Bei der DENIC steht der NIS2 Fahrplan jetzt verbindlich fest

[chillman]

.de Domains sind Teil der kritischen Infrastruktur in Deutschland. Die DENIC hat dazu jetzt 6 Monate Zeit das neues NIS2 Gesetz umzusetzen. Dazu hat die DENIC heute folgenden Fahrplan an die Mitglieder verschick. Mit diesen Maßnahmen denkt die DENIC alle neuen gesetzlichen Regelungen zu erfüllen. Es wird sich allerdings einiges für Domaininahber einer .de Domain ändern. Aber schaut selbst, was auf euch zukommen wird:

Im November 2025 haben Bundestag und Bundesrat das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) beschlossen. Das Gesetz wurde am 5. Dezember im Bundesgesetzblatt verkündet und trat damit unmittelbar am 6. Dezember in Kraft. DENIC wird zeitnah auch Mitgliederbedingungen, Domainbedingungen und Domainrichtlinien entsprechend anpassen, um die gesetzliche Anforderungen umzusetzen. Dazu erfolgt eine separate Kommunikation. DENIC wird den Go Live der durch §49-§51 des Gesetzes bedingten Änderungen in zwei Phasen durchführen:

Phase I – 28. Januar 2026

Die Angabe einer Telefonnummer wird verpflichtend – es wird nicht mehr möglich sein, Dummywerte für die Telefonnummer anzugeben.

Domainabfrage – Web-whois: Für alle Domains werden das Registrierungsdatum sowie das verwaltende DENIC-Mitglied (Name, Adresse, E-Mail sowie Telefonnummer) veröffentlicht. Ferner werden die Inhaberdaten (Name, Adresse, E-Mail sowie Telefonnummer) veröffentlicht, wenn der Domaininhaber eine juristische Person ist.

Bitte stellt weiterhin sicher, Inhaberdaten korrekt zu typisieren und für natürliche Personen ausschließlich „Type: PERSON“ zu verwenden.

Data Publication: Mitglieder müssen dem Domaininhaber einmal jährlich dessen Daten zugänglich machen, verbunden mit der Aufforderung, die Daten zu prüfen und dem Mitglied mitzuteilen, wenn sie unrichtig oder unvollständig sind („Registration Data Reminder“).

E-Mail Verification: Gibt das Mitglied in den Daten eines Domaininhabers erstmals eine bestimmte E-Mail-Adresse an und hat es sich nicht bereits zuvor von deren Richtigkeit überzeugt, sendet das Mitglied unverzüglich eine E-Mail an diese Adresse mit der Aufforderung sie zu bestätigen.

Phase II – Go Live der Verifizierungsprozesse am 14. April 2026

Ab diesem Zeitpunkt werden eingehende Contact- sowie Domainaufträge einem Risk Assesment unterzogen. Sobald die Daten als verdächtig bzw. risikoreich eingestuft werden, wird beim zuständigen Mitglied eine Verifizierung angefordert und ggf. wenn das Mitglied nicht reagiert die Domain in Quarantäne genommen und am Ende gelöscht.

Wenn innerhalb der ersten 3 Wochen keine Verifizierung erfolgt, so wird DENIC zusätzlich Domaininhaber per Mail informieren!

 

[Domainsammler]

Danke für Deine Antwort.

Bisher werden im Whois der Denic keine Daten von mir angezeigt.

Ob ich einen privaten oder einen geschäftlichen Datensatz habe, weiss ich nicht. Woran sehe ich dass?
Ich habe in meinem Datensatz alles stehen: Name, Firmenname, Adresse, Telefonnummer, Mailadresse, usw..

Was mir aber aufgefallen ist: Manche Handles von meinen Domains haben als "Typ" "Person" und manche haben als "Typ" "Organisation".
Bisher hat das keinen Unterschied gemacht.
Ändert sich das jetzt?
Muss ich alle Handles auf "Person" stellen, damit nichts veröffentlicht wird?

Die Domains sind bei mehreren Providern im Inland und im Ausland (USA, Frankreich, Kanada, etc.) verteilt.
Was muss ich da beachten?

Vorab danke.

 

[webplanet]

Was mir aber aufgefallen ist: Manche Handles von meinen Domains haben als "Typ" "Person" und manche haben als "Typ" "Organisation".
Bisher hat das keinen Unterschied gemacht.
Ändert sich das jetzt?
Muss ich alle Handles auf "Person" stellen, damit nichts veröffentlicht wird?

Ich denke mal du soltest die Handles so einstellen, wie sie der Wahrheit entprechen und nicht wie es Dir persönlich am besten passt.
Wenn es sich also bei Dir um eine juristische Person handelt, dann solltest du das auch generell so einstellen.

