Gilt NIS2 für meine Organisation, wenn wir DNS nur nutzen, aber nicht anbieten?

Möglicherweise ja. NIS2 deckt zahlreiche Sektoren ab (Energie, Verkehr, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Produktion kritischer Güter, Lebensmittel, Postdienste usw.) und gilt für mittlere und große Einrichtungen (≥50 Beschäftigte oder ≥10 Mio. EUR Umsatz) in diesen Sektoren. Wenn Sie unter den Anwendungsbereich fallen, erstrecken sich Ihre Lieferkettensicherheitspflichten nach Artikel 21(2)(d) auch auf Ihren DNS-Anbieter — Sie müssen sich vergewissern, dass dieser gleichwertige Standards einhält.

Werden DNS-Anbieter ausdrücklich in NIS2 genannt?

Ja. Anhang I führt 'Anbieter von DNS-Diensten' (neben Top-Level-Domain-Namensregistern, Internetknoten-Betreibern und anderen Betreibern digitaler Infrastruktur) als wesentliche Einrichtungen auf. Damit befinden sich DNS-Anbieter in der strengsten Stufe — proaktive Aufsicht, verpflichtende Vorfallmeldung und höchste Bußgeldobergrenze.

Was muss ein DNS-Anbieter unter NIS2 melden?

Einen 'erheblichen Vorfall' — definiert als Vorfall, der eine Betriebsstörung, einen finanziellen Verlust oder eine Beeinträchtigung anderer Einrichtungen verursacht. Für DNS umfasst das: längere Ausfälle der autoritativen Dienste in einer Region, DDoS-Angriffe, die einen Kunden über längere Zeit offline nehmen, durch Anbieterfehler verursachte DNSSEC-Validierungsausfälle, unbefugter Zugriff auf Zonendaten oder Kompromittierung privater DNSSEC-Schlüssel. Zeitplan nach Artikel 23: Frühwarnung innerhalb von 24 Stunden, vollständige Vorfallmeldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats.

Worauf sollte ich bei der Wahl eines DNS-Anbieters für die NIS2-Konformität achten?

Dokumentierte Maßnahmen nach Artikel 21 (Vorfallbearbeitung, Kryptografie, Lieferkettenkontrollen), öffentliche Sicherheitslage (security.txt, Schwachstellenmeldung, Post-Incident-Berichte), DNSSEC-Unterstützung, Multi-Region-Anycast für Resilienz, nachgewiesener Vorfallmeldungsworkflow und Datenresidenz-Optionen für DNS-Abfrageverkehr, falls Ihr Sektor dies fordert. Die EU-Gerichtsbarkeit ist relevant: Die NIS2-Aufsicht erfolgt pro Mitgliedstaat, und ein nicht-EU-Anbieter kann zusätzliche Komplexität bedeuten.

Worin unterscheidet sich NIS2 von der ursprünglichen NIS-Richtlinie?

NIS1 (2016) deckte weniger Sektoren ab und wurde nur schwach durchgesetzt — viele Mitgliedstaaten setzten sie minimal um. NIS2 (2022, Umsetzungsfrist Oktober 2024) hat den Anwendungsbereich deutlich erweitert (mehr Sektoren, niedrigere Größenschwellen), die Aufsicht verbindlich gemacht, die Bußgelder erhöht (bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes für wesentliche Einrichtungen) und persönliche Haftung des Managements eingeführt. Sie gilt in allen 27 EU-Mitgliedstaaten mit harmonisierten Grundregeln.

Mein Anbieter ist nicht in der EU — bin ich automatisch nicht konform?

Nicht automatisch. NIS2 verbietet keine Anbieter aus Drittstaaten, aber Artikel 21(2)(d) verpflichtet Sie, das Lieferkettenrisiko zu managen — was bedeutet, dass Sie nachweisen müssen, dass Ihr DNS-Anbieter, unabhängig vom Sitz, gleichwertige Standards einhält. EU-ansässige Anbieter vereinfachen den Nachweis (eine Gerichtsbarkeit, GDPR-konform, NIS2 unmittelbar anwendbar). Anbieter aus Drittstaaten erfordern zusätzliche vertragliche und technische Sorgfaltspflichten.

