Defaults.Exposed

Defaults.Exposed › Rapporter

Krever NIS2 DMARC? E-postautentisering og cyberhygiene i EU (2026)

Publisert 2026-06-29

Tall per 2026-06-29 · metodikk v7. Aggregerte folketellingsdata etter nasjonal domeneendelse (ccTLD, en tilnærming for landet, ikke selskapsregistrering), på tvers av 261 millioner graderte domener. «Kan stoppe etterligning» = en håndhevende DMARC-policy (quarantine/reject). NIS2-henvisninger nedenfor er generelle; dette er ikke juridisk rådgivning. Se hvordan vi graderer.

NIS2 nevner ikke DMARC ved navn — men den krever «egnede cyberhygiene-tiltak», og å hindre at domenet ditt blir etterlignet i e-post er omtrent så grunnleggende som cyberhygiene blir. EUs NIS2-direktiv (innføringsfrist oktober 2024) forplikter vesentlige og viktige virksomheter til å iverksette egnede, forholdsmessige tekniske tiltak mot cyberrisiko. E-postautentisering — SPF, DKIM og en håndhevende DMARC-policy — er standardkontrollen mot etterligning som svarer til den forpliktelsen. Folketellingen viser at de fleste EU-domener ennå ikke er der.

Hvor utsatte er EU-domener i dag?

Andel domener på hver nasjonal endelse med en håndhevende DMARC-policy (høyere er bedre; resten kan etterlignes). Per 2026-06-29:

Land (endelse)Kan stoppe etterligning
Nederland (.nl)29.43%
Polen (.pl)23.36%
Tyskland (.de)21.38%
Spania (.es)15.02%
Belgia (.be)14.91%
Frankrike (.fr)13.65%
Sverige (.se)10.18%
Irland (.ie)8.79%
Italia (.it)5.24%

Selv EU-lederen, Nederland, har bare 29.43% av domenene sine i stand til å stoppe etterligning. Italia ligger på 5.24%. Til sammenligning er den globale håndhevingsraten bare 10.59% — så Europa leder verden og lar likevel det store flertallet av sine bedrifter være mulig å etterligne.

Hva dette betyr for en NIS2-omfattet virksomhet

Hvis du er en vesentlig eller viktig virksomhet (eller i forsyningskjeden til en), er e-postautentisering et billig, synlig og forsvarbart tiltak å ha på plass:

NIS2 gir deg ikke en sjekkliste som sier «sett p=reject». Men når direktivet ber om forholdsmessige tiltak mot åpenbare risikoer, er et ubeskyttet domene som hvem som helst kan etterligne et vanskelig hull å forsvare.

Ofte stilte spørsmål

Krever NIS2 juridisk sett DMARC? NIS2 nevner ikke DMARC ved navn. Den krever egnede, forholdsmessige tiltak for cyberhygiene og risikohåndtering; e-postautentisering (SPF/DKIM/DMARC) er standardkontrollen som håndterer risikoen for e-postetterligning, så den behandles vanligvis som omfattet. Bekreft detaljer med din etterlevelsesrådgiver.

Hva er minimumsnivået for e-postautentisering? SPF og DKIM publisert, og DMARC satt til en håndhevende policy (quarantine eller reject). En DMARC-oppføring på p=none overvåker, men beskytter ikke.

Hvordan sammenligner EU-land seg på dette? Per 2026-06-29 varierer håndhevingen fra omtrent 5.24% (.it) til 29.43% (.nl). De fleste EU-domener kan fortsatt ikke stoppe etterligning.

Er det dyrt å fikse? Nei — det er DNS-konfigurasjon, gratis å endre. Kostnaden er tiden det tar å gjøre det i riktig rekkefølge.

Sjekk domenets NIS2-relevante e-postposisjon

Se om domenet ditt kan etterlignes — og nøyaktig hva som må fikses — privat og gratis.

Sjekk domenet ditt → · Fiks DMARC → · Europa vs verden → · Kan noen etterligne domenet ditt? → · Kun aggregerte data. Data lagret og behandlet i EU.