Impacto de la propuesta de Directiva NIS2 en relación con las organizaciones que autogestionan su servicio de nombres de dominio

Resumen

La propuesta de Directiva revisada sobre la seguridad de las redes y los sistemas de información (proyecto de NIS 2) irrumpe en la gestión de muchas organizaciones, tanto del sector privado como del académico, a un régimen regulador de los «servicios esenciales». El proyecto de directiva, cuyo objetivo es mejorar la postura de ciberseguridad y la gestión de riesgos de las organizaciones que prestan servicios esenciales e importantes para la economía y la sociedad, incluye en su definición de entidades «esenciales» de la infraestructura digital a todos los proveedores de servicios DNS que proporcionan una resolución de nombres «autorizada» para los nombres de dominio.

La intención del proyecto de Directiva, corroborada por la evaluación de impacto que acompaña a la propuesta, es garantizar que los servicios de nombres de dominio raíz y de primer nivel, así como los servicios de DNS prestados como oferta comercial por los registradores de nombres de dominio y las empresas de alojamiento web, alcancen un nivel común de ciberseguridad similar y elevado en toda la Unión. 

Sin embargo, la forma en que se define el «proveedor de servicios de DNS» en el proyecto de NIS2, junto con la exclusión de los proveedores de servicios de DNS específicos tanto del criterio de tamaño como de cualquier consideración de su impacto económico y social, hace que un gran número de entidades no importantes entren en su ámbito. Muchas organizaciones, tanto en el sector privado como en los centros académicos y de investigación, operan sus propios servicios de resolución de nombres de dominio autorizados para sus propios nombres de dominio. Los incidentes que afectan a estos servicios de nombres de dominio sólo repercuten en la propia entidad y tienen escasa repercusión del tipo que pretende abordar la Directiva. Ellas mismas dependen únicamente de los servicios de nombres de dominio de sus ccTLDs elegidos, y los usuarios finales de Internet pueden llegar a ellos directamente o a través de cualquier servicio de resolución de nombres de dominio recursivo que el usuario final haya optado por utilizar. 

Al no distinguir entre servicios de resolución de nombres de dominio «recursivos» y «autoritativos» en la definición de «proveedor de servicios de DNS» del artículo 4, la propuesta de Directiva «introduce cambios considerables en cuanto a la cobertura de las entidades», en contra de lo que se afirma en la evaluación de impacto, al incluir un gran número de organizaciones de la Unión que gestionan ellas mismas sus servidores de nombres de dominio para entidades que, por lo demás, no son esenciales ni importantes, y que van desde marcas de sopa hasta datos de investigación física. Al no excluir a las personas físicas de la definición de «entidad», incluye incluso a un número incuantificable de entusiastas individuales de la informática. Además, la clasificación de los proveedores de servicios de DNS como «entidades esenciales» conlleva la sobrecarga del régimen más estricto (en virtud del artículo 29), lo que supone una carga pesada e inesperada no sólo para las organizaciones implicadas, sino también y específicamente para ENISA y las autoridades de supervisión de los Estados miembros.

Para garantizar que sólo se incluyan en el ámbito de aplicación de la Directiva NIS2 las entidades que se pretende incluir

  • la definición de «proveedor de servicios de DNS» en el art. 4 podría ampliarse aclarando que se aplica a las entidades que prestan un servicio de resolución autorizada de nombres de dominio que pueden contratar terceras entidades esenciales e importantes; o bien
  • El inciso iii) de la letra a) del apartado 2 del artículo 2 podría aplicarse específicamente a los «registros de nombres de dominio de primer nivel y a los proveedores de servicios de sistemas de nombres de dominio (DNS) mencionados en el punto 8 del Anexo I «… que presten servicios de resolución recursiva de nombres de dominio», con lo que los proveedores de servicios de DNS exclusivamente autoritativos estarían sujetos a una cualificación basada en el artículo 2.2.b). 2(2)(b) – (g), donde también el número de nombres de dominio alojados por el servicio podría formar parte de las consideraciones. 