NIS2 und DNS — Was regulierte EU-Betreiber wissen müssen

Wie die NIS2-Richtlinie (EU 2022/2555) auf DNS angewendet wird — Anbieterpflichten, Risikomanagementmaßnahmen, Vorfallmeldung und worauf Sie bei Ihrem DNS-Lieferanten achten sollten.

Updated 5 May 2026

TL;DR

Die NIS2-Richtlinie (EU 2022/2555) führt 'DNS-Diensteanbieter' als wesentliche Einrichtungen — sie müssen Risikomanagementmaßnahmen umsetzen (Art. 21), erhebliche Vorfälle innerhalb von 24/72 Stunden melden (Art. 23), und bei Nichteinhaltung drohen Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Betreiber, die auf DNS angewiesen sind, müssen die NIS2-Bereitschaft ihres Anbieters prüfen und ihre eigenen DNS-betreffenden Prozesse (Delegation, DNSSEC, Change Management) an die Richtlinie ausrichten.

What you'll learn

Verstehen, welche Einrichtungen unter NIS2 fallen und wo DNS-Anbieter einzuordnen sind
Die Risikomanagementmaßnahmen aus Artikel 21 identifizieren, die für den DNS-Betrieb gelten
Die NIS2-Vorfallmeldungsfristen (24h / 72h / 1 Monat) auf DNS-spezifische Vorfälle abbilden
Eine kundenseitige Checkliste zur Bewertung der NIS2-Konformität eines DNS-Anbieters erstellen

Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555) ist die zentrale Cybersicherheitsverordnung der EU. Sie erweitert und verschärft die ursprüngliche NIS-Richtlinie, hebt die Cybersicherheits-Mindestanforderungen in der gesamten Union an und nimmt Zehntausende neuer Einrichtungen in den Anwendungsbereich auf. Für jeden, der DNS in oder für die EU betreibt, ist NIS2 nicht mehr optional — sie ist die rechtliche Untergrenze.

Dieser Leitfaden behandelt, was NIS2 speziell für DNS bedeutet: welche Einrichtungen unter den Anwendungsbereich fallen, wie die Risikomanagementmaßnahmen aus Artikel 21 im DNS-Betrieb aussehen, welche Fristen DNS-Anbieter bei Vorfallmeldungen einhalten müssen und eine kundenseitige Checkliste zur Bewertung Ihres DNS-Lieferanten.

Was NIS2 ist und warum es sie gibt

NIS2 wurde im Dezember 2022 verabschiedet, und die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, sie in nationales Recht umzusetzen. Sie ersetzt die NIS-Richtlinie von 2016 (NIS1), die wegen uneinheitlicher Durchsetzung, enger sektoraler Abdeckung und schwacher Aufsichtsbefugnisse breit kritisiert wurde.

Erklärtes Ziel der Richtlinie ist es, ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union zu schaffen. Dies geschieht durch:

Erweiterung der Liste der Sektoren im Anwendungsbereich, einschließlich digitaler Infrastruktur, öffentlicher Verwaltung, Lebensmittelproduktion und Abfallwirtschaft.
Senkung der Größenschwellen — die meisten mittleren Organisationen (≥50 Beschäftigte oder ≥10 Mio. EUR Umsatz) sind nun einbezogen.
Vorgabe zweier Aufsichtsstufen: wesentliche Einrichtungen (proaktive Aufsicht, höchste Pflichten) und wichtige Einrichtungen (reaktive Aufsicht, etwas geringere Anforderungen).
Erhöhung der Bußgelder: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen, 7 Mio. EUR oder 1,4 % für wichtige Einrichtungen.
Einführung der persönlichen Haftung von Leitungsorganen, die Cybersicherheitspflichten nicht erfüllen.
Harmonisierung der Vorfallmeldungsfristen und -inhalte EU-weit.

