Fredag 30. august ble det annonsert at Norges største domeneforhandler, Domeneshop AS, er solgt til utenlandske eiere.
Kjøperen er det svenske selskapet Miss Group, som eies av Perwyn Private Equity med hovedkontor i London. I Norge har selskapet allerede kjøpt ISPHuset AS og Domene AS. Oppkjøpet av Domeneshop betyr at Miss Group nå kontrollerer mer enn halvparten av Norges 850 000 .no-domener, ifølge selskapet selv.
Oppkjøpet føyer seg i rekken av internasjonale aktører som tar over for norske domeneforhandlere, som også omtales som «registrarer». Før oppkjøpet var Domeneshop den eneste av de største forhandlerne av norske domenenavn med norske eiere, ifølge digi.no. Nå har samtlige store forhandlere utenlandske eiere.
Oppkjøpene er etter alt å dømme gode nyheter for gründerne på selgersiden. Fra et nasjonalt sikkerhetsperspektiv er oppkjøpet en påminnelse om en trend som gir mindre grunn til å sprette champagnen.
Nasjonal cybersikkerhet
Registrering og forvaltning av domenenavn, samt levering av DNS-tjenester, er samfunnsviktige tjenester. At utenlandske aktører kan kontrollere over halvparten av norske domenenavn, hvorav noen brukes til å levere samfunnskritiske tjenester, er et nasjonalt sikkerhetsproblem.
Hvorfor er dette viktig? Domenenavn er svært ofte nøkkelen til en lang rekke tjenester. Den som kontrollerer domenenavnet, og hvilken informasjon oppslagene gir, har dermed betydelig kontroll.
For samfunnskritiske tjenester må man ha kontroll på hele kjeden. Det omfatter domeneforvaltningen og DNS-tjenesten.
Direktoratet for samfunnssikkerhet og beredskap (DSB) bruker en domeneforhandler som kontrolleres av et private equity-fond. Nasjonal sikkerhetsmyndighet (NSM) bruker flere domeneforhandlere: tre kontrolleres av utenlandske private equity-fond. For to av domenenavnene bruker NSM Departementenes sikkerhets- og serviceorganisasjon (DSS) som domeneforhandler. Det må forventes at DSS gir betydelig mer kontroll enn de utenlandske aktørene.
Compliance, compliance, compliance
Blant de norskkontrollerte domeneforhandlere blir det altså stadig færre og mindre aktører igjen. Disse går en tøffere fremtid i møte.
NIS2 direktivet har som formål å sikre digital sikkerhet i virksomheter som leverer samfunnsviktige tjenester, og skal være innført i EUs medlemsland i oktober 2024. Direktivet er antatt å være EØS-relevant, men er ikke innlemmet i EØS-avtalen. Det pågår lovarbeid i Norge for å forberede nødvendige endringer som følge av direktivet. Domeneforhandlere og tilbydere av DNS-tjenester er omfattet av direktivet som leverandører av samfunnskritiske tjenester.
Domenerforhandlere må derfor overholde direktivets omfattende krav til sikkerhet, rapportering og risikohåndtering.
Disse kravene gjelder uavhengig av størrelse og eierskap.
Her for deg
Ta gjerne kontakt hvis du har spørsmål om digital sikkerhet eller andre IKT-rettslige problemstillinger.
Artikkelen er skrevet av Fredrik Hartvoll Jarbo og Kirill Miazine.