NIS2-Richtlinie: Was bedeutet das für Domaininhaber:innen?

Die von der Europäischen Union entwickelte NIS2 Richtlinie (Network and Information Security Directive 2) verändert die Cybersecurity-Anforderungen nicht nur für kritische Infrastrukturen, sondern betrifft auch weitere Sektoren innerhalb Europas.

Und auch INWX als Domain-Registrar ist betroffen. Denn NIS2 schreibt vor, dass Registrare und Registries, die Verwaltungsstelle für Domain-Endungen, für korrekte Daten der Domaininhaber:innen sorgen müssen.

In Deutschland ist das aus der Richtlinie entstandene Gesetz am 6. Dezember 2025 in Kraft getreten. Und ab dem 14. April 2026 sind auch die neuen Regelungen der DENIC – der Registrie für .de-Domains – gültig.

Doch was bedeutet das konkret für Dich als Domaininhaber:in? Dieser Artikel zeigt Dir, welche NIS2 Anforderungen Dich betreffen und welche Schritte Du gehen musst.

Was ist die NIS2-Richtlinie? – Eine kurze Zusammenfassung

Die NIS2-Richtlinie – offiziell die Richtlinie (EU) 2022/2555 – ist der EU-weite Rechtsrahmen für den Schutz von Netz-und Informationssystemen. Sie schafft einheitliche Cybersecurity-Standards und verändert so die Sicherheitsanforderungen in Europa.

NIS2 ist der Nachfolger der ursprünglichen NIS-Richtlinie von 2016 und geht deutlich weiter: Statt sieben Sektoren umfasst NIS2 nun 18 Sektoren. Unter anderem neu hinzugekommen sind Domain-Registrierungsdienste, Rechenzentren und Managed Service Provider.

Die EU-Richtlinie trat am 16. Januar 2023 in Kraft. Ab wann NIS2 Pflicht ist, hängt von den einzelnen Ländern ab. Denn die EU-Mitgliedstaaten setzen die Vorgaben in nationales Recht um, und das mit unterschiedlichen Zeithorizonten. Deutschland hat das Umsetzungsgesetz am 6. Dezember 2025 verabschiedet, in Österreich tritt es im Oktober 2026 in Kraft.

Da NIS2 lediglich eine Richtlinie ist, variiert die konkrete Umsetzung und die Anforderungen je nach Land. Den vollständigen NIS2-Richtlinientext findest Du auf EUR-Lex.

Wen betrifft die NIS2-Richtlinie – und warum auch Domaininhaber:innen?

NIS2 betrifft insgesamt 18 Sektoren, darunter klassische Bereiche wie Energie, Verkehr, Gesundheit, Finanzen, aber auch digitale Infrastrukturen. Artikel 28 richtet sich jedoch explizit an Registrare und Registries. Und somit ist auch INWX von den gesetzlichen Anforderungen betroffen.

Konkret schreibt Artikel 28 vor: Registrare und Registries müssen sicherstellen, dass die Daten von Domaininhaber:innen vollständig, korrekt und erreichbar sind. Bei der Registrierung von Domains müssen Daten wie Name, E-Mail, Adresse und Telefonnummer erhoben und gleichzeitig validiert und unter bestimmten Umständen verifiziert werden.

Wenn Du oder Dein Unternehmen also eine Domain registriert hast, bist Du damit indirekt ebenfalls von NIS2 betroffen – auch wenn Dein Unternehmen nicht selbst in einem klassischen NIS2-Sektor tätig ist.

Grund für diese neuen NIS2-Pflichten ist unter anderem die immer weiter steigende Cyberkriminalität wie Phishing, Scamming und Betrug. Denn wenn diese Angriffe über Domains mit falschen oder unvollständigen Registrierungs-Daten laufen, kann niemand zur Rechenschaft gezogen werden.

Die NIS2-Richtlinie in Deutschland schließt genau diese Lücke: Nur mit korrekten Daten lassen sich kriminelle Aktivitäten nachverfolgen und unterbinden. Mit verifizierten Daten wird es deutlich schwerer, sich hinter einer Domain zu verstecken. Das schützt Dich, andere Internetnutzer:innen und die digitale Infrastruktur insgesamt.

Wie genau diese Verifizierung in der Praxis aussieht, hängt von zwei Faktoren ab:

1. Zum einen spielt die Domain-Endung eine Rolle, bzw. davon, welchem nationalen Gesetz die Registry unterliegt. Denn die Registries setzen die Gesetze ihres jeweiligen Landes um, und stellen entsprechend neue Anforderungen an die Registrierungsdaten. Diese neuen Anforderungen werden dann von den Registraren umgesetzt.
2. Zum anderen unterliegt der Registrar selbst der Gesetzgebung seines eigenen Landes. Als deutscher Registrar richtet sich INWX nach der NIS2 Richtlinie Deutschland und den aktuelle Informationen des BSI zur NIS2-Umsetzung in Deutschland.

Das bedeutet: Wir müssen sowohl die deutschen NIS2 Anforderungen als auch die Bedingungen der jeweiligen Registry erfüllen.