Wenn Ihre Organisation in den Anwendungsbereich fällt, ist NIS2 kein lockerer Compliance-Rahmen. Nationale Aufsichtsbehörden (BSI in Deutschland, ANSSI in Frankreich, NCSC-NL in den Niederlanden usw.) haben jetzt ausdrückliche Befugnisse zu Inspektionen, Audits und Bußgeldern.

Wo DNS in NIS2 sitzt

Anhang I von NIS2 listet die Sektoren mit hoher Kritikalität. Unter der Rubrik „Digitale Infrastruktur" werden folgende ausdrücklich als wesentliche Einrichtungen genannt:

Internetknoten-Betreiber
DNS-Diensteanbieter (mit Ausnahme der Betreiber von Root-Nameservern)
TLD-Namensregister
Cloud-Computing-Diensteanbieter
Rechenzentrumsdiensteanbieter
Anbieter von Inhalte-Auslieferungsnetzen
Vertrauensdiensteanbieter (eIDAS)
Anbieter öffentlicher elektronischer Kommunikationsnetze
Anbieter öffentlich verfügbarer elektronischer Kommunikationsdienste

Der Begriff „DNS-Diensteanbieter" ist breit. Er erfasst autoritative DNS-Anbieter (Einrichtungen, die Anfragen zu einer Zone beantworten — DNScale, Cloudflare DNS, Route 53, ClouDNS, DNS Made Easy, Dyn usw.), Betreiber öffentlicher rekursiver Resolver (Quad9, OpenDNS, Cloudflare 1.1.1.1, Google Public DNS) und Anbieter von Enterprise-/Managed-DNS-Diensten. Internes/privates DNS, das nur von einer Organisation genutzt wird, fällt grundsätzlich nicht als Dienst in den Anwendungsbereich, kann aber Bestandteil der breiteren Infrastruktur dieser Organisation sein.

Mitgliedstaaten können die Liste erweitern — der deutsche NIS2UmsuCG-Entwurf etwa behandelt einige Hostinganbieter umfassender als das EU-Mindestmaß.

Artikel 21 — Die Risikomanagementmaßnahmen

Artikel 21 ist das operative Herzstück von NIS2. Er verpflichtet wesentliche und wichtige Einrichtungen, „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen" zur Bewältigung von Cybersicherheitsrisiken zu treffen. Die Richtlinie listet 10 spezifische Maßnahmenkategorien:

Risikoanalyse und Sicherheitsleitlinien für Informationssysteme
Vorfallbearbeitung
Aufrechterhaltung des Betriebs, einschließlich Backup-Management und Wiederherstellung
Sicherheit der Lieferkette, einschließlich der Sicherheit der Beziehungen zu direkten Lieferanten und Diensteanbietern
Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Schwachstellenbehandlung und -offenlegung
Verfahren zur Bewertung der Wirksamkeit der Cybersicherheits-Risikomanagementmaßnahmen
Grundlegende Cyber-Hygiene-Praktiken und Cybersicherheitsschulungen
Leitlinien und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
Personalsicherheit, Zugriffskontrollrichtlinien und Asset-Management
Einsatz von Multi-Faktor-Authentifizierung oder kontinuierlicher Authentifizierung, gesicherte Sprach-/Video-/Textkommunikation und gesicherte Notfallkommunikationssysteme

Für DNS bedeutet das konkrete operative Anforderungen:

1. Vorfallbearbeitung bei DNS-Ausfällen und Kompromittierung

Ein DNS-Anbieter muss schriftliche Verfahren zur Reaktion auf Folgendes haben:

