Профил на Christina Mercuriadi

Становище по прилагане на Директивата NIS2: постигане на целта на член 28 за публичен достъп до надеждна информация за WHOIS (част 4)

• Проверка: Процедурите за проверка на данните от WHOIS трябва да бъдат надеждни и постоянно актуализирани, за да отразяват подобренията в технологиите и процесите. Както е посочено в съображение 111 от Директива NIS2, тези процедури следва да "предотвратяват и коригират неточни данни за регистрация" и следва да "отразяват най-добрите практики, използвани в индустрията [. . .], и напредъка, постигнат в областта на електронната идентификация" и следва да включват както "предварителни проверки, извършвани по време на регистрацията, така и последващи проверки, извършвани след регистрацията".

Въпреки че регистрите на имена на ДПН може да не са в състояние да проверяват данните от WHOIS по време на регистрацията, тъй като първоначалното събиране на данните обикновено се извършва от регистраторите и/или услугите за защита на личните данни/прокси сървърите, те със сигурност могат да предприемат последващи процедури за проверка на данните от WHOIS. Препоръчваме законопроектът да направи задължителни предварителните и последващите процедури за проверка за регистрите на имена на ДПН.

Освен това следва да се предвидят последици за подаването на неправилни, неточни или непълни регистрационни данни. Ние категорично подкрепяме прилагането на този подход   от страна на Белгия⁵ при транспонирането на член 28 от Директива NIS2, както следва:

"Ако данните за регистрация на име на домейн, изброени в параграф 1, точка 2 на име на домейн, са неправилни, неточни или непълни, регистрите на имена на домейни от първо ниво и организациите, предоставящи услуги за регистрация на имена на домейни, незабавно блокират работата на това име на домейн, докато притежателят на името на домейн не коригира данните за регистрация, така че те да станат правилни, точни и пълни.

Ако регистрантът на име на домейн не направи това в рамките на срока, определен от регистъра на име на домейн от първо ниво или от организацията, предоставяща услуги за регистрация на имена на домейни, името на домейн се анулира.

Трансферът на блокирано име на домейн към друга организация, предоставяща услуги по регистрация на имена на домейни, е забранен."

• Пълен регистър WHOIS (Thick WHOIS): Регистърът на единни имена на ДПН за .com и .net отговаря за повече от половината от всички регистрирани имена на домейни в световен мащаб и има договори с повече от 2000 регистратори по целия свят. Понастоящем правителствените агенции и други лица, които търсят законен достъп, са принудени да открият съответния регистратор, за да поискат данни от WHOIS. Трудният процес, който това налага, както и фактът, че регистраторът може да се намира в държава, която не сътрудничи по отношение на такива искания, напълно подкопават целта за повишаване на киберсигурността и вместо това служат за прикритие и защита на незаконните участници.

Поради това е от съществено значение този регистър, както и всички други регистри на имена на ДПН, да поддържат пълна, точна и независима база данни на WHOIS за всички имена на домейни, които администрират (наричана "дебела WHOIS"), като тези данни трябва да включват данните на действителния потребител на името на домейна, а не просто данните на доставчика на услуги за защита на личните данни или прокси, които може да са били използвани в процеса на регистрация (вж. по-горе). Това съществено изискване ще гарантира, че правоприлагащите органи и други лица, законно търсещи достъп, разполагат с централизиран и единен източник, от който да черпят пълни и точни данни за всяко име на домейн, администрирано от регистъра на имена на ДПН.

Стан МакКой

Президент и Управляващ директор на МРА за Европа, Близкия изток и Африка

Становище по прилагане на Директивата NIS2: постигане на целта на член 28 за публичен достъп до надеждна информация за WHOIS (част 3)

Поради това при транспонирането на Директива NIS2 на национално равнище трябва да се вземе предвид популярността на услугите за прокси сървъри или за защита на личните данни сред лицата, извършващи незаконни и вредни дейности онлайн.  Когато се подава законно искане за достъп, трябва да се разкрият основните данни на действителния клиент/ползвател на името на домейна, а не само данните на доставчика на услугата за защита на личните данни или прокси услугата, ако такава услуга за защита на личните данни или прокси услуга е била използвана в процеса на регистрация.