Introducción y contexto

La Comisión Europea, el 16 de diciembre de 2020, adoptó una propuesta de Directiva revisada sobre la seguridad de las redes y los sistemas de información (Directiva NIS 2) . Cambia la perspectiva de la seguridad y la gestión de incidentes para los servicios sociales esenciales e importantes con respecto a la directiva NIS existente (2012), adoptando un enfoque sistémico para abordar las amenazas a la sociedad digital. Citando a la Comisión: «Ahora, cualquier perturbación, incluso la que se limita inicialmente a una entidad o a un sector, puede tener efectos en cascada más amplios, lo que puede dar lugar a repercusiones negativas de gran alcance y duraderas en la prestación de servicios en todo el mercado interior» .

Para lograr los efectos sistémicos previstos, se incluyen más entidades en el ámbito de aplicación de la directiva. Mientras que hasta ahora los operadores se clasificaban dentro de sectores específicos esenciales para la sociedad, o como proveedores de servicios digitales, el proyecto de Directiva NIS2 suprime esa distinción, proporcionando «una lista de sectores y tipos de servicios en los que las entidades incluidas en el ámbito de aplicación de la NIS serían «esenciales», y una lista respectiva de sectores y tipos de servicios para las entidades «importantes»» . Reconoce que los operadores de servicios esenciales «dependen de determinados proveedores de servicios digitales, como los proveedores de servicios en la nube, lo que hace que estos últimos sean tan importantes o esenciales como los primeros y, por lo tanto, requieren un régimen regulador similar» .

La gestión de estas interdependencias en la red es muy importante para la evaluación de los riesgos de ciberseguridad y el establecimiento de la confianza. Durante la mitigación real de los incidentes de seguridad, la capacidad de contactar con todos los actores relevantes y colaborar es igualmente crucial. Esto se refleja en la nueva forma en que el proyecto de Directiva establece su alcance de servicios «esenciales» (Anexo I) e «importantes» (Anexo II), y qué tipo de entidades están incluidas en cada uno de ellos. En el caso del Anexo I, se incluyen las necesidades sociales obvias, como la energía, el transporte, las finanzas, la salud, la gestión del agua potable y residual, la administración pública y el espacio. También incluye la «infraestructura digital». 

La definición del tipo de «entidades esenciales» incluidas en la infraestructura digital se ha ampliado considerablemente en el proyecto de Directiva, y además de los «proveedores de servicios de computación en nube» ahora también incluye Proveedores de Puntos de Intercambio de Internet, proveedores de servicios de centros de datos, redes de distribución de contenidos y registros de dominios de primer nivel. 

Es significativo que también los «proveedores de servicios DNS» estén incluidos en la definición de infraestructura digital. La evaluación de impacto aclara la intención y el propósito de incluirlos como «servicios esenciales»:

Con el fin de garantizar que las entidades pequeñas o microempresas que, sin embargo, son de importancia crítica para las actividades sociales o económicas, no queden fuera del ámbito de aplicación de la SRI, se establecerán excepciones a la regla del límite de tamaño. 

[…] 

(iv) una posible interrupción del servicio prestado por la entidad podría inducir riesgos sistémicos, en particular para los sectores en los que dicha interrupción podría tener un impacto transfronterizo, 

[…]

«Los registros de nombres de dominio de primer nivel y los proveedores de servicios de sistemas de nombres de dominio (DNS) también quedarían excluidos de la norma de límite de tamaño». 

Resaltar explícitamente los registros de nombres de dominio de primer nivel y el servicio de DNS (ccTLD) que prestan está obviamente justificado, dado que los incidentes a este nivel tienen efectos nacionales o (para «.eu») a nivel de la Unión. 

También se incluye específicamente el «gran número de registradores de nombres de dominio y empresas de alojamiento web», según la cual éstos «ofrecen resolución autorizada de DNS como parte de sus servicios de registro de dominios«. Dado que la mayoría de los registradores de nombres de dominio ofrecen sus servicios a todos los usuarios, y que por lo tanto también las entidades que prestan servicios esenciales o importantes podrían depender del servicio de DNS autoritativo ofrecido por estos registradores o empresas de alojamiento web, incluir a los que ofrecen públicamente estos servicios de DNS autoritativo – independientemente de su tamaño – podría estar bien justificado.

