Uptime: 99.978%
Strony WWW:
Nowe strony WWW dzisiaj:
100 000 Użytkowników w SEOHOST. To dzięki Wam! Czytaj więcej W SEOHOST Użytkownik jest zawsze na pierwszym miejscu! Czytaj więcej Z SEOHOST korzysta już ponad 90 000 Użytkowników! Czytaj więcej Pełna transparencja: uptime naszej infrastruktury Czytaj więcej Wywiad z naszym CEO na bezprawnik.pl Czytaj więcej SEOHOST.pl zdobywa 2 miejsce w rankingu NASK. Czytaj więcej Uwaga: kolejna próba phishingu! Czytaj więcej Dlaczego warto migrować do SEOHOST? Czytaj więcej
Menu
Załóż konto
Strona główna / Pomoc / Bezpieczeństwo / NIS2 a domeny – co musisz wiedzieć jako abonent, rejestrator lub reseller?
Redakcja SEOHOST.pl
Redakcja SEOHOST.pl
26 Lipca 2025
5 minut

NIS2 a domeny – co musisz wiedzieć jako abonent, rejestrator lub reseller?

Nowa unijna dyrektywa NIS2 to nie teoretyczny dokument dla urzędników, ale zestaw konkretnych obowiązków dla firm działających w środowisku cyfrowym. Wprowadza jednolite zasady cyberbezpieczeństwa dla operatorów usług kluczowych – od rejestratorów domen, przez DNS i hosting, aż po resellerów oferujących cyfrowe rozwiązania klientom z sektora publicznego czy medycznego. Jeśli rejestrujesz domeny, świadczysz usługi online lub sprzedajesz infrastrukturę chmurową – powinieneś wiedzieć, co zmienia Artykuł 28 NIS2 i jak wpłynie na Twoją firmę oraz klientów.

Czym w ogóle jest NIS2?

Zacznijmy od fundamentu. NIS2 to nie kolejny „unijny papier”, który ląduje w szufladzie, tylko realna zmiana reguł gry w cyberbezpieczeństwie. To jak nowy system operacyjny dla firm cyfrowych w Europie – aktualizacja wymuszona rosnącą skalą cyberzagrożeń, ataków, sabotaży i zwyczajnego niedbalstwa. Dlaczego? Wyjaśnimy to w dalszej części artykułu.

NIS2 mówi wprost: jeśli świadczysz usługi cyfrowe, działasz w sieci, masz wpływ na dostępność lub bezpieczeństwo danych – musisz spełniać nowe wymogi. I nie ma znaczenia, czy jesteś gigantem IT, lokalnym resellerem domen, czy klientem z sektora zdrowia. Liczy się rola w łańcuchu dostaw cyfrowych i wpływ na bezpieczeństwo usług krytycznych.

Kogo to konkretnie dotyczy? Rejestratorzy, DNS, hosting

Jedną z kluczowych zmian, które niesie NIS2, jest nowa klasyfikacja podmiotów krytycznych dla infrastruktury cyfrowej. I tu nie ma już miejsca na spekulacje – rejestry krajowe, operatorzy DNS, rejestratorzy domen, a nawet dostawcy hostingu zostali sklasyfikowani jako tzw. essential entities, niezależnie od ich wielkości.

To oznacza, że nawet firma zatrudniająca 10 osób, ale oferująca usługi DNS lub rejestrację domen, będzie traktowana jak strategiczny punkt w łańcuchu cyberbezpieczeństwa Europy. I tak – będzie musiała spełnić pełny pakiet wymagań, od raportowania incydentów, przez wdrażanie polityk bezpieczeństwa, aż po... udostępnianie danych abonentów.

Dlaczego rejestracja domeny przestaje być tylko formalnością?

Na pierwszy rzut oka domena to tylko „adres w internecie”. Ale dokładnie ta domena to często pierwszy punkt styku z Twoją firmą, danymi i usługami. Jeśli ktoś przejmie Twoją domenę, może podszyć się pod Twoją stronę, zablokować serwery, rozesłać phishing. Jeśli z kolei padnie DNS – znika Twoja strona, e-mail, aplikacja, wszystko.

Dlatego NIS2 nie traktuje usług DNS, rejestratorów, chmurowych platform czy hostingów jako "zwykłej infrastruktury", ale jako element infrastruktury krytycznej.

Załącznik I i II dyrektywy NIS2 jasno wskazuje, że:

  • Rejestratorzy domen, dostawcy DNS, operatorzy TLD – to podmioty ważne.
  • Usługi cyfrowe o znaczeniu publicznym muszą być chronione według określonych standardów.