Autoritative Ausfälle an einem PoP, in einer Region oder global
DDoS-Angriffe gegen das Anycast-Netzwerk
Kompromittierung von Zonendaten (unbefugte Änderung von Kundendaten)
Kompromittierung von DNSSEC-Schlüsseln (Offenlegung privater KSK- oder ZSK-Schlüssel)
Kompromittierung von Betreiber-Konten, die zu Datensatzänderungen führen könnte

Verfahren müssen Erkennung, Eindämmung, Beseitigung, Wiederherstellung und Nachanalyse umfassen. Sie müssen getestet werden. Kunden sollten einen Sicherheitsansprechpartner, ein Incident-Response-Runbook und eine veröffentlichte RTO/RPO für den DNS-Dienst erwarten dürfen.

2. Kryptografie wo angemessen

DNSSEC ist die direkt relevanteste kryptografische Kontrolle für DNS. Nach Artikel 21(2)(h) läuft ein DNS-Anbieter, der DNSSEC gar nicht anbietet, Gefahr, für hochkritische Kunden als nicht konform eingestuft zu werden. DNSSEC-Funktionen, die 2026 erwartet werden:

Algorithmus-Unterstützung: ECDSA P-256 (Algorithmus 13) oder Ed25519 (Algorithmus 15) — RSA-SHA256 (Algorithmus 8) ist akzeptabel, gilt aber als veraltet.
Automatisierter Schlüssel-Rollover (KSK und ZSK) ohne Kunden-Ausfallzeit.
Sichere Schlüsselverwahrung — HSM-gestützt oder gleichwertig.
Öffentliche DS-Berichterstattung über API für die Registrar-Automatisierung.

Für Daten in Übertragung zwischen Betreiber-Schnittstellen und Kunden ist TLS 1.2+ mit modernen Cipher Suites das Mindestmaß.

3. Sicherheit der Lieferkette — Artikel 21(2)(d)

Diese Bestimmung erfasst auch Kunden von DNS-Anbietern. Artikel 21(2)(d) verpflichtet jede in den Anwendungsbereich fallende Einrichtung, die Sicherheit der Beziehungen zu direkten Lieferanten zu managen. Wenn Ihr DNS-Anbieter einen Sicherheitsvorfall hat, der Sie betrifft, erwarten Aufsichtsbehörden, dass Sie im Vorfeld die nötige Sorgfalt walten ließen.

Praktisch bedeutet das:

Dokumentieren Sie die Anbieter Ihrer DNS-Lieferkette (Registrar, primärer DNS-Host, sekundärer DNS-Host, ggf. verwalteter rekursiver Resolver).
Holen Sie Belege für deren Sicherheitslage ein (Zertifizierungen, Auditberichte, öffentliche Sicherheitsrichtlinie).
Vereinbaren Sie vertragliche SLAs für Vorfallmeldung und Wiederherstellung.
Bewerten Sie diese in dokumentierter Frequenz neu (mindestens jährlich).

4. Multi-Faktor-Authentifizierung

Artikel 21(2)(j) fordert MFA für Verwaltungsschnittstellen. Für DNS heißt das:

MFA im Kunden-Dashboard des DNS-Anbieters.
MFA beim Registrar, an dem NS-Datensätze verwaltet werden (Delegationssicherheit).
API-Schlüssel-Verwaltung mit beschränkten Berechtigungen und Rotationsrichtlinie.
Keine langlebigen geteilten Anmeldeinformationen; Service-Konten müssen prüfbar sein.

5. Geschäftskontinuität und Backup

DNS-spezifische Geschäftskontinuität:

Multi-Region-Anycast, damit ein einzelner regionaler Ausfall eine Zone nicht offline nimmt.
Multi-Provider-DNS für Zonen der höchsten Stufe — siehe /learning/multi-provider-dns-deployment.
Zonendaten-Backups, die rasch zu einem anderen Anbieter wiederhergestellt werden können.
Getestete Wiederherstellungsverfahren mit dokumentierter RTO/RPO.