Hay un tipo de servicio de DNS que no se discute en la Evaluación de Impacto, ni en ninguna parte del proyecto de Directiva y de los documentos auxiliares: aquellas entidades no esenciales y no importantes que – habiendo configurado su nombre de dominio añadiendo sus servidores de nombres en el dominio ccTLD, proceden a operar el servicio de DNS autoritativo para ese dominio completamente por sí mismas. La integridad y disponibilidad de la resolución de su nombre de dominio no depende más que del servicio DNS del ccTLD y de su propia infraestructura local y autogestionada. Ninguna otra parte interviene en el suministro del servicio. Los usuarios finales de Internet y otros proveedores de servicios DNS recursivos tratan directamente con el servicio de nombres de dominio autoritativo que posee y gestiona la propia organización. 

Este tipo de organizaciones de «DNS autogestionado», aparte de contar con algún personal experto en TIC, nunca ha pretendido ser una «infraestructura digital». Tampoco es, por el mero hecho de operar su propio servidor DNS autoritativo, de repente de naturaleza esencial para la economía o la sociedad.

Tal y como está redactada actualmente, tiene un efecto aún más inesperado: dado que las personas físicas están incluidas explícitamente en la definición de «entidad» (art. 4), también cualquier aficionado a la informática que gestione un dominio personal o familiar utilizando un servidor de nombres de dominio en un domicilio particular, en un makerspace o en casa de un amigo (proporcionando así incluso la redundancia comúnmente requerida por los operadores de ccTLD), es un «proveedor de servicios de DNS» en la definición actual – y en consecuencia tiene que registrarse en ENISA y está sujeto al régimen de supervisión del art. 25 para la supervisión. Parece poco probable que ENISA o las autoridades nacionales de supervisión den la bienvenida a un número tan incuantificable de aficionados a la informática.

El sistema de nombres de dominio se describe justamente en la evaluación de impacto como «un sistema jerárquico de nomenclatura distribuida que permite a los usuarios finales acceder a servicios y recursos en la Internet abierta». Las hojas de la jerarquía son dominios individuales propiedad de organizaciones y personas físicas, que a menudo pueden y se mantienen en términos de servicios TIC.

Los proveedores de servicios DNS en el proyecto de Directiva

El proyecto de Directiva NIS2 publicado el 16 de diciembre establece en el considerando: 

Mantener y preservar un sistema de nombres de dominio (DNS) fiable, resistente y seguro es un factor clave para mantener la integridad de Internet y es esencial para su funcionamiento continuo y estable, del que dependen la economía y la sociedad digitales. Por lo tanto, la presente Directiva debe aplicarse a todos los proveedores de servicios de DNS a lo largo de la cadena de resolución del DNS, incluidos los operadores de servidores de nombres raíz, servidores de nombres de dominio de primer nivel (TLD), servidores de nombres autoritativos para nombres de dominio y resolutores recursivos.

El texto hace hincapié en la «integridad de Internet» y en la dependencia de la economía y la sociedad digitales de la misma, y a continuación procede a decir que debe aplicarse a los «servidores autoritativos de nombres de dominio», sin matizar más esta afirmación. Sin embargo, a la vista de lo expuesto en la evaluación de impacto y dado el objetivo de la Directiva NIS2, no todas las hojas de la jerarquía del DNS tienen la misma importancia.