 

[Domainsammler]

Ich denke mal du soltest die Handles so einstellen, wie sie der Wahrheit entprechen und nicht wie es Dir persönlich am besten passt.
Wenn es sich also bei Dir um eine juristische Person handelt, dann solltest du das auch generell so einstellen.

Natürlich habe ich die Handles richtig und vollständig ausgefüllt.

Ich denke, dass ich eine natürliche Person bin und keine juristische Person. Oder?
Ist eine juristische Person immer ein Organisation?
Muss Sie daher das Handle "Organisation" haben?

Als ich vor über 25 Jahren das erste Handle angelegt habe, kannte ich den Unterschied nicht bzw. ich kann mich nicht mehr erinnern.
Und wie gesagt, ich habe erst neulich, als ich wegen Nis2 nachgeschaut habe, gesehen, dass es da Unterschiede gibt. Bisher war es völlig egal und es machte auch keinen Unterschied.

Ausserdem gab es vor einigen Jahren bei einem Datenbankimport einen Fehler, so dass sich die Zahl der Handles verdreifacht hat und manche so durcheinandergewirbelt wurden, dass z.B. die Strasse sich verschoben hat von Person A zu Person B und umgekehrt. Das ist ärgerlich und ich korrigiere es, wenn ich es sehe.

 

[chillman]

Das ist die neue Logik der DENIC:

Person = Natürliche Person --> durch DSGVO geschützt
Organisation = Firma, Gesellschaft, Verein, juristische Personen --> nicht durch DSGVO geschützt.

Wer hier falsche Angaben macht oder nicht plausible Angaben, der wird durch einen neuen DENIC Algorithmus erkannt und unter Quarantäne gesetzt. Der Inhaber hat dann ein paar Wochen Zeit seine Identität beim Provider zu bestätigen, ansonsten verliert er seine Domains, die mit dem Handle verknüpft sind.

 

[chillman]

Ausserdem gab es vor einigen Jahren bei einem Datenbankimport einen Fehler, so dass sich die Zahl der Handles verdreifacht hat und manche so durcheinandergewirbelt wurden, dass z.B. die Strasse sich verschoben hat von Person A zu Person B und umgekehrt. Das ist ärgerlich und ich korrigiere es, wenn ich es sehe.

Diese fehlerhaften Datenbank-Imports gab es nur bei Providern, die Ihre Daten nicht sauber gepflegt haben über die vielen Jahre der DENIC Mitgliedschaft. Alle DENIC Mitglieder haben jetzt viele Monate Zeit gehabt, ihre Daten zu verbessern und sauber zu machen.

 

[chillman]

Als ich vor über 25 Jahren das erste Handle angelegt habe, kannte ich den Unterschied nicht bzw. ich kann mich nicht mehr erinnern.
Und wie gesagt, ich habe erst neulich, als ich wegen Nis2 nachgeschaut habe, gesehen, dass es da Unterschiede gibt. Bisher war es völlig egal und es machte auch keinen Unterschied.

Ausserdem gab es vor einigen Jahren bei einem Datenbankimport einen Fehler, so dass sich die Zahl der Handles verdreifacht hat und manche so durcheinandergewirbelt wurden, dass z.B. die Strasse sich verschoben hat von Person A zu Person B und umgekehrt. Das ist ärgerlich und ich korrigiere es, wenn ich es sehe.

Vor 25 Jahren ist ja nicht jetzt. Jetzt gibt es neue EU Gesetzte (NIS2, DSGVO) und die DENIC hat diese neuen Gesetze nun umgesetzt und integriert gemäß der Rechtsauffassung der DENIC. Die Regelungen von DSGVO werden durch NIS2 teilweise ersetzt und sind nun hinfällig.

 

[chillman]

Die Domains sind bei mehreren Providern im Inland und im Ausland (USA, Frankreich, Kanada, etc.) verteilt.
Was muss ich da beachten?

Ich würde vorschlagen, such dir einen Provider aus, der seine Hausaufgaben mit den Handles und den Inhabern gemacht hat. Gerade ausländischen Providern würde ich hier nicht trauen. Die wissen oft selbst nicht, was die DENIC Regularien sind und man riskiert hier wirklich, seine .de Domains zu verlieren, wenn die Inhaberdaten aufgrund eines Fehlers des exotischen Providers nicht korrekt zugeordnet sind.

 

[DerMartin]

Im Klartext für mich: Wenn man bisher jede Anfrage über eine Landingpage durch das Impressum von ED auch auf ED lenken konnte, bekommen nun sämtliche Domain-Interessenten bei der DENIC im Klartext die hinterlegte E-Mail-Adresse und man hat wieder den Salat aus Anfragen, den man immer vermeiden wollte.

