Wenn Sie herausfinden möchten, was NIS2 für die E-Mails Ihrer Organisation bedeutet, ist dieser Leitfaden für Sie. NIS2 ist das aktualisierte Cybersicherheitsgesetz der Europäischen Union, formell die Richtlinie (EU) 2022/2555. Sie erweitert die älteren Regeln auf deutlich mehr Organisationen und stellt strengere Anforderungen an die Sicherheitsmaßnahmen, die diese umsetzen müssen.
Eine der ersten Fragen, die Menschen stellen, ist, ob sie DMARC verlangt, den Standard, der andere daran hindert, E-Mails im Namen Ihrer Domain zu versenden. Die ehrliche Antwort hat zwei Teile. NIS2 nennt DMARC an keiner Stelle in ihrem Text. Aber sie verlangt von Organisationen, ihre E-Mails gegen Spoofing zu schützen, und das auf einem Niveau, das gefälschte Nachrichten blockiert, statt sie nur zu überwachen. In der Praxis ist genau das, was DMARC im Durchsetzungsmodus bietet.
Dieser Leitfaden behandelt, für wen NIS2 gilt, wo E-Mail-Authentifizierung in ihre Anforderungen passt und was zu tun ist, wenn NIS2 für Ihre Organisation gilt, ob Sie Ihr eigenes DNS verwalten oder sich auf jemanden verlassen, der das tut.
Nein, nicht namentlich. NIS2 erwähnt DMARC, SPF oder DKIM an keiner Stelle im Text. Verlangt wird, dass Organisationen im Anwendungsbereich geeignete und verhältnismäßige Maßnahmen ergreifen, um ihr Cybersicherheitsrisiko zu steuern, und dass sie dies nachweisen können.
E-Mail-Authentifizierung ist die Art und Weise, wie Sie einen Teil dieser Pflicht erfüllen. Gefälschte E-Mails sind einer der häufigsten Wege, auf denen ein Angreifer Ihre Sicherheit durchbrechen kann, und zu verhindern, dass gefälschte E-Mails von Ihrer Domain versendet werden, ist genau die Art von Maßnahme, die die Richtlinie erwartet. Genau dafür ist DMARC gemacht. Die praktische Antwort auf die Frage, ob NIS2 DMARC verlangt, liegt daher nahe bei "ja", auch wenn es nicht ausdrücklich gesagt wird.
NIS2 erfasst mittlere und große Organisationen in 18 Sektoren, darunter Energie, Verkehr, Bankwesen, Gesundheitswesen, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung und Postdienste. Wenn Sie eine mittlere oder große Organisation in einem dieser Sektoren betreiben, fallen Sie wahrscheinlich darunter, selbst wenn Sie sich nie als kritische Infrastruktur verstanden haben.
NIS2 ordnet diese Organisationen zwei Stufen zu. Wesentliche Einrichtungen, die größeren Betreiber in den kritischsten Sektoren, unterliegen einer proaktiven Aufsicht und den höchsten Strafen. Wichtige Einrichtungen, die übrigen Organisationen im Anwendungsbereich, unterliegen einer leichteren Aufsicht, die meist erst nach einem Vorfall greift.
Wesentliche Einrichtungen können bei Nichteinhaltung mit Geldbußen von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist. Wichtige Einrichtungen müssen mit bis zu 7 Millionen Euro oder 1,4 % des Umsatzes rechnen. NIS2 nimmt zudem die Geschäftsleitung persönlich in die Verantwortung.
NIS2 legt ihre Sicherheitspflichten in Artikel 21 fest, der die Risikomanagementmaßnahmen auflistet, die betroffene Organisationen ergreifen müssen. Die Liste ist bewusst breit gehalten: Netzwerksicherheit, Zugangskontrolle, Verschlüsselung, Behandlung von Vorfällen und grundlegende Cyberhygiene, neben anderen. E-Mail-Authentifizierung wird nicht eigens genannt, weil die Richtlinie die erwarteten Sicherheitsergebnisse beschreibt, nicht die konkreten Methoden oder Technologien, mit denen Sie diese erreichen.
Für eine Gruppe von Organisationen geht NIS2 weiter. Die Richtlinie hat ihre eigene Durchführungsverordnung, die Durchführungsverordnung (EU) 2024/2690 der Kommission, die verbindliche technische Regeln für Anbieter digitaler Infrastruktur wie DNS-Anbieter, Cloud-Betreiber und Managed-Service-Anbieter festlegt. Sie verwandelt die allgemeine Sprache von Artikel 21 in konkrete Anforderungen für sie. Nach ihrer Annahme veröffentlichte die EU-Cybersicherheitsagentur ENISA im Juni 2025 eine technische Umsetzungshilfe, die darlegt, wie jede Regel zu erfüllen ist und welche Nachweise ein Prüfer verlangt. E-Mail-Authentifizierung, einschließlich SPF, DKIM und DMARC, ist Teil ihrer Maßnahmen für E-Mail-Sicherheit und Netzwerksicherheit.
