Pokud zjišťujete, co NIS2 znamená pro e-maily vaší organizace, je tento průvodce pro vás. NIS2 je aktualizovaný zákon Evropské unie o kybernetické bezpečnosti, formálně směrnice (EU) 2022/2555. Rozšiřuje starší pravidla tak, aby pokryla mnohem více organizací, a zavádí přísnější požadavky na bezpečnostní opatření, která musí zavést.
Jednou z prvních otázek, které lidé kladou, je, zda vyžaduje DMARC, tedy standard, který brání ostatním v odesílání e-mailů z vaší domény. Upřímná odpověď má dvě části. NIS2 nikde ve svém textu DMARC neuvádí. Vyžaduje však po organizacích, aby chránily své e-maily před podvržením, a aby to dělaly na úrovni, která padělanou poštu blokuje, nikoli pouze sleduje. V praxi je to právě to, co vám DMARC ve vynucovacím režimu poskytuje.
Tento průvodce popisuje, na koho se NIS2 vztahuje, kam do jeho požadavků zapadá ověřování e-mailů a co dělat, pokud se NIS2 vztahuje na vaši organizaci, ať už spravujete vlastní DNS, nebo se spoléháte na někoho, kdo to dělá za vás.
Ne, ne jmenovitě. NIS2 nikde ve svém textu nezmiňuje DMARC, SPF ani DKIM. Vyžaduje, aby organizace, na které se vztahuje, přijaly vhodná a přiměřená opatření ke správě svého rizika v oblasti kybernetické bezpečnosti a aby o tom dokázaly předložit důkazy.
Ověřování e-mailů je způsob, jak část této povinnosti splníte. Podvržený e-mail patří mezi nejčastější způsoby, jak může útočník prolomit vaši bezpečnost, a zabránit tomu, aby z vaší domény odcházela padělaná pošta, je přesně ten druh opatření, jaký směrnice očekává. Přesně k tomu je DMARC určen, takže praktická odpověď na otázku, zda NIS2 vyžaduje DMARC, se blíží k „ano“, i když to není výslovně řečeno.
NIS2 pokrývá střední a velké organizace napříč 18 odvětvími, mezi něž patří energetika, doprava, bankovnictví, zdravotnictví, dodávky pitné vody, digitální infrastruktura, veřejná správa a poštovní služby. Pokud provozujete střední nebo velkou organizaci v jednom z těchto odvětví, pravděpodobně se na vás vztahuje, i když jste se nikdy nepovažovali za kritickou infrastrukturu.
NIS2 řadí tyto organizace do dvou kategorií. Základní subjekty, tedy větší provozovatelé v nejkritičtějších odvětvích, čelí proaktivnímu dohledu a nejpřísnějším sankcím. Důležité subjekty, tedy zbývající organizace v působnosti směrnice, čelí mírnějšímu dohledu, který se uplatní většinou až po incidentu.
Základní subjekty mohou za nedodržení pravidel čelit pokutám až do výše 10 milionů eur nebo 2 % celkového celosvětového ročního obratu, podle toho, která částka je vyšší. Důležité subjekty čelí pokutám až do výše 7 milionů eur nebo 1,4 % obratu. NIS2 také činí vrcholové vedení osobně odpovědným.
NIS2 stanovuje své bezpečnostní povinnosti v článku 21, který vyjmenovává opatření k řízení rizik, jež dotčené organizace musí přijmout. Tento seznam je záměrně široký: zabezpečení sítě, řízení přístupu, šifrování, řešení incidentů a základní kybernetická hygiena, mimo jiné. Ověřování e-mailů zde není uvedeno samostatně, protože směrnice popisuje bezpečnostní výsledky, které očekává, nikoli konkrétní metody nebo technologie, jimiž jich dosáhnete.
