Czy NIS2 wymaga DMARC? Uwierzytelnianie poczty wyjaśnione

Jeśli zastanawiasz się, co NIS2 oznacza dla poczty e-mail Twojej organizacji, ten przewodnik jest dla Ciebie. NIS2 to zaktualizowane prawo Unii Europejskiej dotyczące cyberbezpieczeństwa, formalnie Dyrektywa (UE) 2022/2555. Rozszerza ona starsze przepisy, obejmując znacznie więcej organizacji, i ustanawia ostrzejsze wymagania wobec środków bezpieczeństwa, które muszą one wdrożyć.

Jedno z pierwszych pytań, jakie zadają ludzie, brzmi: czy NIS2 wymaga DMARC, standardu, który uniemożliwia innym wysyłanie poczty z Twojej domeny. Uczciwa odpowiedź ma dwie części. NIS2 nigdzie w swoim tekście nie wymienia DMARC z nazwy. Wymaga jednak od organizacji ochrony poczty przed podszywaniem się i to na poziomie, który blokuje sfałszowane wiadomości, a nie tylko je monitoruje. W praktyce daje to właśnie DMARC na poziomie egzekwowania.

Ten przewodnik obejmuje to, kogo dotyczy NIS2, gdzie uwierzytelnianie poczty mieści się w jej wymaganiach oraz co zrobić, jeśli NIS2 dotyczy Twojej organizacji, niezależnie od tego, czy zarządzasz własnym DNS, czy polegasz na kimś, kto to robi.

Co Znajdziesz w Tym Przewodniku

• Czy NIS2 Wymaga DMARC?
• Kogo Dotyczy NIS2 i Co Jest Stawką
• Gdzie Mieści Się Uwierzytelnianie Poczty
• Jeśli Nie DMARC, To Co Innego Można Zastosować?
• Dlaczego Rekord Tylko do Monitorowania Nie Wystarcza
• Co Zrobić, Jeśli NIS2 Dotyczy Ciebie
• Na Jakim Etapie Jest NIS2
• Podsumowanie

Czy NIS2 Wymaga DMARC?

Nie, nie z nazwy. NIS2 nigdzie w swoim tekście nie wspomina o DMARC, SPF ani DKIM. To, czego wymaga, to aby objęte nią organizacje podejmowały odpowiednie i proporcjonalne środki w celu zarządzania ryzykiem cyberbezpieczeństwa oraz aby potrafiły to wykazać.

Uwierzytelnianie poczty to sposób, w jaki spełniasz część tego obowiązku. Sfałszowana poczta to jeden z najczęstszych sposobów, w jaki atakujący może naruszyć Twoje bezpieczeństwo, a uniemożliwienie wysyłania podrobionych wiadomości z Twojej domeny to dokładnie taki środek, jakiego oczekuje dyrektywa. Do tego właśnie został zaprojektowany DMARC, więc praktyczna odpowiedź na pytanie, czy NIS2 wymaga DMARC, jest bliska "tak", nawet jeśli nie jest to wyrażone wprost.

Kogo Dotyczy NIS2 i Co Jest Stawką

NIS2 obejmuje średnie i duże organizacje w 18 sektorach, w tym energetykę, transport, bankowość, ochronę zdrowia, wodę pitną, infrastrukturę cyfrową, administrację publiczną i usługi pocztowe. Jeśli prowadzisz średnią lub dużą organizację w jednym z tych sektorów, prawdopodobnie jesteś nią objęty, nawet jeśli nigdy nie myślałeś o sobie jako o infrastrukturze krytycznej.

NIS2 dzieli te organizacje na dwie kategorie. Podmioty kluczowe, czyli więksi operatorzy w najbardziej krytycznych sektorach, podlegają proaktywnemu nadzorowi i najsurowszym karom. Podmioty ważne, czyli pozostałe organizacje objęte przepisami, podlegają lżejszemu nadzorowi, który w większości stosuje się po wystąpieniu incydentu.

Podmioty kluczowe mogą zostać ukarane grzywną w wysokości do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa, jako kara za brak zgodności. Podmioty ważne mogą zostać ukarane grzywną do 7 milionów euro lub 1,4% obrotu. NIS2 nakłada również osobistą odpowiedzialność na kierownictwo wyższego szczebla.