Las definiciones del artículo 4 también incluyen la descripción global del servicio DNS:

Por «proveedor de servicios DNS» se entiende una entidad que presta servicios de resolución de nombres de dominio recursivos o autoritativos a los usuarios finales de Internet y a otros proveedores de servicios DNS;

Sin embargo, con una definición tan amplia de «proveedor de servicios DNS» como la que figura en el proyecto de artículo 4, el ámbito de aplicación de la directiva se amplía inesperadamente para incluir también cualquier servicio de resolución de nombres de dominio autoritativo «de hoja» operado por cualquier organización autogestionada, independientemente de la naturaleza o el tamaño de dicha organización (art. 2 (2)(a)(iii):

2. No obstante, independientemente de su tamaño, la presente Directiva también se aplica a las entidades mencionadas en los anexos I y II, cuando

(a) los servicios sean prestados por una de las siguientes entidades:

[…]

iii) los registros de nombres de dominio de primer nivel y los sistemas de nombres de dominio (DNS) proveedores de servicios a los que se refiere el punto 8 del Anexo I;

Inadvertidamente, al combinar la definición excesivamente amplia de «proveedor de servicios de DNS» con la inclusión generalizada de los «proveedores de servicios de sistemas de nombres de dominio (DNS)» a través del Art. 2(2)(a)(iii), todas las entidades que gestionan su propio servidor de nombres de dominio autorizado, independientemente de su tamaño y de su naturaleza o importancia para la economía, la sociedad o la infraestructura digital en su conjunto, entran en el ámbito de aplicación de la Directiva NIS2.

Un impacto involuntario con grandes consecuencias

El proyecto de Directiva, tal y como está redactado, supone implícitamente que el funcionamiento de un servicio de resolución de nombres de dominio se produce única y exclusivamente como parte del registro de nombres de dominio o del alojamiento web. Tanto el proyecto de Directiva como la evaluación de impacto que lo acompaña no reconocen la práctica habitual por la que las organizaciones, tras registrar un nombre de dominio en un registro de nombres de dominio de primer nivel (país) (operador de ccTLD), gestionan su propio servicio de DNS autoritativo y autogestionado para resolver los nombres de dominio que poseen y gestionan ellas mismas. 

Las organizaciones que se encargan de su propio servicio de nombres DNS son comunes, tanto entre las grandes empresas privadas como en organizaciones que disponen de su propia experiencia digital, como los centros académicos y de investigación. Sin embargo, éstas no son, por su alcance o impacto social, entidades «esenciales» o «importantes» en la «cadena de resolución de DNS», tal como pretende el proyecto de Directiva. Por ejemplo, entre las empresas destacadas del primer grupo se encuentran Unilever y sus marcas (como «knorr.de» para sopas y platos preparados), Skoda («skoda.cz»), Ferrari («ferrari.it») o la empresa sueca de herramientas Sandvik («sandvik.se»). Entre las entidades con experiencia interna también se encuentran un gran número de universidades e institutos de investigación que gestionan servicios de DNS autorizados para los dominios que poseen, laboratorios de investigación como Nikhef («nikhef.nl»), CERN («cern.ch»), o ESRF Grenoble («esrf.fr»), y universidades de toda Europa.

Es evidente que el impacto social de la indisponibilidad de un dominio de este tipo es limitado, y sus efectos no son en absoluto sistémicos. Un fallo en la prestación de su servicio de DNS afectaría única y exclusivamente a su propia organización y dominios (marcas), y no tiene ningún impacto sistémico. 

Sin embargo, por el hecho de ser proveedores de servicios de DNS -para sus propios dominios-, entran en el ámbito de aplicación de la directiva al estar incluidos en el anexo I («entidades esenciales») sub 8 y ser clasificados como «entidades esenciales». Además, este ámbito de aplicación no está limitado por la regla del límite de tamaño, que inadvertidamente no se aplica, ya que cualquier proveedor de servicios DNS está explícitamente incluido en el ámbito de aplicación debido al art. 2(2)(a) sub (iii). 

Pero la imposibilidad temporal de ver una página en la sopa, o las especificaciones de un nuevo Ferrari, o los resultados de un experimento científico, tienen obviamente un impacto social insignificante. 

