Betreibt der Freifunk DNS Dienste? Davon hängt NIS2 ab

Nach NIS2 ist zB jeder DNS-Dienst „kritisch“. Das Gesetz tritt in ein paar Tagen in Kraft. Die Größe des Vereins scheint keine Rolle zu spielen und das wäre jede Menge Cybersecurity Compliance Kram, gemessen am Stand der Technik nach den Regeln des BSI. Habs nicht im einzelnen angeschaut, aber das sorgt derzeit in der Industrie für Panik, das brauchen wir in unserer kleinen Community gar nicht erst versuchen.

Es sieht so aus, als wenn es dringend Not tut, jeglichen DNS abzuschalten, um auf der sicheren Seite zu stehen. Oder?

Erm …

Ich vermute mal, kein Freifunk betreibender Verein hat auch nur 10 Angestellte — und damit ist das Thema doch direkt durch.

1 Like

Das ist glaube ich kein zutreffendes Zitat. Wir sollten das etwas genauer nachforschen

Ich glaube, ein Verein ist kein Unternehmen, von anderen Voraussetzungen, die ebenfalls nicht zutreffen, ganz abgesehen. Und dann glaube ich, daß DNS-Server das kleinste Problem wären, fiele ein Freifunk-Verein (und jede faktische GbR sollte sich insofern in einen nicht eingetragenen Verein wandeln, aber IANAL) unter die Anforderungen von NIS2, Stichwort Betrieb eines öffentlichen Kommunikationsnetzes.

Aber als Vereinsvorstand lese ich »Unternehmen, die«, und damit betrifft mich der Unsinn nicht.

1 Like

so ganz einfach dürfte es nicht sein. Leider ist zur Zeit noch unklar, was Deutschland mit der Umsetzung der EU-Regelung macht. Es sieht danach aus, ob eine Verschärfung geplant ist.

Sollte das so umgesetzt werden, fällt meines Erachtens FF unter „wE: wichtige Einrichtungen“. DNS-Betreiber würden dann unter bwE fallen.

Warten wir’s ab — es muß eine praktikable Beschränkung des Kreises der zur Umsetzung Verpflichteten geben, und die muß sich auch an den Möglichkeiten orientieren, das umzusetzen, anderenfalls wäre es faktisch ein Berufsverbot.

Vorläufiges Ergebnis:

  • Pflichten des FF richten sich gemäß § 28 (1) wie bisher nach dem TKG, aber das TKG wurde komplett erneuert (basierend auf einer anderen EU-RiLi) seit wir da zuletzt reingeschaut haben.
  • zusätzlich aus NIS2 die Registrierung beim BSI nach § 33
  • Betrieb eines DNS im FF löst die vollen NIS2-Pflichten aus gemäß § 28 (4) 2+3 aber Satz 3 macht irgendwie keinen Sinn - das müssen wir noch klären

Quelle?

Woher kommt diese Aussage, § 28 Absatz 1 des Entwurfs erwähnt das TKG nicht, und § 28 TKG (»Zugangsvereinbarungen«) wirst Du nicht meinen?



Gemäß des Regierungsentwurfs (Bearbeitungsstand: 22.07.2024 16:45) wäre die Betreiberorganisation hinter einem Freifunknetz tatsächlich eine ›wichtige Einrichtung‹ (§ 28 Absatz 2):

(2) Als wichtige Einrichtungen gelten

  1. […]
  2. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die
    a) weniger als 50 Mitarbeiter beschäftigen und
    b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro
    oder weniger aufweisen,

Daß hier keine Grenze nach unten eingezogen wurde: dreist.

Wer bei Freifunk alles unter »Betreiber öffentlicher Telekommunikationsnetze« fällt? Hängt vielleicht auch ein bißchen vom Netzaufbau ab, spätenstens die Übergänge ins Internet werden da sich nicht mehr rausdiskutieren können.

Und damit lügt die Regierung unverholen — oder hat ihr Wording im Gesetzestext nicht im Griff:

E. Erfüllungsaufwand

E.1 Erfüllungsaufwand für Bürgerinnen und Bürger

Es entsteht kein Erfüllungsaufwand für die Bürgerinnen und Bürger.

E.2 Erfüllungsaufwand für die Wirtschaft

Für die Wirtschaft erhöht sich der jährliche Erfüllungsaufwand um rund 2,2 Milliarden Euro. Insgesamt entsteht einmaliger Aufwand von rund 2,1 Milliarden Euro. Dieser ist fast ausschließlich der Kategorie Einführung oder Anpassung digitaler Prozessabläufe zuzuordnen.
Davon Bürokratiekosten aus Informationspflichten
Es entfallen rund 1,9 Millionen Euro auf Bürokratiekosten aus Informationspflichten.