Ich freue mich schon auf längst vergessene E-Mails unwissender Geschäftsführer, wie z. B.:
"Wir haben gerade eine Marke registriert, Sieee hören von unserem Anwalt."
oder auch ein Klassiker:
"Diese Domain GEHÖRT uns. Sie machen ja nichts damit. Selbst die Denic hat unserem DISPUTE zugestimmt. Da sehen Sie mal, wie sehr Sie hier im Unrecht sind."

Hach, kann es kaum erwarten.

 

[chillman]

Im Klartext für mich: Wenn man bisher jede Anfrage über eine Landingpage durch das Impressum von ED auch auf ED lenken konnte, bekommen nun sämtliche Domain-Interessenten bei der DENIC im Klartext die hinterlegte E-Mail-Adresse und man hat wieder den Salat aus Anfragen, den man immer vermeiden wollte.

Nein, nur wenn du einen Datensatz "Organisation" hast, wird deine Firmenname oder der Name der Organisation in der Whois veröffentlich. Und da könnte dich dann jemand kontaktieren.

Die Kontakmöglichkeiten über die DENIC ist weiterhin wie gewohnt möglich. Auch vorher konnte man den Inhaber bei uns über die DENIC Whois abfragen anschreiben. Das geht auch weiterhin wie gehabt.

 

[webplanet]

Der Startschuß ist heute gefallen!

Firmen/juristische Personen sind ab heute sichtbar:



Ein nettes neues Feature ist die Angabe des ersten Registrierungsdatums.
Ein weiterer Vorteil ist die direkte Angabe einer Mailadresse zur Kontaktaufnahme.

Meinen Namen findet man trotz "Company" nicht im Whois.
Liegt wohl daran dass ich ein Einzelunternehmen bin. Soll mir recht sein.

 

[chillman]

Meinen Namen findet man trotz "Company" nicht im Whois.
Liegt wohl daran dass ich ein Einzelunternehmen bin. Soll mir recht sein.

So wie ich das sehe, bist du eine Person, in allen Fällen darf dein Provider keine personenbezogenen Daten veröffentlichen, auch in Companies nicht (siehe nächsten Post). Also hat er alles richtig gemacht, du bist keine Organisation bzw. juristische Person.

 

[chillman]

Hier ein paar Notizen aus der letzen DENIC Diskussion zu NIS2, die eine Relevanz für Domainer haben:

- E-Mail Verification ab 28.02, 30 Tage Zeit zur Verifikation.
- Last Registrierungsdatum wird in der Whois ausgewiesen.
- Registration Data Reminder once a year, wie bei gTLDs.
- Mitglieder müssen E-Mail Verifikation nur mitteilen, wenn sie fehlgeschlagen ist.
- Telefon und Mail muss veröffentlich werden für juristische Personen nach Gesetz.
- Mitglieder müssen sicherstellen, dass in Organisationen, keine personenbezogenen Daten enthalten sind.
- Risikobewertung des Inhabers ab 01.04, ab dann Quarantäne möglich.
- In die Risikobewertung des hinterlegten Inhabers fließen alle Metadaten ein, auch KI
- Wenn Inhaber in Risikobewertung gelb ist, muss der Inhaber seine Identität nachweisen.
- Wenn Risikobewertung rot, wird Domain dekonnektiert und Inhaber muss Identität nachweisen.
- Bis Identität nachgeiwsen wurde bekommt die Domain einen neuen Status Quarantäne.
- Domain wird nach 90 Tagen Quarantäne gelöscht, ohne dass eine Domain in RGP geht.
- Quarantäne Domains müssen normal weiter bezahlt werden.
- Name und Adresse können getrennt voneinander überprüft werden.

Relevante Eigenwerbung:

Wenn euer Provider die DENIC Richtlinien nicht korrekt umsetzt, gibt es natürlich jetzt die Möglichkeit zu ELITEDOMAINS zu wechseln. Wir sind bei allen Veränderungen der DENIC immer vorne mit dabei, Diskutieren mit der DENIC, kämpfen für Domainer-Interessen und setzten alles immer zu 100% um. Wir haben auch einen Transferservice und @NinaK hilft euch gerne beim monatlichen Transfer "Zug um Zug".

Domains in der Quarantäne kann man mit unseren Domain Monitor identifizieren und catchen: https://app.elitedomains.de/tools/monitor Für Kunden mit mehr als 1.000 Domains im Portfolio ist der Monitor kostenlos.

 

[dododude]

Registration Data Reminder once a year, wie bei gTLDs

Wir bekommen nun also paar tausend Emails im Jahr?