De la evaluación de impacto se desprende que la intención de la directiva es dirigirse a los proveedores de servicios de DNS para los que la explotación de estos servicios forma parte de su negocio:

Para la infraestructura digital, las opciones 3 no parecen aportar cambios considerables en cuanto a la cobertura de las entidades. En concreto, los Estados miembros han identificado 173 entidades de este tipo como OES, mientras que hay 28 grandes dominios de nivel superior de código de país (ccTLD); […]; para la resolución autorizada del DNS: dos servidores de nombres raíz, 28 grandes entidades ccTLD y un gran número de registradores de nombres de dominio y empresas de alojamiento web, […] .

donde el «gran número de registradores de nombres de dominio y empresas de alojamiento web» gestionan servicios DNS (autoritativos) que cualquiera puede adquirir, y a menudo alojan entre decenas de miles y millones de nombres de dominio. Para estos proveedores, los incidentes que afecten al servicio de DNS repercutirán en un gran número de clientes -es decir, tendrán un efecto no sólo en su propia organización- y, por lo tanto, podrían tener un impacto en la seguridad pública, la seguridad pública o la salud pública (art. 2(2)(d)) o inducir un riesgo sistémico (art. 2(2)(e)). 

Sin embargo, las organizaciones que operan su propio servicio de DNS no fueron claramente tenidas en cuenta en la evaluación de impacto, ni consultadas, ni consideradas al redactar la definición de «proveedor de servicios de DNS» en el artículo 4 del proyecto de directiva:

Por «proveedor de servicios DNS» se entiende una entidad que presta servicios de resolución de nombres de dominio recursivos o autoritativos a los usuarios finales de Internet y a otros proveedores de servicios DNS..;

Un servicio DNS autoritativo, «autogestionado» y específico de una organización tiene que proporcionar ipse facto un «servicio de resolución de nombres de dominio» a «otros proveedores de servicios DNS» (concretamente a los resolutores DNS recursivos), así como a los «usuarios finales», ¡para que éstos puedan resolver los nombres de dominio propios de esa empresa!

Pero el servicio de DNS de la organización no tiene por qué ser gestionado por un registrador de nombres (el registro de nombres es una función bastante independiente de la prestación de servicios de DNS), ni por una empresa de alojamiento web (que probablemente no esté involucrada en absoluto, porque Internet y el DNS no son exclusivos del contenido web, y tampoco una organización se convierte en una «empresa de alojamiento web» simplemente por gestionar su propio sitio web). 

La redacción de la definición de «proveedor de servicios de DNS» en el artículo 4 (14) es, por tanto, demasiado amplia y va más allá de su intención e impacto declarados. Para las organizaciones que gestionan por sí mismas su servicio de DNS autoritativo, la «opción 3» (el proyecto de Directiva NIS2) «aporta cambios considerables en cuanto a la cobertura de las entidades». Decenas de miles, si no más, de organizaciones, pequeñas y grandes, e incluso sin tener en cuenta el límite de tamaño para las PYMES, se ven de repente incluidas en el ámbito de aplicación, simplemente porque operan su propio servidor DNS autoritativo para sus propios dominios. Incluso atrae a los individuos que son entusiastas de la informática y gestionan su propio servicio autoritario para sus dominios domésticos o familiares.

Esto no significa que las organizaciones afectadas corran un riesgo específico de incidentes de ciberseguridad en su servicio de DNS; sus servicios suelen ser resistentes por diseño y altamente disponibles. Las organizaciones ya están incentivadas para diseñar y operar su servicio de esta manera, tanto por requisitos implícitos del operador de ccTLD (que normalmente insiste en la redundancia del servicio), como por su propia voluntad, dado que el dolor para su propia organización es mucho mayor que el impacto social más amplio. El proyecto de Directiva NIS2 no cambiaría eso ni mejoraría la postura de ciberseguridad, sino que sólo añadiría cargas administrativas a entidades que no son ni «esenciales» ni «importantes». 

La evaluación de impacto no tiene en cuenta la importante sobrecarga administrativa y reglamentaria que se impone a organizaciones que hasta ahora no estaban sujetas a la Directiva NIS, y que no se pretendía que estuvieran sujetas a la NIS2, pero que ahora se incluyen inadvertidamente en su ámbito de aplicación. Además, con la clasificación de los «proveedores de servicios de DNS» como entidades «esenciales» en el Anexo I (8), todas estas entidades, tanto privadas como académicas, estarían sujetas a una «supervisión y aplicación de la ley para las entidades esenciales» más intensa en virtud del Art. 29 – sólo por el hecho de operar su propio servicio de DNS autorizado. 

