Defaults.Exposed

Defaults.Exposed › Informes

¿Exige NIS2 el uso de DMARC? Autenticación de correo e higiene cibernética en la UE (2026)

Publicado 2026-06-29

Cifras a fecha de 2026-06-29 · metodología v7. Datos censales agregados por terminación nacional de dominio (ccTLD, una aproximación al país, no al registro de la empresa), en 261 millones de dominios evaluados. «Puede detener la suplantación» = una política DMARC en aplicación (quarantine/reject). Las referencias a NIS2 a continuación son generales; esto no es asesoramiento jurídico. Consulte cómo evaluamos.

NIS2 no menciona DMARC por su nombre, pero exige «medidas adecuadas de ciberhigiene», y evitar que se suplante su dominio en el correo electrónico es algo tan básico como puede serlo la ciberhigiene. La Directiva NIS2 de la UE (plazo de transposición octubre de 2024) obliga a las entidades esenciales e importantes a adoptar medidas técnicas adecuadas y proporcionadas frente al riesgo cibernético. La autenticación del correo electrónico —SPF, DKIM y una política DMARC en aplicación— es el control estándar contra la suplantación que responde a esa obligación. El censo muestra que la mayoría de los dominios de la UE aún no han llegado a eso.

¿Qué nivel de exposición tienen hoy los dominios de la UE?

Proporción de dominios en cada terminación nacional con una política DMARC en aplicación (más alto es mejor; el resto puede ser suplantado). A fecha de 2026-06-29:

País (terminación)Puede detener la suplantación
Países Bajos (.nl)29,43%
Polonia (.pl)23,36%
Alemania (.de)21,38%
España (.es)15,02%
Bélgica (.be)14,91%
Francia (.fr)13,65%
Suecia (.se)10,18%
Irlanda (.ie)8,79%
Italia (.it)5,24%

Incluso el líder de la UE, los Países Bajos, solo tiene el 29,43% de sus dominios capaces de detener la suplantación. Italia se sitúa en el 5,24%. A modo de comparación, la tasa de aplicación mundial es de apenas el 10,59%, así que Europa lidera el mundo y aun así deja a la gran mayoría de sus empresas suplantables.

Qué significa esto para una empresa dentro del ámbito de NIS2

Si es una entidad esencial o importante (o forma parte de la cadena de suministro de una), la autenticación del correo electrónico es una medida barata, visible y defendible que conviene tener implantada:

NIS2 no le dará una lista de verificación que diga «establezca p=reject». Pero cuando la directiva exige medidas proporcionadas frente a riesgos evidentes, un dominio desprotegido que cualquiera puede suplantar es una brecha difícil de defender.

Preguntas frecuentes

¿Exige NIS2 legalmente DMARC? NIS2 no nombra DMARC. Exige medidas adecuadas y proporcionadas de ciberhigiene y de gestión de riesgos; la autenticación del correo electrónico (SPF/DKIM/DMARC) es el control estándar que aborda el riesgo de suplantación del correo, por lo que se considera ampliamente que entra en el ámbito. Confirme los detalles con su asesor de cumplimiento.

¿Cuál es la postura mínima de autenticación del correo electrónico? SPF y DKIM publicados, y DMARC configurado con una política en aplicación (quarantine o reject). Un registro DMARC en p=none supervisa pero no protege.

¿Cómo se comparan los países de la UE en esto? A fecha de 2026-06-29, la aplicación oscila entre alrededor del 5,24% (.it) y el 29,43% (.nl). La mayoría de los dominios de la UE todavía no pueden detener la suplantación.

¿Es caro solucionarlo? No, es configuración de DNS, gratuita de cambiar. El coste es el tiempo de hacerlo en el orden correcto.

Compruebe la postura de correo de su dominio relevante para NIS2

Vea si su dominio puede ser suplantado —y exactamente qué corregir— de forma privada y gratuita.

Compruebe su dominio → · Corregir DMARC → · Europa frente al mundo → · ¿Puede alguien suplantar su dominio? → · Solo datos agregados. Datos almacenados y procesados en la UE.