Ето защо приветстваме факта, че в българския проектозакон се пояснява, че понятието "доставчик на услуги за регистрация на имена на домейни" следва да се разбира като обхващащо доставчиците и препродавачите на услуги за защита на личните данни и прокси услуги. Въпреки това бихме препоръчали също така проектозаконът да включва изрично следната формулировка при прилагането на член 28 от Директивата NIS2: "При предоставянето на данни в отговор на законни искания за достъп регистрите на имена на ДПН и организациите, предоставящи услуги за регистрация на имена на домейни, предоставят данните на действителния ползвател на името на домейна и не могат да предоставят вместо това данните на доставчика на услуги за защита на личните данни или данните на доставчика на прокси услуги за регистрация, които може да са били използвани в процеса на регистрация на името на домейна."

• Третиране на въпроса за предотвратяване на мащабни злоупотреби с DNS: Киберпрестъпниците често регистрират множество, понякога дори хиляди, имена на домейни за кратък период от време. Това се отнася особено за фишинг, разпространение на зловреден софтуер и съдържание, нарушаващо авторските права. Гарантирането, че търсещият законен достъп може да получи списък на всички имена на домейни, регистрирани с помощта на едни и същи данни за регистранта (обратна проверка на WHOIS), е от съществено значение, когато се подозират сложни и разпръснати незаконни дейности в такъв мащаб. Ето защо препоръчваме член 28 от Директива NIS2 да бъде транспониран така, че да позволява, че "когато име на домейн е свързано с неправомерна или незаконна дейност и това се твърди от законно търсещо достъп лице, то регистрите на имена на ДПН и организациите, предоставящи услуги по регистрация на имена на домейни, трябва при поискване да предоставят на законно търсещото достъп лице списък на всички имена на домейни, които те администрират или са регистрирали със същите данни за регистранта". 

• Юридически лица: Данните от WHOIS на юридическите лица (най-малко име и работещ/проверен телефонен номер и работещ/проверен имейл адрес за връзка) трябва да бъдат публично достъпни съгласно член 28, параграф 4  във връзка със съображение 112 от Директивата NIS2.

Стан МакКой

Президент и Управляващ директор на МРА за Европа, Близкия изток и Африка

Становище по прилагане на Директивата NIS2: постигане на целта на член 28 за публичен достъп до надеждна информация за WHOIS (част 2)

По-долу са посочени следните приоритети и препоръки за осигуряване на адекватно прилагане на член 28 и съображения 109-112 от Директива NIS2 и за значително увеличаване на достъпността и точността на данните от WHOIS:   

• Лица, законно търсещи достъп и данни: Съображение 110 дефинира "законно търсещия(ите) достъп" до данните от WHOIS по смисъла на член 28 параграф 5 от Директива NIS2 като "всяко физическо или юридическо лице, което отправя искане съгласно правото на Съюза или националното право".  

Настоятелно призоваваме българският законодател да преразгледа обхвата на член 27в алинея 4, който е изключително тесен и задължава регистрите на имена на домейни от първо ниво (TLD/ДПН) и организациите, предоставящи услуги по регистрация, да си сътрудничат само с националните компетентни органи и органите на досъдебното производство. Обхватът следва да бъде разширен, така че да включва и всяко физическо или юридическо лице, което отправя искане за достъп до данни от WHOIS с цел разследване на правонарушение, включително, без ограничение, за установяване, упражняване или защита на киберсигурност, интелектуална собственост, защита на потребителите или други правни претенции в качеството си на лице, "законно търсещ(и) достъп". Това разширяване на кръга легитимирани лица е  от решаващо значение за осигуряването на достъп до конкретни данни за регистрация на имена на домейни при законни и надлежно обосновани искания.

Описаното съответства с наскоро публикуваната препоръка на Европейската комисия относно борбата с фалшифицирането, която насърчава субектите, предоставящи услуги по регистрация на имена на домейни в ЕС, да признават всички физически или юридически лица, които отправят искане за право на информация (ROI) съгласно Директива 2004/48/ЕО относно упражняването на права върху интелектуалната собственост (IPRED), за лица, законно търсещи достъп.

