-

nenavn ikke er korrekte.

Stk. 6.

Hvis en registrant registrerer eller har registreret flere domænenavne under samme

topdomænenavn, er det tilstrækkeligt at udføre den elektroniske identifikation til at verificere

registrantens navn efter stk. 1 for ét af registrantens domænenavne eller at anvende den risi-

kobaserede tilgang til at verificere registrantens navn efter stk. 2 for ét af registrantens domæ-

nenavne.

Kapitel 4

DIU, Alm.del - 2024-25 - Bilag 76: Orientering om høring om bekendtgørelse til L 141 forslag til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau

Manglende validering eller verifikation af domænenavnsregistreringsdata

§ 5.

Hvis kontakt-e-mailadressen eller telefonnummeret for registranten af et domæne-

navn eller et eventuelt kontaktpunkt ikke kan valideres syntaktisk og verificeres operationelt,

jf. § 3, stk. 1 og 2, eller hvis navnet på registranten ikke kan verificeres, jf. § 4, stk. 1 og 2,

kan domænenavnet først gøres aktivt, når validering og verificering af kontakt-e-mailadresse

og telefonnummer samt verificeringen af navnet på registranten er gennemført med et tilfreds-

stillende resultat.

Stk. 2.

Hvis kontakt-e-mailadressen eller telefonnummeret for en eksisterende registrant

ved fornyelse af et domænenavn ikke kan valideres syntaktisk og verificeres operationelt, jf.

§ 3, stk. 1, registrantens navn ikke kan verificeres ved fornyelsen, jf. § 4, stk. 3, eller i situa-

tioner omfattet af § 3, stk. 3, eller § 4, stk. 5, skal domænenavnet suspenderes eller slettes

inden for 30 dage, hvis ikke validering og verificering kan ske forinden på baggrund af opda-

terede oplysninger fra registranten.

Kapitel 5

Anmodninger om adgang til domænenavnsregistreringsdata

§ 6.

Topdomænenavneadministratorer og enheder, der leverer domænenavnsregistre-

ringstjenester, skal på baggrund af en lovlig og behørigt begrundet anmodning fra en legitim

adgangssøger give adgang til de anmodede specifikke domænenavnsregistreringsdata uden

unødigt ophold og under alle omstændigheder inden for 72 timer. Er der tale om hasteanmod-

ninger fra en legitim adgangssøger, skal de anmodede specifikke domænenavnsregistrerings-

data dog gives inden for 24 timer.

Stk. 2.

Hvis topdomænenavneadministratoren eller enheden, der leverer domænenavnsre-

gistreringstjenester, er den forkerte adressat for en hasteanmodning efter stk. 1, skal afsende-

ren af anmodningen gøres opmærksom på dette inden for 24 timer.

Stk. 3.

For øvrige adgangssøgende skal topdomænenavneadministratorer og enheder, der

leverer domænenavnsregistreringstjenester, på baggrund af en behørigt begrundet anmodning

DIU, Alm.del - 2024-25 - Bilag 76: Orientering om høring om bekendtgørelse til L 141 forslag til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau

om adgang til specifikke ikke-offentliggjorte domænenavnsregistreringsdata inden for 72 ti-

mer efter modtagelse af anmodningen oplyse, om adgang gives til de domænenavnsregistre-

ringsdata, som anmodningen vedrører.

Stk. 4.

Hvis en anmodning efter stk. 3 hverken helt eller delvist imødekommes, medsender

topdomænenavneadministratorer eller enheder, der leverer domænenavnsregistreringstjene-

ster, en begrundelse herfor.

Kapitel 6

Påbud

§ 7.

Der kan meddeles påbud til topdomænenavneadministratorer og enheder, der leverer

domænenavnsregistreringstjenester, med henblik på at sikre overholdelse af §§ 3-6.

Kapitel 7

Straffebestemmelser

§ 8.

Med bøde straffes den, der

1) overtræder § 3, stk. 1-4, § 4, stk. 1-5, § 5 eller § 6 eller

2) undlader at efterkomme påbud efter § 7.

Stk. 2.

Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i

straffelovens 5. kapitel.

Kapitel 8

Ikrafttrædelse

DIU, Alm.del - 2024-25 - Bilag 76: Orientering om høring om bekendtgørelse til L 141 forslag til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau

§ 9.

Bekendtgørelsen træder i kraft den 1. juli 2025.

[Hovedunderskriver]

[Medunderskriver]