Defaults.Exposed › Informes
¿Exige NIS2 el uso de DMARC? Autenticación de correo e higiene cibernética en la UE (2026)
Publicado 2026-06-29
Cifras a fecha de 2026-06-29 · metodología v7. Datos censales agregados por terminación nacional de dominio (ccTLD, una aproximación al país, no al registro de la empresa), en 261 millones de dominios evaluados. «Puede detener la suplantación» = una política DMARC en aplicación (
quarantine/reject). Las referencias a NIS2 a continuación son generales; esto no es asesoramiento jurídico. Consulte cómo evaluamos.
NIS2 no menciona DMARC por su nombre, pero exige «medidas adecuadas de ciberhigiene», y evitar que se suplante su dominio en el correo electrónico es algo tan básico como puede serlo la ciberhigiene. La Directiva NIS2 de la UE (plazo de transposición octubre de 2024) obliga a las entidades esenciales e importantes a adoptar medidas técnicas adecuadas y proporcionadas frente al riesgo cibernético. La autenticación del correo electrónico —SPF, DKIM y una política DMARC en aplicación— es el control estándar contra la suplantación que responde a esa obligación. El censo muestra que la mayoría de los dominios de la UE aún no han llegado a eso.
¿Qué nivel de exposición tienen hoy los dominios de la UE?
Proporción de dominios en cada terminación nacional con una política DMARC en aplicación (más alto es mejor; el resto puede ser suplantado). A fecha de 2026-06-29:
| País (terminación) | Puede detener la suplantación |
|---|---|
| Países Bajos (.nl) | 29,43% |
| Polonia (.pl) | 23,36% |
| Alemania (.de) | 21,38% |
| España (.es) | 15,02% |
| Bélgica (.be) | 14,91% |
| Francia (.fr) | 13,65% |
| Suecia (.se) | 10,18% |
| Irlanda (.ie) | 8,79% |
| Italia (.it) | 5,24% |
Incluso el líder de la UE, los Países Bajos, solo tiene el 29,43% de sus dominios capaces de detener la suplantación. Italia se sitúa en el 5,24%. A modo de comparación, la tasa de aplicación mundial es de apenas el 10,59%, así que Europa lidera el mundo y aun así deja a la gran mayoría de sus empresas suplantables.
Qué significa esto para una empresa dentro del ámbito de NIS2
Si es una entidad esencial o importante (o forma parte de la cadena de suministro de una), la autenticación del correo electrónico es una medida barata, visible y defendible que conviene tener implantada:
- SPF + DKIM + DMARC en aplicación impide que los delincuentes envíen correos en nombre de su organización, el mecanismo que hay detrás del fraude de facturas y de las estafas de suplantación del director.
- Es configuración de DNS gratuita, no la compra de un producto, por lo que su ausencia es difícil de justificar en una auditoría.
- Es verificable desde el exterior: auditores, aseguradoras y socios pueden comprobarlo en segundos, lo que es exactamente la razón por la que «el dominio puede ser suplantado» es un hallazgo que conviene cerrar antes de que lo plantee otra persona.
NIS2 no le dará una lista de verificación que diga «establezca p=reject». Pero cuando la directiva exige medidas proporcionadas frente a riesgos evidentes, un dominio desprotegido que cualquiera puede suplantar es una brecha difícil de defender.
Preguntas frecuentes
¿Exige NIS2 legalmente DMARC? NIS2 no nombra DMARC. Exige medidas adecuadas y proporcionadas de ciberhigiene y de gestión de riesgos; la autenticación del correo electrónico (SPF/DKIM/DMARC) es el control estándar que aborda el riesgo de suplantación del correo, por lo que se considera ampliamente que entra en el ámbito. Confirme los detalles con su asesor de cumplimiento.
¿Cuál es la postura mínima de autenticación del correo electrónico?
SPF y DKIM publicados, y DMARC configurado con una política en aplicación (quarantine o reject). Un registro DMARC en p=none supervisa pero no protege.
¿Cómo se comparan los países de la UE en esto? A fecha de 2026-06-29, la aplicación oscila entre alrededor del 5,24% (.it) y el 29,43% (.nl). La mayoría de los dominios de la UE todavía no pueden detener la suplantación.
¿Es caro solucionarlo? No, es configuración de DNS, gratuita de cambiar. El coste es el tiempo de hacerlo en el orden correcto.
Compruebe la postura de correo de su dominio relevante para NIS2
Vea si su dominio puede ser suplantado —y exactamente qué corregir— de forma privada y gratuita.
Compruebe su dominio → · Corregir DMARC → · Europa frente al mundo → · ¿Puede alguien suplantar su dominio? → · Solo datos agregados. Datos almacenados y procesados en la UE.