Gdzie Mieści Się Uwierzytelnianie Poczty

NIS2 określa swoje obowiązki w zakresie bezpieczeństwa w artykule 21, który wymienia środki zarządzania ryzykiem, jakie muszą podjąć objęte nią organizacje. Lista jest celowo szeroka: bezpieczeństwo sieci, kontrola dostępu, szyfrowanie, obsługa incydentów oraz podstawowa higiena cybernetyczna, między innymi. Uwierzytelnianie poczty nie jest wyodrębnione osobno, ponieważ dyrektywa opisuje efekty bezpieczeństwa, których oczekuje, a nie konkretne metody czy technologie, które stosujesz, aby je osiągnąć.

NIS2 idzie dalej w przypadku jednej grupy organizacji. Dyrektywa ma własne rozporządzenie wykonawcze, Rozporządzenie wykonawcze Komisji (UE) 2024/2690, które ustanawia wiążące zasady techniczne dla dostawców infrastruktury cyfrowej, takich jak dostawcy DNS, operatorzy chmury i dostawcy usług zarządzanych. Przekłada ono ogólny język artykułu 21 na konkretne wymagania wobec nich. Po jego przyjęciu agencja UE ds. cyberbezpieczeństwa ENISA opublikowała w czerwcu 2025 roku techniczne wytyczne wdrożeniowe, opisujące, jak spełnić każdą zasadę i jakich dowodów będzie szukał audytor. Uwierzytelnianie poczty, w tym SPF, DKIM i DMARC, stanowi część jego środków bezpieczeństwa poczty i bezpieczeństwa sieci.

Jeśli Twoja organizacja nie należy do dostawców infrastruktury cyfrowej, rozporządzenie wykonawcze nie wiąże Cię bezpośrednio, ale sama NIS2 nadal ma zastosowanie. Jej ogólny obowiązek wynikający z artykułu 21 oczekuje proporcjonalnych środków bezpieczeństwa, a ochrona Twojej domeny przed podszywaniem się to wyraźny przykład. Uwierzytelnianie poczty to standardowy sposób, aby to zrobić.

Jeśli Nie DMARC, To Co Innego Można Zastosować?

Ponieważ NIS2 nie wymienia żadnej konkretnej technologii, słusznie można zapytać, czy coś innego niż DMARC mogłoby zapewnić zgodność. W przypadku ogólnych zagrożeń pocztowych pomaga kilka narzędzi: bezpieczna brama pocztowa, filtr antyphishingowy, skanowanie linków i załączników oraz szkolenia pracowników z zakresu świadomości bezpieczeństwa. Każde z nich ma swoje miejsce w programie bezpieczeństwa.

Żadne z nich nie rozwiązuje jednak konkretnego problemu. Te narzędzia sprawdzają pocztę w momencie, gdy trafia do Twoich własnych skrzynek odbiorczych. Nie robią nic, aby powstrzymać kogoś przed sfałszowaniem Twojej domeny, tak aby oszukańcza wiadomość wyglądała, jakby pochodziła od Ciebie, wysłana do Twoich klientów, partnerów lub pracowników. To zagrożenie biegnie na zewnątrz, a nie do wewnątrz, a jedynym uznanym sposobem na jego rozwiązanie jest uwierzytelnianie poczty. SPF i DKIM dowodzą, że wiadomość ma upoważnienie do używania Twojej domeny. DMARC łączy następnie te sprawdzenia z nazwą domeny, którą widzą Twoi odbiorcy, mówi serwerom odbiorczym, jak postępować z pocztą, która nie przejdzie weryfikacji, i raportuje Ci wyniki. Nie ma realnego zamiennika.

Pojawiają się tutaj często dwa powiązane mechanizmy kontroli i żaden z nich nie zastępuje uwierzytelniania. Szyfrowanie podczas przesyłania, poprzez MTA-STS i TLS-RPT, również pojawia się w wytycznych technicznych NIS2, ale chroni ono pocztę w trakcie podróży, a nie dowodzi, kto ją wysłał. BIMI również zależy od DMARC na poziomie egzekwowania: umieszcza Twoje logo obok wiadomości w skrzynce odbiorczej, więc jest nagrodą za dobre wykonanie uwierzytelniania, a nie alternatywą dla niego.

Wybór, jaki pozostawia Ci NIS2, nie polega więc na tym, który standard przyjąć. Polega na tym, jak prowadzić ten, który już istnieje: który dostawca, które narzędzia oraz czy obsługujesz go we własnym zakresie, czy przez usługę monitorowania. To także powód, dla którego audytor oczekuje, że uwierzytelnianie poczty będzie wdrożone, mimo że dyrektywa nigdy tego wprost nie określa.

