Defaults.Exposed › Rapporter
Krever NIS2 DMARC? E-postautentisering og cyberhygiene i EU (2026)
Publisert 2026-06-29
Tall per 2026-06-29 · metodikk v7. Aggregerte folketellingsdata etter nasjonal domeneendelse (ccTLD, en tilnærming for landet, ikke selskapsregistrering), på tvers av 261 millioner graderte domener. «Kan stoppe etterligning» = en håndhevende DMARC-policy (
quarantine/reject). NIS2-henvisninger nedenfor er generelle; dette er ikke juridisk rådgivning. Se hvordan vi graderer.
NIS2 nevner ikke DMARC ved navn — men den krever «egnede cyberhygiene-tiltak», og å hindre at domenet ditt blir etterlignet i e-post er omtrent så grunnleggende som cyberhygiene blir. EUs NIS2-direktiv (innføringsfrist oktober 2024) forplikter vesentlige og viktige virksomheter til å iverksette egnede, forholdsmessige tekniske tiltak mot cyberrisiko. E-postautentisering — SPF, DKIM og en håndhevende DMARC-policy — er standardkontrollen mot etterligning som svarer til den forpliktelsen. Folketellingen viser at de fleste EU-domener ennå ikke er der.
Hvor utsatte er EU-domener i dag?
Andel domener på hver nasjonal endelse med en håndhevende DMARC-policy (høyere er bedre; resten kan etterlignes). Per 2026-06-29:
| Land (endelse) | Kan stoppe etterligning |
|---|---|
| Nederland (.nl) | 29.43% |
| Polen (.pl) | 23.36% |
| Tyskland (.de) | 21.38% |
| Spania (.es) | 15.02% |
| Belgia (.be) | 14.91% |
| Frankrike (.fr) | 13.65% |
| Sverige (.se) | 10.18% |
| Irland (.ie) | 8.79% |
| Italia (.it) | 5.24% |
Selv EU-lederen, Nederland, har bare 29.43% av domenene sine i stand til å stoppe etterligning. Italia ligger på 5.24%. Til sammenligning er den globale håndhevingsraten bare 10.59% — så Europa leder verden og lar likevel det store flertallet av sine bedrifter være mulig å etterligne.
Hva dette betyr for en NIS2-omfattet virksomhet
Hvis du er en vesentlig eller viktig virksomhet (eller i forsyningskjeden til en), er e-postautentisering et billig, synlig og forsvarbart tiltak å ha på plass:
- SPF + DKIM + håndhevende DMARC hindrer kriminelle i å sende e-post som organisasjonen din — mekanismen bak fakturasvindel og direktørsvindel.
- Det er gratis DNS-konfigurasjon, ikke et produktkjøp — så fraværet er vanskelig å rettferdiggjøre i en revisjon.
- Det er eksternt kontrollerbart — revisorer, forsikringsselskaper og partnere kan verifisere det på sekunder, og det er nettopp derfor «domenet kan etterlignes» er et funn det er verdt å lukke før noen andre tar det opp.
NIS2 gir deg ikke en sjekkliste som sier «sett p=reject». Men når direktivet ber om forholdsmessige tiltak mot åpenbare risikoer, er et ubeskyttet domene som hvem som helst kan etterligne et vanskelig hull å forsvare.
Ofte stilte spørsmål
Krever NIS2 juridisk sett DMARC? NIS2 nevner ikke DMARC ved navn. Den krever egnede, forholdsmessige tiltak for cyberhygiene og risikohåndtering; e-postautentisering (SPF/DKIM/DMARC) er standardkontrollen som håndterer risikoen for e-postetterligning, så den behandles vanligvis som omfattet. Bekreft detaljer med din etterlevelsesrådgiver.
Hva er minimumsnivået for e-postautentisering?
SPF og DKIM publisert, og DMARC satt til en håndhevende policy (quarantine eller reject). En DMARC-oppføring på p=none overvåker, men beskytter ikke.
Hvordan sammenligner EU-land seg på dette? Per 2026-06-29 varierer håndhevingen fra omtrent 5.24% (.it) til 29.43% (.nl). De fleste EU-domener kan fortsatt ikke stoppe etterligning.
Er det dyrt å fikse? Nei — det er DNS-konfigurasjon, gratis å endre. Kostnaden er tiden det tar å gjøre det i riktig rekkefølge.
Sjekk domenets NIS2-relevante e-postposisjon
Se om domenet ditt kan etterlignes — og nøyaktig hva som må fikses — privat og gratis.
Sjekk domenet ditt → · Fiks DMARC → · Europa vs verden → · Kan noen etterligne domenet ditt? → · Kun aggregerte data. Data lagret og behandlet i EU.