Defaults.Exposed

Defaults.Exposed › Raportit

Vaatiiko NIS2 DMARCin? Sähköpostin todennus ja EU:n kyberhygienia (2026)

Julkaistu 2026-06-29

Luvut ajankohdalta 2026-06-29 · menetelmä v7. Koottua kartoitusdataa kansallisen verkkotunnuspäätteen mukaan (ccTLD, maata kuvaava likiarvo, ei yrityksen rekisteröintimaa), 261 miljoonan arvostellun verkkotunnuksen joukossa. ”Pystyy estämään esiintymisen” = pakottava DMARC-käytäntö (quarantine/reject). Alla olevat NIS2-viittaukset ovat yleisluonteisia; tämä ei ole oikeudellista neuvontaa. Katso miten arvostelemme.

NIS2 ei mainitse DMARCia nimeltä — mutta se edellyttää ”asianmukaisia kyberhygieniatoimia”, ja sen estäminen, että verkkotunnuksesi nimissä esiinnytään sähköpostissa, on suunnilleen kaikkein perustavinta kyberhygieniaa. EU:n NIS2-direktiivi (täytäntöönpanon määräaika lokakuu 2024) velvoittaa keskeiset ja tärkeät toimijat toteuttamaan asianmukaiset, oikeasuhtaiset tekniset toimet kyberriskiä vastaan. Sähköpostin todentaminen — SPF, DKIM ja pakottava DMARC-käytäntö — on vakiomuotoinen esiintymisen estävä hallintakeino, joka vastaa tätä velvoitetta. Kartoitus osoittaa, että useimmat EU:n verkkotunnukset eivät ole vielä tällä tasolla.

Kuinka alttiita EU:n verkkotunnukset ovat nykyään?

Kunkin kansallisen päätteen verkkotunnusten osuus, joilla on pakottava DMARC-käytäntö (suurempi on parempi; loput voidaan esiintyä niinä). Ajankohtana 2026-06-29:

Maa (pääte)Pystyy estämään esiintymisen
Alankomaat (.nl)29.43%
Puola (.pl)23.36%
Saksa (.de)21.38%
Espanja (.es)15.02%
Belgia (.be)14.91%
Ranska (.fr)13.65%
Ruotsi (.se)10.18%
Irlanti (.ie)8.79%
Italia (.it)5.24%

Jopa EU:n johtajalla, Alankomailla, on vain 29.43% verkkotunnuksistaan kykeneviä estämään esiintymisen. Italia on tasolla 5.24%. Vertailun vuoksi maailmanlaajuinen pakottamisaste on vain 10.59% — eli Eurooppa johtaa maailmaa ja silti jättää suuren enemmistön yrityksistään alttiiksi esiintymiselle.

Mitä tämä tarkoittaa NIS2:n soveltamisalaan kuuluvalle yritykselle

Jos olet keskeinen tai tärkeä toimija (tai sellaisen toimitusketjussa), sähköpostin todentaminen on halpa, näkyvä ja puolustettavissa oleva toimi:

NIS2 ei ojenna sinulle tarkistuslistaa, jossa lukee ”aseta p=reject.” Mutta kun direktiivi vaatii oikeasuhtaisia toimia ilmeisiä riskejä vastaan, suojaamaton verkkotunnus, jona kuka tahansa voi esiintyä, on vaikeasti puolustettava puute.

Usein kysytyt kysymykset

Edellyttääkö NIS2 oikeudellisesti DMARCia? NIS2 ei mainitse DMARCia nimeltä. Se edellyttää asianmukaisia, oikeasuhtaisia kyberhygienia- ja riskienhallintatoimia; sähköpostin todentaminen (SPF/DKIM/DMARC) on vakiomuotoinen hallintakeino, joka käsittelee sähköpostiesiintymisen riskiä, joten se katsotaan yleisesti soveltamisalaan kuuluvaksi. Vahvista yksityiskohdat vaatimustenmukaisuusneuvojasi kanssa.

Mikä on sähköpostin todentamisen vähimmäistaso? SPF ja DKIM julkaistuna, ja DMARC asetettuna pakottavaan käytäntöön (quarantine tai reject). DMARC-tietue arvolla p=none valvoo mutta ei suojaa.

Miten EU-maat vertautuvat tässä? Ajankohtana 2026-06-29 pakottaminen vaihtelee noin 5.24 %:sta (.it) 29.43 %:iin (.nl). Useimmat EU:n verkkotunnukset eivät edelleenkään pysty estämään esiintymistä.

Onko sen korjaaminen kallista? Ei — se on DNS-määritys, jonka muuttaminen on ilmaista. Kustannus on aika, joka kuluu sen tekemiseen oikeassa järjestyksessä.

Tarkista verkkotunnuksesi NIS2:n kannalta olennainen sähköpostiasento

Katso, voidaanko verkkotunnuksenasi esiintyä — ja mitä tarkalleen pitää korjata — yksityisesti ja ilmaiseksi.

Tarkista verkkotunnuksesi → · Korjaa DMARC → · Eurooppa vs. maailma → · Voiko joku esiintyä verkkotunnuksenasi? → · Vain koottua dataa. Data tallennetaan ja käsitellään EU:ssa.