Wenn Ihre Organisation keiner dieser Anbieter digitaler Infrastruktur ist, bindet Sie die Durchführungsverordnung nicht unmittelbar, aber NIS2 selbst gilt weiterhin. Ihre allgemeine Pflicht nach Artikel 21 erwartet verhältnismäßige Sicherheitsmaßnahmen, und Ihre Domain gegen Spoofing zu schützen ist ein klares Beispiel dafür. E-Mail-Authentifizierung ist der Standardweg, das zu tun.
Da NIS2 keine bestimmte Technologie benennt, ist es berechtigt zu fragen, ob etwas anderes als DMARC Sie konform halten könnte. Gegen allgemeine E-Mail-Bedrohungen helfen mehrere Werkzeuge: ein sicheres E-Mail-Gateway, ein Anti-Phishing-Filter, das Scannen von Links und Anhängen sowie Schulungen zur Sicherheitssensibilisierung der Mitarbeitenden. Jedes davon hat seinen Platz in einem Sicherheitsprogramm.
Keines davon löst jedoch das spezifische Problem. Diese Werkzeuge prüfen E-Mails, sobald sie in Ihren eigenen Postfächern ankommen. Sie tun nichts, um jemanden daran zu hindern, Ihre Domain zu fälschen, sodass eine Betrugs-E-Mail aussieht, als käme sie von Ihnen, versendet an Ihre Kunden, Partner oder Mitarbeitenden. Diese Bedrohung läuft ausgehend statt eingehend, und der einzige etablierte Weg, ihr zu begegnen, ist E-Mail-Authentifizierung. SPF und DKIM weisen nach, dass eine Nachricht berechtigt ist, Ihre Domain zu verwenden. DMARC verknüpft diese Prüfungen dann mit dem Domainnamen, den Ihre Empfänger sehen, teilt den empfangenden Servern mit, wie sie mit Nachrichten umgehen sollen, die durchfallen, und meldet Ihnen die Ergebnisse zurück. Einen echten Ersatz gibt es nicht.
Zwei verwandte Kontrollen kommen hier oft zur Sprache, und keine ersetzt die Authentifizierung. Verschlüsselung während der Übertragung, über MTA-STS und TLS-RPT, taucht ebenfalls in der technischen NIS2-Umsetzungshilfe auf, aber sie schützt E-Mails auf ihrem Weg, statt nachzuweisen, wer sie gesendet hat. BIMI hängt ebenfalls von DMARC im Durchsetzungsmodus ab: Es setzt Ihr Logo neben Ihre Nachrichten im Posteingang, ist also eine Belohnung dafür, Authentifizierung gut umzusetzen, und keine Alternative dazu.
Die Wahl, die NIS2 Ihnen lässt, ist also nicht, welchen Standard Sie einführen. Es ist, wie Sie den bereits vorhandenen betreiben: welcher Anbieter, welche Werkzeuge, und ob Sie ihn intern oder über einen Überwachungsdienst betreiben. Genau deshalb erwartet ein Prüfer auch, E-Mail-Authentifizierung im Einsatz zu sehen, obwohl die Richtlinie es nie ausbuchstabiert.
Einen DMARC-Eintrag zu veröffentlichen ist nicht dasselbe, wie durch ihn geschützt zu sein. Ein auf p=none gesetzter Eintrag weist die empfangenden Mailserver an, zu beobachten und zu melden, gefälschte Nachrichten aber trotzdem zuzustellen. Um Nachrichten zu blockieren, die die Authentifizierung nicht bestehen, muss die Richtlinie auf p=quarantine oder p=reject wechseln. Das ist die Grenze zwischen Überwachung und Schutz, und das Niveau, das diese Regeln verlangen.
Die meisten Domains haben sie nicht überschritten. Im Q1-2026-Datensatz von DMARCeye befinden sich die meisten europäischen Länder-Domains noch auf der reinen Überwachungsrichtlinie: rund 39 % der .de-Domains, 50 % der .fr-Domains und 43 % der .nl-Domains stehen auf p=none. Tschechische Domains sind im Datensatz am stärksten exponiert, mit etwa 69 % p=none und nur einer von zehn auf p=reject. Eine Domain in dieser Gruppe hat einen DMARC-Eintrag, den ein Prüfer sehen kann, aber keine Durchsetzung dahinter.