To właśnie Artykuł 28 dyrektywy NIS2 wprowadza rewolucyjne zmiany dla rejestratorów domen i operatorów TLD. Przepisy mówią jasno:

  • Rejestratorzy muszą gromadzić dokładne, kompletne i aktualne dane o abonentach domen.
  • Dane te mają być przechowywane w wyznaczonej bazie, z uwzględnieniem zasad RODO.
  • Co więcej – dane te mają być weryfikowane w momencie rejestracji, np. przez potwierdzenie tożsamości (czyli koniec z całkowicie anonimowym WHOIS-em dla domen EU).
  • W przypadku uzasadnionego żądania (np. od organów państwowych), dane muszą być udostępnione w ciągu 72 godzin.
  • A żeby uniknąć powielania danych i chaosu między rejestratorami a rejestrami – strony muszą ze sobą współpracować operacyjnie.

To realna zmiana nie tylko dla branży, ale i dla klientów końcowych. W praktyce, abonenci domen będą musieli podać więcej danych, które zostaną formalnie zweryfikowane.

Artykuł 28(6) dyrektywy NIS2 nakłada obowiązek współdziałania między rejestrami a rejestratorami. Cel? Uniknąć duplikowania danych, chaosu przy przenoszeniu domen i sprzecznych informacji w WHOIS. Praktycznie oznacza to wspólne ustalanie standardów wymiany danych, mechanizmy synchronizacji i wspólne procedury weryfikacji. To nowa jakość w zarządzaniu domenami – szczególnie w domenach krajowych, gdzie dziś panuje spora różnorodność rozwiązań.

Gdzie w tym wszystkim miejsce dla resellerów?

Teraz najciekawsze – resellerzy domen. Czyli firmy, które sprzedają domeny dalej, pośredniczą, integrują, łączą rejestrację z hostingiem czy pakietami startowymi.

I tu pojawia się kluczowe pojęcie z dyrektywy: łańcuch dostaw. Dyrektywa mówi wprost:

  • „Każdy podmiot, który dostarcza usługi cyfrowe dla organizacji kluczowych lub ważnych, staje się ich elementem infrastrukturalnym.”

Czyli jeśli jesteś resellerem i sprzedajesz domeny:

  • firmie medycznej,
  • uczelni,
  • operatorowi logistycznemu,
  • firmie wdrażającej rozwiązania chmurowe dla sektora publicznego…

NIS2 = dyrektywa, nie rozporządzenie. To oznacza, że każde państwo członkowskie UE wdraża ją do swojego prawa w indywidualnym tempie.
Przykład? Polska planuje implementację do końca 2024 roku, ale niektóre kraje (np. Niemcy, Francja) są już na zaawansowanym etapie. Dla resellerów działających międzynarodowo to kluczowa informacja – bo w zależności od rynku mogą obowiązywać różne poziomy gotowości, obowiązki raportowe i wymogi wobec danych abonentów.

Twoja rola nabiera znaczenia prawnego i organizacyjnego. Jesteś częścią ekosystemu bezpieczeństwa tej firmy.

Co to oznacza w praktyce?

  • Musisz znać źródła swoich usług (czyli np. z jakiego registry korzystasz, jaki DNS, jak chronione są dane WHOIS).
  • Warto mieć nawet prostą politykę bezpieczeństwa i pokazać klientowi, że wiesz, czym jest NIS2.
  • Coraz częściej będziesz musiał odpowiedzieć na pytania klientów o zgodność Twoich usług z NIS2 – a może i podpisać umowy SLA lub klauzule zgodności.

Business Continuity: Co, jeśli wszystko padnie?

NIS2 (a jeszcze bardziej dyrektywa DORA, która dotyczy sektora finansowego) wymusza też pełne przygotowanie firm na kryzysy. To nie tylko kopia zapasowa danych, ale całościowe plany ciągłości działania (BCM).

Rejestratorzy, operatorzy DNS i dostawcy hostingu muszą teraz wyznaczyć:

  • MTD (Maximum Tolerable Downtime) – ile maksymalnie może nie działać usługa, zanim firma zacznie tracić reputację lub ponosić kary,
  • RTO (Recovery Time Objective) – ile czasu może zająć przywrócenie usług po awarii,
  • RPO (Recovery Point Objective) – jak stare mogą być dane odzyskane z backupu (np. strata do 15 minut to wysoki poziom),
  • WRT (Work Recovery Time) – czas potrzebny po przywróceniu usługi na sprawdzenie poprawności i pełną operacyjność.

Co ważne – RTO + WRT nie mogą przekroczyć MTD. To nie jest już sugestia – to wymóg formalny, który trzeba wykazać dokumentacją.

Kary, które naprawdę bolą

Zignorowanie NIS2 to nie tylko ryzyko wizerunkowe. Dyrektywa przewiduje kary do 10 mln euro lub 2% globalnego obrotu – zależnie od tego, która wartość jest wyższa. W szczególnych przypadkach sankcje mogą sięgnąć osób zarządzających, jeśli wykaże się rażące zaniedbania.

A jeśli obsługujesz sektor finansowy i podlegasz DORA – możesz spodziewać się kar za niewdrożenie polityki zarządzania ryzykiem ICT, niewykonanie testów odporności operacyjnej, a nawet odpowiedzialności karnej menedżerów (do 1 mln euro osobno od firmy).

Czy udało Ci się rozwiązać problem?
Nie znalazłeś odpowiedzi na swoje pytanie?