La Comisión Europea aprobó en julio de 2016 la Directiva NIS - Security of Network and Information Systems (aquí) la cual entró en vigor el 9 de agosto de 2017 y ha sido transpuesta en los Estados miembros de forma desigual. Aunque la valoración de su aplicación estaba prevista para estas fechas –ante la enorme transcendencia de la Agenda Digital, acentuada incluso por la situación de pandemia– se adelantó al Programa de Trabajo de 2020 de la Comisión y ello ha permitido que la Propuesta de Directiva NIS 2.0 (aquí) se encuentre bastante avanzada en la actualidad.
Los objetivos de la Propuesta de Directiva NIS 2.0 son ambiciosos y pretenden seguir reforzando las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión Europea. Entre dichos objetivos se encuentran: la ampliación del alcance de la Directiva inicial añadiendo nuevos sectores, la eliminación de la distinción entre operadores de servicios esenciales y proveedores de servicios digitales, la incorporación de disposiciones más precisas sobre el proceso de notificación de incidentes, etc.
Además, en la Propuesta de Directiva NIS 2.0 encontramos las obligaciones de transparencia relativas a las bases de datos de los nombres de dominio y los datos de registro (definidos en la Propuesta como datos WHOIS) mediante las que se pretende mejorar la seguridad, estabilidad y resiliencia del DNS (Domain Name System).
Según WHOIS, cada año, millones de personas, empresas, organizaciones y gobiernos registran nombres de dominio. Cada uno de ellos debe proporcionar datos de identificación y contacto (nombre, domicilio, correo electrónico, número de teléfono y contactos técnicos y administrativos) al momento de realizar el registro. Sin embargo, en la mayoría de los casos, dicha información no se encuentra accesible al público. Dependiendo de la redacción final de la Directiva NIS 2.0 y de cómo sea traspuesta en los Estados miembros, la transparencia de los datos WHOIS podría convertirse en una realidad.
De conformidad con el artículo 23 de la Propuesta de Directiva NIS 2.0, los Estados miembros garantizarán que las bases de datos sobre el registro de nombres de dominio (que deberán ser precisos y completos) contengan información pertinente para identificar y contactar a los titulares de los nombres de dominio y los puntos de contacto que administran los nombres de dominio en los dominios de primer nivel. No obstante, preocupa que las menciones relativas a la normativa de protección de datos y la posibilidad de no publicar los datos de registro de dominio que sean de carácter personal, impida el efecto práctico deseado.
Cuando un sitio web incumple con las obligaciones de información previstas en la LSSI (Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico), poder conocer la titularidad registral del dominio –a través de los datos WHOIS– se convierte en ocasiones en la única forma de identificar a una persona (física o jurídica) que pueda responder por los contenidos que se alojan en dicho dominio y poder actuar frente a ella en supuestos de infracción de derechos de propiedad industrial e intelectual.
Aunque en la actualidad contamos con herramientas tecnológicas que permiten adoptar medidas de eliminación y desindexación de sitios web que alojen contenidos infractores (incluso desconociendo la identidad del prestador de servicios de la sociedad de la información y/o sin previo acceso a los datos del titular del dominio), la mejora en la accesibilidad y precisión de los datos WHOIS resulta indispensable y su efectiva implantación afectará muy positivamente, no solo a la seguridad del DNS, sino a la seguridad jurídica con la que las transacciones se llevan a cabo en el mundo online.
El tiempo dirá si las obligaciones de transparencia de las bases de datos de nombres de dominio que incluya el texto final de la Directiva NIS 2.0 se quedan en una mera declaración de intenciones sin trascendencia práctica (como algunas voces critican en relación con el texto de la Propuesta) o si efectivamente terminará convirtiéndose en una medida real y efectiva para la mejora de la seguridad, estabilidad y resiliencia del DNS.