Въз основа на изложеното предлагаме настоящата редакция на член 27в алинея 4 да бъде изменена така, че да задължи регистрите на имена на ДПН и организациите, предоставящи услуги за регистрация на имена на домейни, да сътрудничат на законно търсещите достъп, което следва да включва всяко физическо или юридическо лице, което подава искане за достъп до данни от WHOIS за разследване на правонарушение, включително, без ограничение, за установяване, упражняване или защита на киберсигурност, интелектуална собственост, защита на потребителите или други правни претенции.

Освен това достъпът до данни от WHOIS съгласно съображение 112 от Директива NIS2 трябва да бъде безплатен и тези данни трябва да се предоставят при поискване от законно търсещия достъп без неоправдано забавяне.

Бихме искали да обърнем внимание на неотдавнашното белгийско транспониране, което включва "всяко лице в контекста на нарушения на права върху интелектуална собственост или сродни права" в списъка на лицата, които се считат за лица, законно търсещи достъп за целите на исканията за предоставяне на достъп до данни за регистрация на имена на домейни. Ето защо, с уважение насърчаваме българските власти да приложат подобен подход, за да се даде възможност за ефективно наблюдение и борба с незаконните дейности онлайн.

• Третиране на въпроса за използването на прокси услуги/ услуги за защита на личните данни:  В проучване на Службата на ЕС за интелектуална собственост (EUIPO) от 2021 г. се отбелязва, че "значителен процент от имената на домейни, използвани за извършване на незаконни или вредни дейности в интернет, са регистрирани чрез услуги за защита на личните данни или прокси услуги" и че след влизането в сила на Общия регламент за защита на данните обосновката на законното използване на услуги за защита на личните данни или прокси услуги "е поставена под въпрос".

Стан МакКой

Президент и Управляващ директор на МРА за Европа, Близкия изток и Африка

Становище по прилагане на Директивата NIS2: постигане на целта на член 28 за публичен достъп до надеждна информация за WHOIS (част 1)

The Motion Picture Association (MPA) служи като глобален глас и защитник на международната филмова, телевизионна и стрийминг индустрия. Наши членове са Walt Disney Studios Pictures, Netflix Studios, LLC, Paramount Pictures Corporation, Sony Pictures Entertainment Inc., Universal City Studios LLC и Warner Bros. Discovery. Компаниите, членуващи в MPA, продуцират и инвестират значителни средства в производството на европейско аудиовизуално съдържание, което намира и глобална аудитория чрез тяхното разпространение.  

MPA играе водеща роля в борбата с незаконното разпространение на защитено съдържание, което вреди на развитието на дигиталната екосистема. Целта на MPA е да намали и овладее ефектите от пиратството чрез ефективни стратегии за правоприлагане, насочени към операторите на незаконни сайтове и услуги, както и към посредниците, които предоставят технически условия за тяхната дейност.   

МРА приветства предприетите действия по транспониране на преработената Директива относно сигурността на мрежовите и информационните системи (Директива NIS2), и по-специално разпоредбите на член 28 и съображения 109-112, свързани с услугите за регистрация на домейни. Осигуряването на достъп до надеждни данни за регистрантите ("WHOIS данни") е от съществено значение за борбата с незаконното и вредно съдържание онлайн, включително съдържанието, нарушаващо авторските права, и за защитата на здравето и сигурността на гражданите.  

Следва да се отбележи, че проучването на Европейската комисия относно злоупотребите с DNS от 2022 г. посочва проверката на данните от WHOIS като една от основните препоръки за предотвратяване, откриване и намаляване на злоупотребите с DNS. Европейската комисия също така неотдавна призна в Препоръката за борба с фалшифицирането от 2024 г., че "точността и пълнотата на данните за регистрация на име на домейн също може да играе централна роля при прилагането на правата върху интелектуалната собственост", като допълнително подчерта необходимостта предоставените данни за регистрация да бъдат точни, проверени и да се отнасят до действителния ползвател на името на домейна, а не просто до доставчик на услуги за защита на личните данни или прокси.  

По изложените причини приветстваме възможността да представим нашите коментари относно българския проектозакон и по-специално нашите опасения относно изключително ограничения обхват на проекта на член 27в алинея 4.

Стан МакКой

Президент и Управляващ директор на МРА за Европа, Близкия изток и Африка