U jedné skupiny organizací jde NIS2 ještě dál. Směrnice má vlastní prováděcí nařízení, prováděcí nařízení Komise (EU) 2024/2690, které stanovuje závazná technická pravidla pro poskytovatele digitální infrastruktury, jako jsou poskytovatelé DNS, provozovatelé cloudu a poskytovatelé spravovaných služeb. Obecnou formulaci článku 21 pro ně mění na konkrétní požadavky. Po jeho přijetí zveřejnila agentura EU pro kybernetickou bezpečnost ENISA v červnu 2025 technické pokyny k implementaci, které popisují, jak každé pravidlo splnit a jaké důkazy bude auditor hledat. Ověřování e-mailů, včetně SPF, DKIM a DMARC, je součástí jeho opatření pro zabezpečení e-mailů a sítě.
Pokud vaše organizace není jedním z těchto poskytovatelů digitální infrastruktury, prováděcí nařízení vás přímo nezavazuje, ale samotný NIS2 stále platí. Jeho obecná povinnost podle článku 21 očekává přiměřená bezpečnostní opatření a ochrana vaší domény před podvržením je toho jasným příkladem. Ověřování e-mailů je standardní způsob, jak to udělat.
Protože NIS2 nejmenuje žádnou konkrétní technologii, je namístě se ptát, zda by vás v souladu udrželo i něco jiného než DMARC. Proti obecným e-mailovým hrozbám pomáhá několik nástrojů: zabezpečená e-mailová brána, antiphishingový filtr, kontrola odkazů a příloh a školení zaměstnanců v oblasti bezpečnostního povědomí. Každý z nich má v bezpečnostním programu své místo.
Žádný z nich ale neřeší ten konkrétní problém. Tyto nástroje kontrolují poštu ve chvíli, kdy dorazí do vašich vlastních schránek. Nijak nezabrání tomu, aby někdo padělal vaši doménu tak, aby podvodný e-mail vypadal, jako by přišel od vás, a poslal ho vašim zákazníkům, partnerům nebo zaměstnancům. Tato hrozba směřuje ven, nikoli dovnitř, a jediný zavedený způsob, jak ji řešit, je ověřování e-mailů. SPF a DKIM dokazují, že zpráva je oprávněna použít vaši doménu. DMARC pak tyto kontroly propojí s názvem domény, který vaši příjemci vidí, sdělí přijímajícím serverům, jak naložit s poštou, která neprojde, a výsledky vám reportuje zpět. Skutečná náhrada neexistuje.
V této souvislosti se často objevují dvě související opatření a ani jedno ověřování nenahrazuje. Šifrování při přenosu, prostřednictvím MTA-STS a TLS-RPT, se v technických pokynech NIS2 také objevuje, ale chrání poštu během přenosu, místo aby dokazovalo, kdo ji odeslal. BIMI také závisí na DMARC ve vynucovacím režimu: vkládá vaše logo vedle vašich zpráv ve schránce, takže je odměnou za dobře odvedené ověřování, nikoli jeho alternativou.
Volba, kterou vám tedy NIS2 nechává, není, který standard přijmout. Je to, jak provozovat ten, který už existuje: kterého poskytovatele, jaké nástroje a zda jej provozovat vlastními silami, nebo prostřednictvím monitorovací služby. To je také důvod, proč auditor očekává zavedené ověřování e-mailů, přestože to směrnice nikde výslovně neuvádí.
Zveřejnit záznam DMARC není totéž jako být jím chráněn. Záznam nastavený na p=none říká přijímajícím poštovním serverům, aby sledovaly a reportovaly, ale podvržené zprávy přesto doručily. Aby se pošta, která neprojde ověřením, blokovala, musí se zásada posunout na p=quarantine nebo p=reject. To je hranice mezi sledováním a ochranou a úroveň, kterou tato pravidla požadují.
Většina domén ji nepřekročila. V datové sadě DMARCeye za 1. čtvrtletí 2026 zůstává většina domén evropských zemí stále u zásady pouze pro sledování: zhruba 39 % domén .de, 50 % domén .fr a 43 % domén .nl je na p=none. České domény jsou v této sadě nejvíce vystavené, přibližně 69 % je na p=none a jen jedna z deseti na p=reject. Doména v této skupině má záznam DMARC, který auditor vidí, ale bez vynucení za ním.