Artikel 23 — Vorfallmeldungsfristen

Artikel 23 setzt die Vorfallmeldungsfristen, die DNS-Anbieter einhalten müssen. Ein „erheblicher Vorfall" ist einer, der:

Eine erhebliche Betriebsstörung der Dienste oder einen finanziellen Verlust verursacht oder verursachen kann
Andere natürliche oder juristische Personen betrifft oder betreffen kann, indem er erheblichen materiellen oder immateriellen Schaden verursacht

Für DNS umfasst das längere autoritative Ausfälle, durch Anbieterfehler verursachte DNSSEC-Validierungsausfälle, unbefugte Änderungen an Zonendaten von Kunden oder die Kompromittierung privater DNSSEC-Schlüssel.

Die Meldekadenz:

Stufe	Frist	Erforderlicher Inhalt
Frühwarnung	Innerhalb von 24 Stunden ab Kenntnis	Ob der Vorfall vermutlich durch unrechtmäßige oder böswillige Handlungen verursacht wurde und ob er grenzüberschreitende Auswirkungen hat
Vorfallmeldung	Innerhalb von 72 Stunden	Eine Aktualisierung der Frühwarnung mit erster Bewertung, einschließlich Schweregrad, Auswirkungen und Indikatoren einer Kompromittierung
Zwischenbericht	Auf Anfrage	Relevante Statusupdates
Abschlussbericht	Innerhalb eines Monats nach Vorfallmeldung	Detaillierte Beschreibung, Bedrohungsart, angewandte und laufende Schutzmaßnahmen, grenzüberschreitende Auswirkungen

Diese Fristen gelten für den DNS-Anbieter als die in den Anwendungsbereich fallende Einrichtung. Kunden können separate Meldepflichten gegenüber ihren eigenen Aufsichtsbehörden haben, wenn der DNS-Vorfall in ihrem eigenen Sektor nachgelagerte Auswirkungen hat.

Die 24-stündige Frühwarnung ist knapp. Ein DNS-Anbieter muss Monitoring, Paging und einen benannten Melder bereithalten, die beim nationalen CSIRT oder der zuständigen Behörde Meldung erstatten. Das ist keine vierteljährliche Übung.

Was das für DNS-Kunden bedeutet — eine praktische Checkliste

Wenn Ihre Organisation in den Anwendungsbereich von NIS2 fällt (oder Lieferant einer einbezogenen Einrichtung ist), hier eine praktische Checkliste zur Bewertung Ihres DNS-Anbieters:

Anbieterprüfung

Anbieter ist benannt/bereit, schriftlich zu bestätigen, ob er als DNS-Diensteanbieter unter NIS2 fällt.
Primäre Gerichtsbarkeit des Anbieters und die zuständige Aufsichtsbehörde.
Öffentliche Sicherheitslage: security.txt, Schwachstellenmeldungs-Richtlinie und veröffentlichter Status für verschlüsselte Sicherheitsmeldungen.
Öffentliche Post-Incident-Berichte zu früheren erheblichen Vorfällen (falls vorhanden).
Dokumentiertes Vorfallreaktions-Verfahren und Meldungs-SLA in Ihrem Vertrag.

Technische Kontrollen

DNSSEC-Unterstützung mit modernen Algorithmen (ECDSA P-256 oder Ed25519).
HSM-gestützte oder gleichwertige sichere Schlüsselverwahrung.
MFA im Kunden-Dashboard.
Granulare API-Schlüssel (zonen-bezogen, zeitlich befristet, rotierbar) — siehe /learning/multi-user-accounts.
Multi-Region-Anycast — siehe /learning/anycast-dns-network.
Audit-Log aller Dashboard- und API-Aktionen, gespeichert nach Ihrer Aufbewahrungsrichtlinie.

Resilienz

Dokumentierte RTO/RPO für den autoritativen Dienst.
Mechanismus zum Export der Zonendaten auf Anfrage für Portabilität.
Multi-Provider-DNS-Bereitschaft (Terraform-/DNSControl-Unterstützung) — siehe /learning/multi-provider-dns-deployment.