Aus E.2 leite ich weiterhin ab, daß weder Privatpersonen noch (gemeinnützige) Vereine Adressat des Gesetzes sind sondern nur »die Wirtschaft« — und insofern sehe ich das »NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz« nicht anwendbar auf meine autoritativen NS für meine Domains, analog ebensowenig auf die autoritativen NS oder das Netz des Vereins.

Ansonsten bleibt noch die (Un-) Verhältnismäßigkeit der Maßnahmen nach § 30: Dünnes Eis.

Also ja, sollte das »NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz« auch auf Zweckbetriebe gemeinnütziger Vereine anwendbar sein – und daran läßt die Wortwahl ›Betreiber‹ im Gesetzesentwurf keinen Zweifel –, dann müßte das für mindestens die »AS-Vereine« (IIRC Rheinland, Nordwest, Hamburg, Bremen, Frankfurt, Stuttgart, 4830, Münsterland, Franken, München, …) gravierende Auswirkungen haben, aber auch jeder Freifunker mit Richtfunk zwischen zwei Koordinaten in Richtung Internet wäre ja betroffen. Verfassungssammelklage?

Das ›DNS-Problem‹ hingegen läßt sich ›lösen‹, indem der Primary zum Hidden Primary wird. Aber eigentlich™ will man™ das ja gerade aus $Gründen nicht, wenn man bislang autoritative NS selbst betreibt … (Resolving der Clients im FF-Netz läuft bei uns eh’ über Cloudflare & Quad9 — jeweils die Malware-filternde Variante, hoffend, damit die installierten Malwares etwas in Schach zu halten; anderes Thema.)



So’n Statement von RA Solmecke, RAin Feuerhake oder RAin Hubrig wäre jetzt mal schön (um nur einige im Kontext Freifunk oder IT-Recht mir spontan präsente Namen zu nennen) — Kontakte, anyone?

Nebenkriegsschauplatz: auch jeder deutsche Mailinglistenbetreiber fällt unter die deutsche NIS2-Variante?

§ 3 TKG

Im Sinne dieses Gesetzes ist oder sind
[…]

  1. „interpersoneller Telekommunikationsdienst“ ein gewöhnlich gegen Entgelt erbrachter Dienst, der einen direkten interpersonellen und interaktiven Informationsaustausch über Telekommunikationsnetze zwischen einer endlichen Zahl von Personen ermöglicht, wobei die Empfänger von den Personen bestimmt werden, die die Telekommunikation veranlassen oder daran beteiligt sind; dazu zählen keine Dienste, die eine interpersonelle und interaktive Telekommunikation lediglich als untrennbar mit einem anderen Dienst verbundene untergeordnete Nebenfunktion ermöglichen;

[…]

  1. „öffentlich zugängliche Telekommunikationsdienste“ einem unbestimmten Personenkreis zur Verfügung stehende Telekommunikationsdienste;

[…]

  1. „Telekommunikationsdienste“ in der Regel gegen Entgelt über Telekom­mu­ni­ka­tions­netze erbrachte Dienste, die – mit der Ausnahme von Diensten, die Inhalte über Telekommunikationsnetze und -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben – folgende Dienste umfassen:

    a) Internetzugangsdienste,
    b) interpersonelle Telekommunikationsdienste und
    c) Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen, wie Übertragungsdienste, die für Maschine-Maschine-Kommunikation und für den Rundfunk genutzt werden;

Der Regierungsentwurf definiert diese Begriffe ja intelligenterweise nicht (was machen die Autoren eigentlich beruflich?), mit Rückgriff auf die Begriffsbestimmungen des TKG erscheint das »NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz« aber extrem übergriffig. Typisch für ein SPD-geführtes Innenministerium, aber wo bleibt hier bitte das Korrektiv durch das FDP-geführte Justizministerium‽

Unsere Hobbyjuristerei wird den Quark nicht stark machen.
Ich schlage vor zu warten, bis wer konkret „anklopft“. Sei es seitens der Behörden oder irgendein Marktbegleiter meint, konkret einen Wettbewerbsverstoss zu sehen.

1 Like

Als privat Betroffener denke ich, Angriff ist die beste Verteidigung; der Unsinn muß vom Tisch, as fast as possible. Merkels »Neuland«-Ansage war schon peinlich, aber hier setzt eine inkompetente Regierung die Axt an die Grundfesten des Internets — over my dead body, bitches!

Aus unserer internen Diskussion zum Thema Auth DNS:

das Gesetz ist zweideutig und es gibt die Auffassung, dass es nur gilt, wenn man auth DNS für fremde (Kunden-) IPs macht, nicht für das eigene Netz.

Wenn das so ist, ist also ein DNS nur für die internen Domains wie www.ffki kein Grund

Es sei an dieser Stelle noch auf den Bundestagszusammenfasser hingewiesen:

verschrieben, nicht 28 I sondern 28 IV Nr. 1 Entwurf