Tato čísla pocházejí z odvětvové zprávy DMARCeye za 1. čtvrtletí 2026 o stavu adopce DMARC.
Tento vzorec není pro NIS2 ojedinělý. Stejná laťka vynucení se objevuje i v antiphishingovém požadavku PCI DSS a v pravidlech pro odesílatele od Googlu a Yahoo: záznam, který nic neblokuje, se nepočítá. Pokud si nejste jisti, co vaše vlastní doména publikuje, můžete si to zkontrolovat zde.
Cesta k vynucovací zásadě je stejná, ať už je důvodem NIS2, PCI DSS, nebo prostě to, že nechcete, aby vaši doménu někdo padělal. Na pořadí záleží, protože postupovat příliš rychle je způsob, jak se zablokuje legitimní pošta.
Začněte tím, že najdete každou službu, která odesílá e-maily z vaší domény: vaši vlastní e-mailovou platformu, ale také marketingový nástroj, fakturační systém, helpdesk a cokoli dalšího, co odesílá poštu vaším jménem. Každou z nich ověřte pro SPF nebo DKIM, aby její pošta procházela čistě. Poté si po dobu několika týdnů čtěte své souhrnné zprávy DMARC, abyste se ujistili, že nic legitimního neselhává, a teprve poté posuňte zásadu na p=quarantine a dále na p=reject. Kompletní průvodce implementací provede každým krokem podrobně.
Poznámka pro marketingové a komunikační pracovníky, kteří tohle pravděpodobně čtou: pokud nespravujete DNS své organizace, není tato změna něčím, co provedete sami. Záznam DMARC žije v DNS, takže posun k vynucení patří tomu, kdo spravuje záznamy vaší domény, obvykle IT nebo externí poskytovatel. Vaším úkolem je zajistit, aby každý odesílací nástroj, který vlastníte, byl na výše uvedeném seznamu, aby se při zpřísnění zásady nic legitimního nezachytilo.
Tuto mezeru má vyřešit bezplatný plán od DMARCeye. Čte vaše zprávy DMARC a ukazuje vám, kteří odesílatelé procházejí a kteří selhávají. Poté vám řekne, co opravit jako další, takže posun od sledování k vynucení je série jasných kroků, nikoli hádání.
NIS2 vstoupil v platnost na úrovni EU s lhůtou pro transpozici do 17. října 2024, do kdy ji měly členské státy převést do národního práva. Mnohé tuto lhůtu nestihly a národní zákony se od té doby zavádějí podle vlastních harmonogramů.
V praxi vaše přesné povinnosti závisí na prováděcím zákoně vaší země, nejen na samotné směrnici. Technický směr je nicméně jasný: prováděcí nařízení a pokyny ENISA popisují, jak vypadá dobrá praxe, a ověřování e-mailů na úrovni vynucovací zásady je její součástí. Před vymezením rozsahu projektu na zajištění souladu si ověřte stav transpozice ve vaší zemi.
NIS2 vám nepředá kontrolní seznam s položkou DMARC. Předá vám povinnost řídit e-mailové riziko a doložit, že to děláte, a ověřování e-mailů na úrovni vynucovací zásady je způsob, jak ji splníte. Číst směrnici jako „DMARC je teď povinný“ ji přehání. Brát vynucení jako volitelné ji podceňuje. Přesná pozice leží mezi tím.
Práce spočívá v tom znát každou službu, která odesílá vaším jménem, každou z nich ověřit a posunout se k vynucení, aniž byste narušili legitimní poštu. DMARCeye existuje proto, aby tuto práci zviditelnil a učinil zvládnutelnou, doménu po doméně, aby se soulad stal vedlejším produktem správně dělaného zabezpečení e-mailů.