Asimismo, esta inclusión inadvertida crea una carga considerable y grave tanto para los organismos nacionales de supervisión como para ENISA, donde todas estas entidades tienen que registrarse, y que tendrán que procesar y enviar su información a las ventanillas únicas de los estados miembros. 

Las autoridades competentes de cada Estado miembro también tienen que aplicar el régimen de las «entidades esenciales» (artículo 29), que requiere muchos recursos y administración, a todas estas organizaciones que, de otro modo, no serían esenciales, lo que supone un desperdicio de recursos que podrían haberse empleado de forma más provechosa en mejorar la situación de la ciberseguridad de las entidades verdaderamente esenciales.

Conclusión y propuesta de resolución

El proyecto de Directiva NIS2, en su redacción actual, incluye inadvertidamente a las organizaciones que autogestionan sus servicios de resolución de nombres de dominio en la definición de «proveedor de servicios DNS» del art. 4.4, aunque dichas entidades no sean esenciales o importantes, tal y como se entiende en el proyecto de Directiva NIS2, y no se considerarían en su ámbito de aplicación de otro modo. Tales organizaciones, que existen en gran número tanto en el sector privado como en el académico, no fueron consideradas en la evaluación de impacto de la Comisión. La inclusión de estas organizaciones supondría una carga excesiva tanto para los organismos reguladores implicados (por el aumento del número de organizaciones sujetas) como para las propias organizaciones (por tener que lidiar con el régimen de registro y supervisión ex ante).

Para que la Directiva surta el efecto deseado, debe reconocerse la existencia de la prestación de servicios de DNS autogestionados. El cambio textual más pequeño podría ser una modificación de la definición de «proveedor de servicios de DNS» del artículo 4 (14) del proyecto de directiva NIS2. Donde actualmente dice

(14) «Proveedor de servicios DNS» es una entidad que proporciona servicios de resolución de nombres de dominio recursivos o autoritativos a los usuarios finales de Internet y a otros proveedores de servicios DNS;

esta definición puede utilizarse para aclarar que las organizaciones que autogestionan su servicio DNS no están incluidas en el ámbito de «proveedor de servicios DNS», por ejemplo, actualizando la definición para que diga

(14) «Proveedor de servicios DNS»: una entidad que proporciona servicios de resolución recursiva de nombres de dominio a los usuarios finales de Internet y a otros proveedores de servicios DNS, o una entidad que proporciona resolución autorizada de nombres de dominio como un servicio adquirible por terceras entidades esenciales e importantes;

Una solución más sólida y compatible con la intención podría ser limitar la aplicabilidad del Art. 2 (2)(a)(iii) sólo a los registros de nombres de dominio de primer nivel y «[…] los proveedores de servicios de sistemas de nombres de dominio (DNS) mencionados en el punto 8 del Anexo I que presten servicios de resolución recursiva de nombres de dominio«. Aquellos proveedores de servicios de DNS autoritativos que tengan un valor sistémico para la infraestructura digital estarán, no obstante, cubiertos por los criterios del Art. 2(2)(b) – (g). De este modo, se mantiene la posibilidad de designar a determinados proveedores de servicios DNS autoritativos como «esenciales».

Como alternativa, podría considerarse un valor umbral para el número de dominios gestionados por el proveedor de servicios DNS en la definición, o en el propio artículo 2 (2). Por ejemplo, sólo los proveedores autorizados con más de 100.000 dominios registrados a entidades en cualquier estado miembro podrían entrar en la definición de cualificación.

De este modo, se garantiza el efecto previsto de reducir el impacto de los incidentes sobre la seguridad pública, la seguridad pública o la salud pública (art. 2 (2) (d)) y la reducción del riesgo sistémico (art. 2 (2) (e)), de una manera que reconoce plenamente el alcance de los proveedores de servicios de DNS como se indica en la evaluación de impacto.

Puedes acceder al documento original en a continuación:

es_ESSpanish