Defaults.Exposed

Defaults.Exposed › Relatórios

A NIS2 Exige DMARC? Autenticação de E-mail e Higiene Cibernética da UE (2026)

Publicado 2026-06-29

Números à data de 2026-06-29 · metodologia v7. Dados agregados do censo por terminação nacional de domínio (ccTLD, uma aproximação do país, não do registo da empresa), em 261 milhões de domínios avaliados. “Pode impedir a falsificação de identidade” = uma política DMARC em aplicação (quarantine/reject). As referências à NIS2 abaixo são gerais; isto não constitui aconselhamento jurídico. Consulte como avaliamos.

A NIS2 não menciona o DMARC pelo nome — mas exige “medidas adequadas de ciber-higiene”, e impedir que o seu domínio seja falsificado no e-mail é tão básico quanto a ciber-higiene pode ser. A Diretiva NIS2 da UE (prazo de transposição em outubro de 2024) obriga as entidades essenciais e importantes a adotarem medidas técnicas adequadas e proporcionadas contra o risco cibernético. A autenticação de e-mail — SPF, DKIM e uma política DMARC em aplicação — é o controlo padrão contra falsificação que corresponde a essa obrigação. O censo mostra que a maioria dos domínios da UE ainda não chegou lá.

Quão expostos estão os domínios da UE hoje?

Percentagem de domínios em cada terminação nacional com uma política DMARC em aplicação (mais alto é melhor; os restantes podem ser falsificados). À data de 2026-06-29:

País (terminação)Pode impedir a falsificação de identidade
Países Baixos (.nl)29,43%
Polónia (.pl)23,36%
Alemanha (.de)21,38%
Espanha (.es)15,02%
Bélgica (.be)14,91%
França (.fr)13,65%
Suécia (.se)10,18%
Irlanda (.ie)8,79%
Itália (.it)5,24%

Mesmo o líder da UE, os Países Baixos, tem apenas 29,43% dos seus domínios capazes de impedir a falsificação de identidade. A Itália situa-se nos 5,24%. Para comparação, a taxa global de aplicação é de apenas 10,59% — por isso a Europa lidera o mundo e ainda assim deixa a grande maioria das suas empresas vulneráveis à falsificação.

O que isto significa para uma empresa abrangida pela NIS2

Se for uma entidade essencial ou importante (ou estiver na cadeia de abastecimento de uma), a autenticação de e-mail é uma medida barata, visível e defensável que convém ter implementada:

A NIS2 não lhe entregará uma lista de verificação que diga “defina p=reject”. Mas quando a diretiva exige medidas proporcionadas contra riscos óbvios, um domínio desprotegido que qualquer pessoa pode falsificar é uma lacuna difícil de defender.

Perguntas frequentes

A NIS2 exige legalmente o DMARC? A NIS2 não nomeia o DMARC. Exige medidas adequadas e proporcionadas de ciber-higiene e de gestão de riscos; a autenticação de e-mail (SPF/DKIM/DMARC) é o controlo padrão que aborda o risco de falsificação de e-mail, pelo que é amplamente considerada como estando no âmbito. Confirme os detalhes com o seu consultor de conformidade.

Qual é a postura mínima de autenticação de e-mail? SPF e DKIM publicados, e DMARC definido para uma política em aplicação (quarantine ou reject). Um registo DMARC em p=none monitoriza mas não protege.

Como se comparam os países da UE neste aspeto? À data de 2026-06-29, a aplicação varia de cerca de 5,24% (.it) a 29,43% (.nl). A maioria dos domínios da UE ainda não consegue impedir a falsificação de identidade.

Corrigir isto é caro? Não — é configuração de DNS, gratuita de alterar. O custo é o tempo para o fazer na ordem certa.

Verifique a postura de e-mail relevante para a NIS2 do seu domínio

Veja se o seu domínio pode ser falsificado — e exatamente o que corrigir — de forma privada e gratuita.

Verifique o seu domínio → · Corrigir DMARC → · Europa vs. o mundo → · Alguém pode falsificar o seu domínio? → · Apenas dados agregados. Dados armazenados e processados na UE.