Defaults.Exposed › Rapporten
Vereist NIS2 DMARC? E-mailauthenticatie en EU-cyberhygiëne (2026)
Gepubliceerd 2026-06-29
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens per nationale domeinextensie (ccTLD, een benadering voor het land, niet voor de bedrijfsregistratie), over 261 miljoen beoordeelde domeinen. “Kan imitatie tegenhouden” = een handhavend DMARC-beleid (
quarantine/reject). De NIS2-verwijzingen hieronder zijn algemeen; dit is geen juridisch advies. Zie hoe wij beoordelen.
NIS2 noemt DMARC niet bij naam — maar het vereist “passende maatregelen voor cyberhygiëne”, en voorkomen dat uw domein in e-mail wordt geïmiteerd is ongeveer zo basaal als cyberhygiëne maar kan zijn. De NIS2-richtlijn van de EU (omzettingsdeadline oktober 2024) verplicht essentiële en belangrijke entiteiten om passende, evenredige technische maatregelen te nemen tegen cyberrisico’s. E-mailauthenticatie — SPF, DKIM en een handhavend DMARC-beleid — is de standaardmaatregel tegen spoofing die aansluit op die verplichting. De census laat zien dat de meeste EU-domeinen daar nog niet zijn.
Hoe blootgesteld zijn EU-domeinen vandaag de dag?
Aandeel domeinen per nationale extensie met een handhavend DMARC-beleid (hoger is beter; de rest kan worden geïmiteerd). Per 2026-06-29:
| Land (extensie) | Kan imitatie tegenhouden |
|---|---|
| Nederland (.nl) | 29,43% |
| Polen (.pl) | 23,36% |
| Duitsland (.de) | 21,38% |
| Spanje (.es) | 15,02% |
| België (.be) | 14,91% |
| Frankrijk (.fr) | 13,65% |
| Zweden (.se) | 10,18% |
| Ierland (.ie) | 8,79% |
| Italië (.it) | 5,24% |
Zelfs de EU-koploper, Nederland, heeft slechts 29,43% van zijn domeinen die imitatie kunnen tegenhouden. Italië zit op 5,24%. Ter vergelijking: het wereldwijde handhavingspercentage is slechts 10,59% — dus Europa loopt voorop in de wereld en laat toch de grote meerderheid van zijn bedrijven imiteerbaar.
Wat dit betekent voor een onder NIS2 vallend bedrijf
Als u een essentiële of belangrijke entiteit bent (of in de toeleveringsketen van een ervan zit), is e-mailauthenticatie een goedkope, zichtbare, verdedigbare maatregel om op orde te hebben:
- SPF + DKIM + handhavend DMARC voorkomt dat criminelen e-mail versturen namens uw organisatie — het mechanisme achter factuurfraude en CEO-fraude.
- Het is gratis DNS-configuratie, geen productaankoop — dus de afwezigheid ervan is moeilijk te rechtvaardigen bij een audit.
- Het is extern controleerbaar — auditors, verzekeraars en partners kunnen het in seconden verifiëren, wat precies de reden is waarom “domein kan worden gespooft” een bevinding is die het waard is om te sluiten voordat iemand anders het aankaart.
NIS2 geeft u geen checklist die zegt “stel p=reject in”. Maar wanneer de richtlijn vraagt om evenredige maatregelen tegen voor de hand liggende risico’s, is een onbeschermd domein dat iedereen kan imiteren een lastig te verdedigen tekortkoming.
Veelgestelde vragen
Vereist NIS2 wettelijk DMARC? NIS2 noemt DMARC niet. Het vereist passende, evenredige maatregelen voor cyberhygiëne en risicobeheer; e-mailauthenticatie (SPF/DKIM/DMARC) is de standaardmaatregel die het risico van e-mailspoofing aanpakt, dus het wordt breed beschouwd als vallend binnen het toepassingsgebied. Bevestig de specifieke details met uw compliance-adviseur.
Wat is de minimale e-mailauthenticatie-houding?
SPF en DKIM gepubliceerd, en DMARC ingesteld op een handhavend beleid (quarantine of reject). Een DMARC-record op p=none monitort maar beschermt niet.
Hoe verhouden EU-landen zich hierop? Per 2026-06-29 varieert de handhaving van ongeveer 5,24% (.it) tot 29,43% (.nl). De meeste EU-domeinen kunnen imitatie nog steeds niet tegenhouden.
Is het oplossen ervan duur? Nee — het is DNS-configuratie, gratis te wijzigen. De kosten zijn de tijd om het in de juiste volgorde te doen.
Controleer de NIS2-relevante e-mailhouding van uw domein
Bekijk of uw domein kan worden geïmiteerd — en precies wat u moet oplossen — privé en gratis.
Controleer uw domein → · DMARC oplossen → · Europa versus de wereld → · Kan iemand uw domein spoofen? → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.