Defaults.Exposed › Звіти
Чи вимагає NIS2 DMARC? Автентифікація email та кібергігієна ЄС (2026)
Опубліковано 2026-06-29
Дані станом на 2026-06-29 · методологія v7. Агреговані дані перепису за національним закінченням домену (ccTLD, приблизний показник країни, а не реєстрації компанії), серед 261 мільйонів оцінених доменів. «Може зупинити видавання себе за іншого» = політика DMARC із примусовим застосуванням (
quarantine/reject). Згадки про NIS2 нижче мають загальний характер; це не юридична консультація. Див. як ми виставляємо оцінки.
NIS2 не згадує DMARC поіменно — але вимагає «належних заходів кібергігієни», а недопущення видавання вашого домену за інший у пошті — це чи не найбазовіша кібергігієна. Директива ЄС NIS2 (крайній термін транспонування — жовтень 2024 року) зобов’язує основні та важливі суб’єкти вживати належних, пропорційних технічних заходів проти кіберризику. Автентифікація пошти — SPF, DKIM і політика DMARC із примусовим застосуванням — це стандартний засіб контролю проти підробки, який відповідає цьому обов’язку. Перепис показує, що більшість доменів ЄС ще не досягли цього рівня.
Наскільки вразливі домени ЄС сьогодні?
Частка доменів на кожному національному закінченні з політикою DMARC із примусовим застосуванням (більше — краще; решту можна видавати за інші). Станом на 2026-06-29:
| Країна (закінчення) | Може зупинити видавання за іншого |
|---|---|
| Нідерланди (.nl) | 29.43% |
| Польща (.pl) | 23.36% |
| Німеччина (.de) | 21.38% |
| Іспанія (.es) | 15.02% |
| Бельгія (.be) | 14.91% |
| Франція (.fr) | 13.65% |
| Швеція (.se) | 10.18% |
| Ірландія (.ie) | 8.79% |
| Італія (.it) | 5.24% |
Навіть лідер ЄС, Нідерланди, має лише 29.43% своїх доменів, здатних зупинити видавання за іншого. Італія перебуває на рівні 5.24%. Для порівняння: світовий показник примусового застосування становить лише 10.59% — отже, Європа лідирує у світі й усе одно залишає переважну більшість своїх підприємств уразливими до підробки.
Що це означає для бізнесу в межах NIS2
Якщо ви основний чи важливий суб’єкт (або в ланцюгу постачання такого), автентифікація пошти — це дешевий, помітний і захищений захід, який варто запровадити:
- SPF + DKIM + DMARC із примусовим застосуванням не дає злочинцям надсилати листи від імені вашої організації — механізм, що стоїть за шахрайством із рахунками-фактурами та аферами з видаванням себе за керівника.
- Це безкоштовна конфігурація DNS, а не купівля продукту — тож її відсутність важко виправдати під час аудиту.
- Це перевіряється ззовні — аудитори, страховики та партнери можуть підтвердити це за секунди, і саме тому «домен можна підробити» — це висновок, який варто закрити, перш ніж його підніме хтось інший.
NIS2 не вручить вам контрольний список зі словами «встановіть p=reject». Але коли директива вимагає пропорційних заходів проти очевидних ризиків, незахищений домен, який будь-хто може видати за інший, — це прогалину важко захистити.
Поширені запитання
Чи вимагає NIS2 DMARC з юридичної точки зору? NIS2 не згадує DMARC поіменно. Вона вимагає належних, пропорційних заходів кібергігієни та управління ризиками; автентифікація пошти (SPF/DKIM/DMARC) — це стандартний засіб контролю, що усуває ризик підробки пошти, тож її широко вважають такою, що входить до сфери дії. Уточніть деталі у свого радника з відповідності.
Який мінімальний рівень автентифікації пошти?
Опубліковані SPF і DKIM, а DMARC налаштований на політику примусового застосування (quarantine або reject). Запис DMARC зі значенням p=none відстежує, але не захищає.
Як країни ЄС порівнюються в цьому? Станом на 2026-06-29 примусове застосування коливається приблизно від 5.24% (.it) до 29.43% (.nl). Більшість доменів ЄС досі не можуть зупинити видавання за іншого.
Чи дорого це виправити? Ні — це конфігурація DNS, яку змінити безкоштовно. Витрати — це час, потрібний, щоб зробити це в правильному порядку.
Перевірте поштовий стан вашого домену з огляду на NIS2
Дізнайтеся, чи можна видати ваш домен за інший — і що саме треба виправити — приватно й безкоштовно.
Перевірте свій домен → · Виправити DMARC → · Європа проти світу → · Чи може хтось підробити ваш домен? → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.