Uudised

Regulatsioonid on uus normaalsus: ülevaade domeenindust mõjutavatest poliitikatest

Esmalt aga CENTRi rollist. CENTR ühendab Euroopa riigi tunnusega tippdomeenide (ccTLD) registreid, sealhulgas .ee, .lv ja .lt. Koos assotsieerunud liikmetega hõlmab kogukond endas ligikaudu 80% kõigist maailmas registreeritud domeeninimede haldajatest. Lisaks parimate praktikate ja kogemuste jagamisele esindab CENTR Euroopa ccTLD-de huve ka Brüsselis, aidates poliitikakujundajatel mõista, kuidas mõjutavad seadused päriselus DNS-i toimimist.

Regulatiivse maastiku ülevaate sissejuhatus on lihtne: domeenindust ei mõjuta enam üksikud internetiga seotud regulatsioonid: nendele on juurde lisandunud küberturvalisus, finantssektor, andmepoliitika. Registrite ja registripidajate tegevusele seavad raame ka digitaalse suveräänsusega seotud arutelud.

Täna on kõige aktuaalsem õigusakt NIS2 direktiiv ehk Euroopa Liidu küberturvalisuse uuendatud raamistik. Domeeninduse jaoks on sõnum selge: tippdomeenide registrid ja DNS teenuse pakkujad on selle põhjal määratletud kui osa elutähtsast digitaalsest taristust. See tähendab ka konkreetseid kohustusi: minimaalsete küberturvalisuse riskijuhtimise meetmete rakendamist, järelevalveasutuste kontrollideks valmisolekut ning kohustust raporteerida olulistest turvaintsidentidest.

Kõige enam on arutelusid tekitanud NIS2 juures artikkel 28, mis puudutab domeeni ja selle registreerimisandmeid. Registrid ja registripidajad peavad koguma ja hoidma täpseid kontaktandmeid, sealhulgas registreerija nime, e-posti aadressit ja telefoninumbrit. Isikustamata andmed peavad olema avalikud, isikuandmed aga kättesaadavad õigustatud taotlejatele kindla aja jooksul. Kuigi andmete verifitseerimine ei ole rangelt kohustuslik, on see tugevalt soovitatav ning seejuures eeldatakse andmete korduva kogumise välimiseks koostööd registrite ja registripidajate vahel.

NIS2 on direktiiv, mistõttu sõltub selle tegelik mõju aga liikmesriikide ülevõtmisest riiklikku õigusesse. Praktikas on tõlgendused juba praegu erinevad. Mõned registrid olid varem GDPR-i tõttu telefoninumbrite kogumisest loobunud ja peavad selle nüüd taas kasutusele võtma. Teised ootavad endiselt aga riiklikke juhiseid. See ebaselgus kestab tõenäoliselt seni, kuni kõik liikmesriigid on direktiivi täielikult üle võtnud.

Selle kõrval on vaikselt pildile tulnud aga veel üks regulatsioon: DORA ehk digitaalse tegevuskergsuse määrus. Esmapilgul on see suunatud küll finantsasutustele, kuid selle kaudne mõju domeenindusele on märkimisväärne. Pangad, makseteenuse pakkujad, kindlustused ja krüptoettevõtted peavad kaardistama kõik IT-teenused, millest nad sõltuvad, sealhulgas domeenid.

See tekitab ebamugava küsimuse: kas domeeniregistrid või registripidajad võivad kvalifitseeruda kriitilisteks IT-teenuse pakkujateks? Kui vastus on jaatav, võivad järgneda auditid, spetsiifilised lepingutingimused ja isegi kohapealsed kontrollid finantsjärelevalve asutuste poolt. Praegu on see siiski ebaselge, kuid regulatsiooni arengutest tasub olla teadlik, eriti neil, kes pakuvad domeenide kõrval ka majutus- või pilveteenuseid.

Kõige rohkem elevust tekitas aga Polina käsitlus finantsregulatsioonide mõjust domeenidele. Uued ELi õigusaktid, sealhulgas krüptovarade määrus ja finantsandmete ligipääsu raamistik, annavad pädevatele asutustele õiguse nõuda teatud rikkumiste tõttu finantsteenustega seotud domeeninimede kustutamist. Seejuures on oluline on mõista, et rikkumine ei tähenda alati pettust, vaid võib olla ka näiteks mitteisikustatud finantsandmete jagamisest keeldumine kolmandate osapooltega.

Mõte, et panga või makseteenusega seotud domeen võidakse kustutada, on paljudele ebameeldiv areng. Domeeni kustutamine mõjutab otseselt kliente ja kasutajaid ning võib tekitada rohkem kahju kui kasu. See on aga märk sellest, et seadusandjad ei pruugi mõista, mida domeeni „kustutamine“ päriselt tähendab. Tõenäoliselt peeti silmas pigem peatamist või konfiskeerimist. Kuid õigusaktides kasutatakse sõna „delete“ ehk sõnastus on kriitilise tähtsusega. CENTR on sellele tugevalt vastu vaielnud, rõhutades, et selline meede võib kahjustada küberturvalisust ja tarbijakaitset.

Tulevikku vaadates tõi Polina esile mitu suunda. Üks neist on lihtsustamine. Euroopa Komisjon vaatab üle digivaldkonda puudutavad õigusaktid, et vähendada kattuvusi ja bürokraatiat. See ei tähenda, et GDPR või NIS2 kaoksid, kuid eesmärk on ühtlustada näiteks intsidentide raporteerimist ja riskijuhtimise nõudeid.

Teine teema on andmete säilitamine. Komisjon hindab võimalust kehtestada reeglid teatud metaandmete säilitamiseks õiguskaitse eesmärgil. Domeeni- ja registreerimisandmed on üks võimalik fookusvaldkond. Konkreetset ettepanekut veel ei ole, kuid rohkem selgust oodatakse 2026. aastal.

Viimasena võeti luubi alla digitaalse suveräänsuse teema. Kuigi fookus on praegu peamiselt pilvelahendustel ja avalikul hankel, võib see tulevikus mõjutada ka DNS-i. Nõuded EL-i teenustele, sertifitseerimisele või standarditele võivad minna vastuollu DNS-i globaalse olemusega. Kuidas leiab Euroopa selles tasakaalu, on veel lahtine.

Polina lõpetas üleskutsega olla kaasatud ja informeeritud. Regulatsioonid ei kao kuhugi ning sageli tulevad need ootamatust suunast. Tänases Euroopa digikeskkonnas ei ole regulatsioon taustamüra. See on osa tegevuskeskkonnast, domeeninimede maailmas võib selle mõistmine olla sama oluline kui DNS ise. Valdkonda puudutavate poliitikate arengutega saab mugavalt kursus olla CENTRi poolt tehtavate ülevaadete kaudu.