Was ändert sich konkret für Domaininhaber:innen?

E-Mail-Verifizierung wird Pflicht

Eine der NIS2-Pflichten ist die Verifizierung der E-Mail-Adressen. Sollte die Verifizierung nicht erfolgen, wird Deine Domain deaktiviert. Damit sind alle damit verknüpften Dienste vorerst nicht mehr erreichbar. Nach Bestätigung der E-Mail-Adresse wird die Domain wieder aktiviert.

Jährliche Reminder zur Datenüberprüfung

Jedes Jahr am Verlängerungsdatum Deiner Domain erhältst Du von uns eine E-Mail mit der Aufforderung, Deine Domain-Kontakt-Daten zu überprüfen und, falls nötig, zu korrigieren. Das soll sicherstellen, dass Deine Daten stets aktuell bleiben.

Änderungen im WHOIS und RDAP

WHOIS und RDAP sind Datenbanken, in denen Informationen über Domaininhaber:innen öffentlich abrufbar sind. Mehr dazu in unserem Artikel was WHOIS ist und welche Daten dort stehen.

Mit NIS2 hat sich bei einigen Domain-Endungen wie bspw. .de folgendes geändert: Bei Unternehmen und Organisationen werden nun Daten öffentlich einsehbar. Daher gilt hier die Empfehlung, neutrale Kontaktdaten für E-Mail und Telefonnummer zu nutzen, ohne Bezug zu Einzelpersonen.

Die Daten von Privatpersonen bleiben weiterhin verborgen – hier hat sich nichts geändert.

Verifizierung von Domain-Kontakten

Um sicherzustellen, dass die Daten korrekt sind, kann für manche Domain-Kontakte eine zusätzliche Verifizierung ausgelöst werden. Davon sind jedoch nicht alle Inhaber:innen direkt betroffen, und nicht alle Daten müssen verifiziert werden. Wenn Deine Daten vollständig und korrekt sind, passiert in der Regel nichts.

Eine Verifizierung wird nur dann angefordert, wenn die Vermutung nahe liegt, dass die angegebenen Daten nicht korrekt sind. Risikoprüfungen und mögliche anschließende Verifizierungen werden typischerweise bei bestimmten Aktionen ausgelöst – wie Neuregistrierungen, Aktualisierungen, Wiederherstellungen, Providerwechseln oder Änderungen von Kontaktdaten.

Wer diese Risikoprüfung und anschließende NIS2-Domains-Verifizierungen durchführt, unterscheidet sich je nach Registry. Die Aufforderung zur Verifizierung kann entweder durch den Registrar INWX oder die entsprechende Vergabestelle erfolgen.

Was tut INWX – und was musst Du als Domaininhaber:in tun?

Als Registrar ist INWX direkt von NIS2 betroffen und handelt aktiv. Wir haben bereits mehrere Maßnahmen umgesetzt, um die neuen Anforderungen zu erfüllen.

INWX fungiert dabei als Schnittstelle zwischen den nationalen Registries und Dir. Wir leiten Verifizierungsanforderungen weiter, können aber auch selbst tätig werden, wenn wir fehlerhafte Daten verdächtigen.

Wie funktioniert die E-Mail-Verifizierung bei INWX konkret?

Wenn die E-Mail des Domain-Kontakts noch nicht verifiziert ist, erhältst Du bei Neuregistrierung einer Domain eine E-Mail mit einem Bestätigungslink. Anschließend hast Du 14 Tage Zeit, diesen Link zu bestätigen. Diesen Prozess gibt es aufgrund des ICANN Registrar Accreditation Agreement 2013 schon länger für gTLDs. Im Zuge von NIS2 wurde er nun auch auf ccTLDs ausgeweitet.

Wie funktioniert die Verifizierung von Name und Adresse?

Wo möglich, validieren wir Deine Daten automatisch – beispielsweise durch Adressdatenbanken oder Informationen aus Online-Überweisungen. Sollte dies nicht möglich sein und eine Verifizierung nötig sein, erfolgt die Verifizierung über Dokumente. Du erhältst dann eine E-Mail mit der Aufforderung, Deinen Domain-Kontakt durch ein Dokument zu verifizieren. Dieses lädst Du einfach in unserem Kundenbereich hoch. Damit prüfen wir dann Deine Angaben und führen die Verifizierung durch.

Schritt-für-Schritt: Kontaktdaten bei INWX prüfen und verifizieren

Deine Verantwortung als Domaininhaber:in

Als Domaininhaber:in liegt es in Deiner Verantwortung, dass die angegebenen Daten bei einer Domain-Registrierung korrekt und aktuell sind.

Achte dabei besonders auf die richtige Ausfüllung des Feldes „Firma": Wenn dieses Feld befüllt ist, gilt das eingetragene Unternehmen als Domaininhaber:in. Die angegebene Person ist lediglich die Ansprechperson. Bleibt das Feld „Firma" leer, ist der Inhaber:in ein Personenkontakt.