Defaults.Exposed › Laporan
Apakah NIS2 Mewajibkan DMARC? Autentikasi Email dan Kebersihan Siber UE (2026)
Diterbitkan 2026-06-29
Angka per 2026-06-29 · metodologi v7. Data sensus agregat menurut akhiran domain nasional (ccTLD, proksi untuk negara, bukan registrasi perusahaan), di seluruh 261 juta domain yang dinilai. “Dapat menghentikan peniruan” = kebijakan DMARC yang menegakkan (
quarantine/reject). Rujukan NIS2 di bawah ini bersifat umum; ini bukan nasihat hukum. Lihat bagaimana kami menilai.
NIS2 tidak menyebut DMARC secara langsung — tetapi mensyaratkan “langkah-langkah kebersihan siber yang sesuai”, dan mencegah domain Anda ditiru dalam email adalah hal yang hampir sama mendasarnya dengan kebersihan siber. Direktif NIS2 Uni Eropa (tenggat transposisi Oktober 2024) mewajibkan entitas esensial dan penting untuk mengambil langkah-langkah teknis yang sesuai dan proporsional terhadap risiko siber. Autentikasi email — SPF, DKIM, dan kebijakan DMARC yang menegakkan — adalah kontrol anti-pemalsuan standar yang sesuai dengan kewajiban tersebut. Sensus menunjukkan sebagian besar domain Uni Eropa belum sampai di sana.
Seberapa terekspos domain Uni Eropa saat ini?
Pangsa domain pada setiap akhiran nasional dengan kebijakan DMARC yang menegakkan (lebih tinggi lebih baik; sisanya dapat ditiru). Per 2026-06-29:
| Negara (akhiran) | Dapat menghentikan peniruan |
|---|---|
| Belanda (.nl) | 29.43% |
| Polandia (.pl) | 23.36% |
| Jerman (.de) | 21.38% |
| Spanyol (.es) | 15.02% |
| Belgia (.be) | 14.91% |
| Prancis (.fr) | 13.65% |
| Swedia (.se) | 10.18% |
| Irlandia (.ie) | 8.79% |
| Italia (.it) | 5.24% |
Bahkan pemimpin Uni Eropa, Belanda, hanya memiliki 29.43% domainnya yang mampu menghentikan peniruan. Italia berada di 5.24%. Sebagai perbandingan, tingkat penegakan global hanya 10.59% — jadi Eropa memimpin dunia dan tetap saja membiarkan sebagian besar bisnisnya dapat dipalsukan.
Apa artinya ini bagi bisnis yang tercakup NIS2
Jika Anda adalah entitas esensial atau penting (atau berada dalam rantai pasok salah satunya), autentikasi email adalah langkah yang murah, terlihat, dan dapat dipertanggungjawabkan untuk diterapkan:
- SPF + DKIM + DMARC yang menegakkan menghentikan penjahat mengirim email atas nama organisasi Anda — mekanisme di balik penipuan faktur dan penipuan CEO.
- Ini adalah konfigurasi DNS gratis, bukan pembelian produk — sehingga ketiadaannya sulit dibenarkan dalam audit.
- Ini dapat diperiksa secara eksternal — auditor, perusahaan asuransi, dan mitra dapat memverifikasinya dalam hitungan detik, yang justru menjadi alasan mengapa “domain dapat dipalsukan” adalah temuan yang layak ditutup sebelum orang lain mengangkatnya.
NIS2 tidak akan memberikan daftar periksa yang berbunyi “atur p=reject”. Tetapi ketika direktif menuntut langkah-langkah proporsional terhadap risiko yang jelas, domain tanpa perlindungan yang dapat ditiru siapa saja adalah celah yang sulit dipertahankan.
Pertanyaan yang sering diajukan
Apakah NIS2 secara hukum mensyaratkan DMARC? NIS2 tidak menyebut DMARC. Ia mensyaratkan langkah-langkah kebersihan siber dan manajemen risiko yang sesuai dan proporsional; autentikasi email (SPF/DKIM/DMARC) adalah kontrol standar yang menangani risiko pemalsuan email, sehingga secara luas dianggap termasuk dalam cakupan. Konfirmasikan rincian dengan penasihat kepatuhan Anda.
Apa postur autentikasi email minimum?
SPF dan DKIM dipublikasikan, dan DMARC diatur ke kebijakan yang menegakkan (quarantine atau reject). Catatan DMARC pada p=none memantau tetapi tidak melindungi.
Bagaimana perbandingan negara-negara Uni Eropa dalam hal ini? Per 2026-06-29, penegakan berkisar dari sekitar 5.24% (.it) hingga 29.43% (.nl). Sebagian besar domain Uni Eropa masih belum dapat menghentikan peniruan.
Apakah memperbaikinya mahal? Tidak — ini konfigurasi DNS, gratis untuk diubah. Biayanya adalah waktu untuk melakukannya dalam urutan yang benar.
Periksa postur email domain Anda yang relevan dengan NIS2
Lihat apakah domain Anda dapat ditiru — dan apa persisnya yang harus diperbaiki — secara pribadi dan gratis.
Periksa domain Anda → · Perbaiki DMARC → · Eropa vs dunia → · Bisakah seseorang memalsukan domain Anda? → · Hanya data agregat. Data disimpan dan diproses di Uni Eropa.