 

[chillman]

Wir bekommen nun also paar tausend Emails im Jahr?

Nein, der Inhaber. Wenn du alle Domains auf einen Inhaber Handle gepackt hast, bekommst du einmal pro Jahr ein Reminder. Zumindest wollen wir das so machen.

Bei .com bekommt man glaube ich je nach Provider für jede Domain diesen Reminder. Da kenn ich mich aber nicht 100% aus.

 

[dododude]

Nein, der Inhaber. Wenn du alle Domains auf einen Inhaber Handle gepackt hast, bekommst du einmal pro Jahr ein Reminder. Bei .com bekommt man glaube ich je nach Provider für jede Domain diesen Reminder. Da kenn ich mich aber nicht 100% aus.

Aber das macht doch keinen Sinn, wenn die alle unterschiedlich auslaufen - so als "reminder".
Abwarten. Die paar Mails mehr machen den Kohl nun auch nicht mehr fett.

 

[chillman]

Aber das macht doch keinen Sinn, wenn die alle unterschiedlich auslaufen - so als "reminder".
Abwarten. Die paar Mails mehr machen den Kohl nun auch nicht mehr fett.

Der Inhaber läuft nicht aus, das ist eine Identität, die im Zweifel verifiziert werden muss. Wer jetzt korrekte und plausible Inhaberdaten hat, muss nie etwas verifizieren, er wird aber 1x pro Jahr erinnert und gefragt, ob seine Daten noch korrekt sind. (So soll es bei uns sein)

Aber auch hier gibt es unterschiedliche Umsetzungen einzelnen Provider. Ich schätze mal, dass z.B. STRATO pro Domain einen jährlichen Reminder verschickt. Vorstellen kann ich mir das sehr gut

 

[DanielF]

- Wenn Inhaber in Risikobewertung gelb ist, muss der Inhaber seine Identität nachweisen.
- Wenn Risikobewertung rot, wird Domain dekonnektiert und Inhaber muss Identität nachweisen.
- Bis Identität nachgeiwsen wurde bekommt die Domain einen neuen Status Quarantäne.
- Domain wird nach 90 Tagen Quarantäne gelöscht, ohne dass eine Domain in RGP geht.

Sehe ich das richtig, dass während des ganzen Überprüfungsverfahren die betreffenden Domains für Updates gesperrt sind? So setzen das jedenfalls andere NICs um. Das heißt, wer irgendwo falsche/veraltete Daten drin stehen hat, läuft dann Gefahr seine Domain(s) zu verlieren.

 

[chillman]

Sehe ich das richtig, dass während des ganzen Überprüfungsverfahren die betreffenden Domains für Updates gesperrt sind? So setzen das jedenfalls andere NICs um. Das heißt, wer irgendwo falsche/veraltete Daten drin stehen hat, läuft dann Gefahr seine Domain(s) zu verlieren.

Ja, so verstehen wir das bisher, zumindest keine Updates an der Domain oder dem zu überprüfenden Inhaber. Eine Domain verlässt die Quarantäne erst, sobald der Inhaber verifiziert wurde beim Provider. Dafür sind Nachweise über Namen und/oder Adresse einzureichen. Bei dem Verfahren der Nachweissichtung und die Dauer der Speicherung der Nachweise sind die Provider frei. So wie wir das verstehen, kann der Provider Änderungen am Inhaber vornehmen, um ihn dann als Verifiziert zu markieren.

Der Hintergrund ist der, dass laut Domainbedingungen jeder Inhaber seine Adressdaten korrekt halten muss und pflegen muss, sofern sich etwas ändert. Das neue NIS2 Gesetz möchte immer zu 100% wissen, wem gehören die Domains tatsächlich, um Onlinebetrug entgegenzuwirken. Insgesamt wird die de Zone dadurch deutlich sicherer und vertrauensvoller. Wer dem nicht nachkommt und die Bedingungen nicht akzeptiert in Zukunft, verliert seine Domains. Ganz einfache Interpretation.

 

[chillman]

Sehe ich das richtig, dass während des ganzen Überprüfungsverfahren die betreffenden Domains für Updates gesperrt sind? So setzen das jedenfalls andere NICs um. Das heißt, wer irgendwo falsche/veraltete Daten drin stehen hat, läuft dann Gefahr seine Domain(s) zu verlieren.

Was ich noch nicht 100%ig weiß ist, in wieweit es erlaubt ist, während der Quarantäne eine Domain auf einen anderen bereits verifizierten Inhaber zu übertragen bzw. zu transferieren. Das sollte aber denke ich problemlos möglich sein. Den Punkt nehme ich mit in die Diskussion.