EU-spezifische Erwägungen

Anbieter betreibt EU-jurisdiktionelle Infrastruktur, falls Ihr Sektor Datenresidenz fordert.
DNS-Abfragenverkehr kann auf EU-PoPs beschränkt werden (z. B. das EU-Nameserver-Set von DNScale — siehe /learning/dns-delegation-by-region).
Verträge nach EU-Recht und mit EU-Streitbeilegung.

Wo DNScale steht

DNScale arbeitet als EU-jurisdiktioneller DNS-Anbieter mit einem NIS2-bewussten Betriebsmodell:

EU-Operationen: Infrastruktur und Betrieb innerhalb der EU; Abfragenverkehr kann über das EU-Nameserver-Set auf EU-PoPs beschränkt werden.
DNSSEC: ECDSA P-256 standardmäßig; automatischer Schlüssel-Rollover; HSM-gestützte Schlüsselverwahrung.
MFA + beschränkte API-Schlüssel: Dashboard-MFA, zonenbezogene Schlüssel, vollständiges Audit-Log — siehe /learning/multi-factor-authentication-guide und die DNScale-API-Schlüssel-Dokumentation.
Multi-Region-Anycast über /learning/anycast-dns-network und /learning/global-dns-resolution-balancing für Resilienz.
Multi-Provider-Bereitschaft: Terraform- und DNSControl-Provider sind heute verfügbar — siehe /learning/terraform-provider-guide und /learning/dnscontrol-guide.
Öffentliche Sicherheitsartefakte: security.txt und Schwachstellenmeldungs-Richtlinie an Standardpfaden; Post-Incident-Berichte werden bei Bedarf veröffentlicht.

Für Sektoren, in denen die NIS2-Durchsetzung am aktivsten ist — Finanzwesen, Energie, öffentliche Verwaltung, Gesundheitswesen — verringert die Verlagerung der DNS-Lieferung zu einem EU-jurisdiktionellen Anbieter mit NIS2-konformen Kontrollen sowohl das regulatorische Risiko als auch den Dokumentationsaufwand für die Lieferkette nach Artikel 21(2)(d).

Quellen

Richtlinie (EU) 2022/2555 — die NIS2-Richtlinie
ENISA-Leitfaden zur NIS2-Umsetzung — praktische Ressourcen für einbezogene Einrichtungen
BSI NIS2UmsuCG-Entwurf — deutsche nationale Umsetzung
ANSSI-Leitfaden NIS 2 — französische nationale Umsetzung
RFC 8945 — TSIG (Authentifizierung von Zonentransfers, relevant für Kryptografie-Maßnahmen)
RFC 4034/4035 — DNSSEC-Kernprotokoll
RFC 8901 — Multi-Signer DNSSEC (relevant für Multi-Provider-Deployments)

Weiterführende Lektüre

DNS-Sicherheit: Best Practices — operative Härtung
DNSSEC-Schlüsselverwaltung — Kryptografie in der Praxis
Multi-Provider-DNS-Deployment — Lieferkettenresilienz
DNScale vs Cloudflare — Vergleich nach EU-Gerichtsbarkeit
Beste EU-DNS-Anbieter — Bewertungsraster
GDPR-konforme DNS-Anbieter — angrenzender Regulierungsrahmen

