Defaults.Exposed

Defaults.Exposed › Berichte

Verlangt NIS2 DMARC? E-Mail-Authentifizierung und EU-Cyberhygiene (2026)

Veröffentlicht 2026-06-29

Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten nach nationaler Domain-Endung (ccTLD, ein Näherungswert für das Land, nicht für die Unternehmensregistrierung), über 261 Millionen bewertete Domains. „Kann Identitätsmissbrauch verhindern” = eine durchsetzende DMARC-Richtlinie (quarantine/reject). Die NIS2-Verweise unten sind allgemein gehalten; dies ist keine Rechtsberatung. Siehe wie wir bewerten.

NIS2 erwähnt DMARC nicht namentlich — aber es verlangt „angemessene Maßnahmen der Cyberhygiene”, und zu verhindern, dass Ihre Domain in E-Mails missbraucht wird, ist so grundlegend, wie Cyberhygiene nur sein kann. Die NIS2-Richtlinie der EU (Umsetzungsfrist Oktober 2024) verpflichtet wesentliche und wichtige Einrichtungen, angemessene, verhältnismäßige technische Maßnahmen gegen Cyberrisiken zu ergreifen. Die E-Mail-Authentifizierung — SPF, DKIM und eine durchsetzende DMARC-Richtlinie — ist die Standardmaßnahme gegen Spoofing, die dieser Verpflichtung entspricht. Der Zensus zeigt, dass die meisten EU-Domains noch nicht so weit sind.

Wie ungeschützt sind EU-Domains heute?

Anteil der Domains pro nationaler Endung mit einer durchsetzenden DMARC-Richtlinie (höher ist besser; der Rest kann missbraucht werden). Mit Stand 2026-06-29:

Land (Endung)Kann Identitätsmissbrauch verhindern
Niederlande (.nl)29,43%
Polen (.pl)23,36%
Deutschland (.de)21,38%
Spanien (.es)15,02%
Belgien (.be)14,91%
Frankreich (.fr)13,65%
Schweden (.se)10,18%
Irland (.ie)8,79%
Italien (.it)5,24%

Selbst der EU-Spitzenreiter, die Niederlande, hat nur 29,43% seiner Domains, die Identitätsmissbrauch verhindern können. Italien liegt bei 5,24%. Zum Vergleich: Die globale Durchsetzungsrate beträgt nur 10,59% — Europa führt also die Welt an und lässt trotzdem die große Mehrheit seiner Unternehmen für Spoofing anfällig.

Was das für ein NIS2-pflichtiges Unternehmen bedeutet

Wenn Sie eine wesentliche oder wichtige Einrichtung sind (oder in der Lieferkette einer solchen), ist die E-Mail-Authentifizierung eine günstige, sichtbare, vertretbare Maßnahme:

NIS2 wird Ihnen keine Checkliste in die Hand geben, auf der steht „setze p=reject”. Aber wenn die Richtlinie verhältnismäßige Maßnahmen gegen offensichtliche Risiken verlangt, ist eine ungeschützte Domain, die jeder missbrauchen kann, eine schwer zu verteidigende Lücke.

Häufig gestellte Fragen

Verlangt NIS2 rechtlich DMARC? NIS2 nennt DMARC nicht. Es verlangt angemessene, verhältnismäßige Maßnahmen der Cyberhygiene und des Risikomanagements; die E-Mail-Authentifizierung (SPF/DKIM/DMARC) ist die Standardmaßnahme gegen das Risiko des E-Mail-Spoofings, daher wird sie weithin als in den Anwendungsbereich fallend betrachtet. Klären Sie die Einzelheiten mit Ihrem Compliance-Berater.

Was ist die minimale E-Mail-Authentifizierungslage? SPF und DKIM veröffentlicht, und DMARC auf eine durchsetzende Richtlinie gesetzt (quarantine oder reject). Ein DMARC-Eintrag mit p=none überwacht, schützt aber nicht.

Wie schneiden die EU-Länder hierbei ab? Mit Stand 2026-06-29 reicht die Durchsetzung von etwa 5,24% (.it) bis 29,43% (.nl). Die meisten EU-Domains können Identitätsmissbrauch immer noch nicht verhindern.

Ist die Behebung teuer? Nein — es ist DNS-Konfiguration, kostenlos zu ändern. Der Aufwand ist die Zeit, es in der richtigen Reihenfolge zu tun.

Prüfen Sie die NIS2-relevante E-Mail-Lage Ihrer Domain

Sehen Sie, ob Ihre Domain missbraucht werden kann — und was genau zu beheben ist — privat und kostenlos.

Prüfen Sie Ihre Domain → · DMARC beheben → · Europa vs. die Welt → · Kann jemand Ihre Domain spoofen? → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.