Defaults.Exposed

Defaults.Exposed › Rapporter

Kräver NIS2 DMARC? E-postautentisering och EU:s cyberhygien (2026)

Publicerad 2026-06-29

Siffror per 2026-06-29 · metodik v7. Aggregerade folkräkningsdata per nationell domänändelse (ccTLD, ett närmevärde för landet, inte för företagsregistreringen), över 261 miljoner betygsatta domäner. “Kan stoppa imitation” = en upprätthållande DMARC-policy (quarantine/reject). NIS2-hänvisningarna nedan är allmänna; detta är inte juridisk rådgivning. Se hur vi betygsätter.

NIS2 nämner inte DMARC vid namn — men det kräver “lämpliga åtgärder för cyberhygien”, och att hindra att din domän imiteras i e-post är ungefär så grundläggande som cyberhygien kan bli. EU:s NIS2-direktiv (tidsfrist för införlivande oktober 2024) ålägger väsentliga och viktiga entiteter att vidta lämpliga, proportionerliga tekniska åtgärder mot cyberrisk. E-postautentisering — SPF, DKIM och en upprätthållande DMARC-policy — är den standardåtgärd mot förfalskning som motsvarar den skyldigheten. Folkräkningen visar att de flesta EU-domäner inte är där än.

Hur exponerade är EU-domäner idag?

Andel domäner på varje nationell ändelse med en upprätthållande DMARC-policy (högre är bättre; resten kan imiteras). Per 2026-06-29:

Land (ändelse)Kan stoppa imitation
Nederländerna (.nl)29.43%
Polen (.pl)23.36%
Tyskland (.de)21.38%
Spanien (.es)15.02%
Belgien (.be)14.91%
Frankrike (.fr)13.65%
Sverige (.se)10.18%
Irland (.ie)8.79%
Italien (.it)5.24%

Även EU-ledaren, Nederländerna, har bara 29.43% av sina domäner som kan stoppa imitation. Italien ligger på 5.24%. Som jämförelse är den globala upprätthållandegraden bara 10.59% — så Europa leder världen och lämnar ändå den stora majoriteten av sina företag möjliga att förfalska.

Vad detta innebär för ett företag som omfattas av NIS2

Om du är en väsentlig eller viktig entitet (eller i leveranskedjan för en sådan) är e-postautentisering en billig, synlig, försvarbar åtgärd att ha på plats:

NIS2 kommer inte att ge dig en checklista som säger “ställ in p=reject”. Men när direktivet kräver proportionerliga åtgärder mot uppenbara risker är en oskyddad domän som vem som helst kan imitera en svårförsvarad lucka.

Vanliga frågor

Kräver NIS2 DMARC juridiskt? NIS2 namnger inte DMARC. Det kräver lämpliga, proportionerliga åtgärder för cyberhygien och riskhantering; e-postautentisering (SPF/DKIM/DMARC) är den standardåtgärd som hanterar risken för e-postförfalskning, så den anses allmänt omfattas. Bekräfta detaljerna med din efterlevnadsrådgivare.

Vad är den minimala e-postautentiseringsställningen? SPF och DKIM publicerade, och DMARC inställt på en upprätthållande policy (quarantine eller reject). En DMARC-post med p=none övervakar men skyddar inte.

Hur står sig EU-länderna mot varandra på detta? Per 2026-06-29 varierar upprätthållandet från cirka 5.24% (.it) till 29.43% (.nl). De flesta EU-domäner kan fortfarande inte stoppa imitation.

Är det dyrt att åtgärda? Nej — det är DNS-konfiguration, gratis att ändra. Kostnaden är tiden att göra det i rätt ordning.

Kontrollera din domäns NIS2-relevanta e-poststatus

Se om din domän kan imiteras — och exakt vad som behöver åtgärdas — privat och gratis.

Kontrollera din domän → · Åtgärda DMARC → · Europa mot världen → · Kan någon förfalska din domän? → · Endast aggregerade data. Data lagras och behandlas i EU.