Frequently asked questions

Gilt NIS2 für meine Organisation, wenn wir DNS nur nutzen, aber nicht anbieten?: Möglicherweise ja. NIS2 deckt zahlreiche Sektoren ab (Energie, Verkehr, Bankwesen, Gesundheit, Wasser, digitale Infrastruktur, öffentliche Verwaltung, Produktion kritischer Güter, Lebensmittel, Postdienste usw.) und gilt für mittlere und große Einrichtungen (≥50 Beschäftigte oder ≥10 Mio. EUR Umsatz) in diesen Sektoren. Wenn Sie unter den Anwendungsbereich fallen, erstrecken sich Ihre Lieferkettensicherheitspflichten nach Artikel 21(2)(d) auch auf Ihren DNS-Anbieter — Sie müssen sich vergewissern, dass dieser gleichwertige Standards einhält.
Werden DNS-Anbieter ausdrücklich in NIS2 genannt?: Ja. Anhang I führt 'Anbieter von DNS-Diensten' (neben Top-Level-Domain-Namensregistern, Internetknoten-Betreibern und anderen Betreibern digitaler Infrastruktur) als wesentliche Einrichtungen auf. Damit befinden sich DNS-Anbieter in der strengsten Stufe — proaktive Aufsicht, verpflichtende Vorfallmeldung und höchste Bußgeldobergrenze.
Was muss ein DNS-Anbieter unter NIS2 melden?: Einen 'erheblichen Vorfall' — definiert als Vorfall, der eine Betriebsstörung, einen finanziellen Verlust oder eine Beeinträchtigung anderer Einrichtungen verursacht. Für DNS umfasst das: längere Ausfälle der autoritativen Dienste in einer Region, DDoS-Angriffe, die einen Kunden über längere Zeit offline nehmen, durch Anbieterfehler verursachte DNSSEC-Validierungsausfälle, unbefugter Zugriff auf Zonendaten oder Kompromittierung privater DNSSEC-Schlüssel. Zeitplan nach Artikel 23: Frühwarnung innerhalb von 24 Stunden, vollständige Vorfallmeldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats.
Worauf sollte ich bei der Wahl eines DNS-Anbieters für die NIS2-Konformität achten?: Dokumentierte Maßnahmen nach Artikel 21 (Vorfallbearbeitung, Kryptografie, Lieferkettenkontrollen), öffentliche Sicherheitslage (security.txt, Schwachstellenmeldung, Post-Incident-Berichte), DNSSEC-Unterstützung, Multi-Region-Anycast für Resilienz, nachgewiesener Vorfallmeldungsworkflow und Datenresidenz-Optionen für DNS-Abfrageverkehr, falls Ihr Sektor dies fordert. Die EU-Gerichtsbarkeit ist relevant: Die NIS2-Aufsicht erfolgt pro Mitgliedstaat, und ein nicht-EU-Anbieter kann zusätzliche Komplexität bedeuten.
Worin unterscheidet sich NIS2 von der ursprünglichen NIS-Richtlinie?: NIS1 (2016) deckte weniger Sektoren ab und wurde nur schwach durchgesetzt — viele Mitgliedstaaten setzten sie minimal um. NIS2 (2022, Umsetzungsfrist Oktober 2024) hat den Anwendungsbereich deutlich erweitert (mehr Sektoren, niedrigere Größenschwellen), die Aufsicht verbindlich gemacht, die Bußgelder erhöht (bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes für wesentliche Einrichtungen) und persönliche Haftung des Managements eingeführt. Sie gilt in allen 27 EU-Mitgliedstaaten mit harmonisierten Grundregeln.
Mein Anbieter ist nicht in der EU — bin ich automatisch nicht konform?: Nicht automatisch. NIS2 verbietet keine Anbieter aus Drittstaaten, aber Artikel 21(2)(d) verpflichtet Sie, das Lieferkettenrisiko zu managen — was bedeutet, dass Sie nachweisen müssen, dass Ihr DNS-Anbieter, unabhängig vom Sitz, gleichwertige Standards einhält. EU-ansässige Anbieter vereinfachen den Nachweis (eine Gerichtsbarkeit, GDPR-konform, NIS2 unmittelbar anwendbar). Anbieter aus Drittstaaten erfordern zusätzliche vertragliche und technische Sorgfaltspflichten.

Ready to manage your DNS with confidence?

DNScale provides anycast DNS hosting with a global network, real-time analytics, and an easy-to-use API.

Start free