Diese Zahlen stammen aus dem Q1-2026-Branchenbericht von DMARCeye zum Stand der DMARC-Verbreitung.
Dieses Muster ist nicht auf NIS2 beschränkt. Dieselbe Durchsetzungslatte zeigt sich in der Anti-Phishing-Anforderung von PCI DSS und in den Absenderregeln von Google und Yahoo: Ein Eintrag, der nichts blockiert, zählt nicht. Wenn Sie nicht sicher sind, was Ihre eigene Domain veröffentlicht, können Sie es hier prüfen.
Der Weg zu einer Durchsetzungsrichtlinie ist derselbe, ob der Grund NIS2, PCI DSS oder schlicht der Wunsch ist, dass Ihre Domain nicht gefälscht wird. Die Reihenfolge ist wichtig, denn zu schnell vorzugehen ist der Weg, auf dem legitime E-Mails blockiert werden.
Beginnen Sie damit, jeden Dienst zu finden, der E-Mails im Namen Ihrer Domain versendet: Ihre eigene Mail-Plattform, aber auch das Marketing-Tool, das Rechnungssystem, das Helpdesk und alles andere, das in Ihrem Namen Mails verschickt. Authentifizieren Sie jeden einzelnen über SPF oder DKIM, sodass seine Mails sauber bestehen. Lesen Sie dann einige Wochen lang Ihre DMARC-Aggregatberichte, um zu bestätigen, dass nichts Legitimes durchfällt, und wechseln Sie erst dann die Richtlinie auf p=quarantine und weiter auf p=reject. Der vollständige Implementierungsleitfaden führt Sie durch jeden Schritt im Detail.
Ein Hinweis für die Marketing- und Kommunikationsleute, die das vermutlich lesen: Wenn Sie das DNS Ihrer Organisation nicht verwalten, ist das keine Änderung, die Sie allein vornehmen. Der DMARC-Eintrag liegt im DNS, also gehört der Wechsel zur Durchsetzung demjenigen, der die Einträge Ihrer Domain kontrolliert, in der Regel die IT oder ein externer Anbieter. Ihr Teil besteht darin, sicherzustellen, dass jedes sendende Tool, das Sie besitzen, auf der obigen Liste steht, damit nichts Legitimes hängen bleibt, wenn die Richtlinie verschärft wird.
Das ist die Lücke, die der kostenlose Tarif von DMARCeye schließen soll. Er liest Ihre DMARC-Berichte und zeigt Ihnen, welche Absender bestehen und welche durchfallen. Dann sagt er Ihnen, was als Nächstes zu beheben ist, sodass der Wechsel von der Überwachung zur Durchsetzung eine Reihe klarer Schritte ist und keine Vermutung.
NIS2 ist auf EU-Ebene in Kraft getreten, mit einer Umsetzungsfrist bis zum 17. Oktober 2024 für die Mitgliedstaaten, sie in nationales Recht zu überführen. Viele haben diese Frist versäumt, und nationale Gesetze werden seitdem nach ihren eigenen Zeitplänen eingeführt.
In der Praxis hängen Ihre genauen Pflichten vom Umsetzungsgesetz Ihres Landes ab, nicht allein von der Richtlinie. Die technische Richtung steht jedoch fest: Die Durchführungsverordnung und die Leitlinien der ENISA beschreiben, wie gute Umsetzung aussieht, und E-Mail-Authentifizierung mit einer Durchsetzungsrichtlinie ist Teil davon. Prüfen Sie den Stand der nationalen Umsetzung in Ihrem Land, bevor Sie ein Compliance-Projekt zuschneiden.
NIS2 reicht Ihnen keine Checkliste mit DMARC darauf. Sie reicht Ihnen die Pflicht, E-Mail-Risiken zu steuern und nachzuweisen, dass Sie es tun, und E-Mail-Authentifizierung mit einer Durchsetzungsrichtlinie ist der Weg, sie zu erfüllen. Die Richtlinie als "DMARC ist jetzt verpflichtend" zu lesen, übertreibt es. Durchsetzung als optional zu behandeln, untertreibt es. Die zutreffende Position liegt dazwischen.
Die Arbeit besteht darin, jeden Dienst zu kennen, der in Ihrem Namen sendet, jeden einzelnen authentifizieren zu lassen und zur Durchsetzung zu wechseln, ohne legitime Mails zu unterbrechen. DMARCeye ist dafür da, diese Arbeit sichtbar und beherrschbar zu machen, Domain für Domain, sodass Compliance zum Nebeneffekt davon wird, E-Mail-Sicherheit richtig zu betreiben.