Defaults.Exposed › Raporty
Czy NIS2 wymaga DMARC? Uwierzytelnianie poczty a higiena cyfrowa w UE (2026)
Opublikowano 2026-06-29
Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisowe według krajowej końcówki domeny (ccTLD, przybliżenie kraju, a nie rejestracji firmy), na 261 milionach ocenionych domen. „Może powstrzymać podszywanie się” = egzekwowana polityka DMARC (
quarantine/reject). Poniższe odniesienia do NIS2 mają charakter ogólny; nie stanowi to porady prawnej. Zobacz jak oceniamy.
NIS2 nie wymienia DMARC z nazwy — ale wymaga „odpowiednich środków cyberhigieny”, a uniemożliwienie podszywania się pod Twoją domenę w wiadomościach e-mail jest mniej więcej tak podstawowe, jak tylko cyberhigiena może być. Dyrektywa UE NIS2 (termin transpozycji październik 2024 r.) zobowiązuje podmioty kluczowe i ważne do podejmowania odpowiednich, proporcjonalnych środków technicznych przeciwko ryzyku cybernetycznemu. Uwierzytelnianie poczty e-mail — SPF, DKIM i egzekwowana polityka DMARC — to standardowy środek antyspoofingowy odpowiadający temu obowiązkowi. Spis pokazuje, że większość domen UE jeszcze tego nie osiągnęła.
Jak narażone są dziś domeny UE?
Udział domen na każdej krajowej końcówce z egzekwowaną polityką DMARC (wyżej znaczy lepiej; pod resztę można się podszyć). Na dzień 2026-06-29:
| Kraj (końcówka) | Może powstrzymać podszywanie się |
|---|---|
| Holandia (.nl) | 29,43% |
| Polska (.pl) | 23,36% |
| Niemcy (.de) | 21,38% |
| Hiszpania (.es) | 15,02% |
| Belgia (.be) | 14,91% |
| Francja (.fr) | 13,65% |
| Szwecja (.se) | 10,18% |
| Irlandia (.ie) | 8,79% |
| Włochy (.it) | 5,24% |
Nawet lider UE, Holandia, ma jedynie 29,43% domen zdolnych powstrzymać podszywanie się. Włochy plasują się na poziomie 5,24%. Dla porównania, globalny wskaźnik egzekwowania wynosi zaledwie 10,59% — więc Europa przoduje na świecie i mimo to pozostawia zdecydowaną większość swoich firm podatnymi na podszywanie się.
Co to oznacza dla firmy objętej zakresem NIS2
Jeśli jesteś podmiotem kluczowym lub ważnym (lub w łańcuchu dostaw takiego podmiotu), uwierzytelnianie poczty e-mail to tani, widoczny, możliwy do obronienia środek, który warto wdrożyć:
- SPF + DKIM + egzekwowany DMARC powstrzymuje przestępców przed wysyłaniem wiadomości e-mail w imieniu Twojej organizacji — mechanizm stojący za oszustwami fakturowymi i oszustwami „na prezesa”.
- To darmowa konfiguracja DNS, a nie zakup produktu — więc jej brak trudno uzasadnić podczas audytu.
- Jest sprawdzalna z zewnątrz — audytorzy, ubezpieczyciele i partnerzy mogą to zweryfikować w kilka sekund, co jest dokładnie powodem, dla którego „domena może zostać sfałszowana” to ustalenie warte zamknięcia, zanim podniesie je ktoś inny.
NIS2 nie wręczy Ci listy kontrolnej z napisem „ustaw p=reject”. Ale gdy dyrektywa wymaga proporcjonalnych środków przeciwko oczywistym zagrożeniom, niezabezpieczona domena, pod którą każdy może się podszyć, to luka trudna do obrony.
Najczęściej zadawane pytania
Czy NIS2 prawnie wymaga DMARC? NIS2 nie wymienia DMARC. Wymaga odpowiednich, proporcjonalnych środków cyberhigieny i zarządzania ryzykiem; uwierzytelnianie poczty e-mail (SPF/DKIM/DMARC) to standardowy środek odnoszący się do ryzyka spoofingu e-mail, więc jest powszechnie traktowany jako objęty zakresem. Potwierdź szczegóły ze swoim doradcą ds. zgodności.
Jaka jest minimalna postawa uwierzytelniania poczty e-mail?
Opublikowane SPF i DKIM oraz DMARC ustawiony na egzekwowaną politykę (quarantine lub reject). Rekord DMARC z p=none monitoruje, ale nie chroni.
Jak kraje UE wypadają na tym tle? Na dzień 2026-06-29 egzekwowanie waha się od około 5,24% (.it) do 29,43% (.nl). Większość domen UE wciąż nie potrafi powstrzymać podszywania się.
Czy naprawa jest kosztowna? Nie — to konfiguracja DNS, darmowa do zmiany. Kosztem jest czas, by zrobić to we właściwej kolejności.
Sprawdź istotną dla NIS2 postawę e-mailową swojej domeny
Sprawdź, czy pod Twoją domenę można się podszyć — i co dokładnie naprawić — prywatnie i bezpłatnie.
Sprawdź swoją domenę → · Napraw DMARC → · Europa kontra świat → · Czy ktoś może podszyć się pod Twoją domenę? → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.