Dlaczego Rekord Tylko do Monitorowania Nie Wystarcza

Opublikowanie rekordu DMARC to nie to samo, co bycie przez niego chronionym. Rekord ustawiony na p=none mówi serwerom odbiorczym, aby obserwowały i raportowały, ale mimo to dostarczały sfałszowane wiadomości. Aby blokować pocztę, która nie przejdzie weryfikacji, polityka musi zostać przesunięta na p=quarantine lub p=reject. To granica między monitorowaniem a ochroną oraz poziom, którego wymagają te przepisy.

Większość domen jej nie przekroczyła. W zbiorze danych DMARCeye za I kwartał 2026 roku większość domen krajowych w Europie wciąż pozostaje na polityce wyłącznie monitorującej: około 39% domen .de, 50% domen .fr i 43% domen .nl jest na p=none. Domeny czeskie są najbardziej narażone w tym zbiorze, z około 69% na p=none i zaledwie jedną na dziesięć na p=reject. Domena w tej grupie ma rekord DMARC, który audytor może zobaczyć, ale bez egzekwowania, które by za nim stało.

Te liczby pochodzą z raportu branżowego DMARCeye za I kwartał 2026 roku na temat stanu wdrożenia DMARC.

Ten wzorzec nie jest unikalny dla NIS2. Ta sama poprzeczka egzekwowania pojawia się w wymaganiu antyphishingowym PCI DSS oraz w zasadach dla nadawców Google i Yahoo: rekord, który niczego nie blokuje, się nie liczy. Jeśli nie masz pewności, co publikuje Twoja własna domena, możesz to sprawdzić tutaj.

Co Zrobić, Jeśli NIS2 Dotyczy Ciebie

Droga do polityki egzekwowania jest taka sama, niezależnie od tego, czy powodem jest NIS2, PCI DSS, czy po prostu niechęć do tego, by Twoja domena była podszywana. Kolejność ma znaczenie, ponieważ działanie zbyt szybko to sposób, w jaki blokowana jest legalna poczta.

Zacznij od znalezienia każdej usługi, która wysyła pocztę z Twojej domeny: Twojej własnej platformy pocztowej, ale także narzędzia marketingowego, systemu do fakturowania, helpdesku i wszystkiego innego, co wysyła pocztę w Twoim imieniu. Uwierzytelnij każdą z nich dla SPF lub DKIM, aby jej poczta przechodziła weryfikację bez problemów. Następnie czytaj swoje zbiorcze raporty DMARC przez kilka tygodni, aby potwierdzić, że nic legalnego nie zawodzi, i dopiero wtedy przesuń politykę na p=quarantine, a następnie na p=reject. Kompletny przewodnik wdrażania omawia szczegółowo każdy krok.

Uwaga dla osób z marketingu i komunikacji, które prawdopodobnie to czytają: jeśli nie zarządzasz systemem DNS swojej organizacji, nie jest to zmiana, którą wprowadzasz samodzielnie. Rekord DMARC znajduje się w DNS, więc przejście do egzekwowania należy do tych, którzy kontrolują rekordy Twojej domeny, zwykle do działu IT lub zewnętrznego dostawcy. Twoja rola polega na upewnieniu się, że każde narzędzie do wysyłki, które posiadasz, znajduje się na powyższej liście, aby nic legalnego nie zostało zablokowane, gdy polityka się zaostrzy.

To jest właśnie luka, którą ma zamknąć darmowy plan DMARCeye. Odczytuje on Twoje raporty DMARC i pokazuje, którzy nadawcy przechodzą weryfikację, a którzy zawodzą. Następnie mówi, co naprawić w kolejnym kroku, dzięki czemu przejście od monitorowania do egzekwowania to seria jasnych kroków, a nie zgadywanie.

Na Jakim Etapie Jest NIS2

NIS2 weszła w życie na poziomie UE, z terminem transpozycji 17 października 2024 roku na wpisanie jej przez państwa członkowskie do prawa krajowego. Wiele z nich nie dotrzymało tego terminu, a przepisy krajowe są od tego czasu wprowadzane we własnym tempie.

W praktyce Twoje dokładne obowiązki zależą od ustawy wdrażającej w Twoim kraju, a nie tylko od dyrektywy. Kierunek techniczny jest jednak ustalony: rozporządzenie wykonawcze i wytyczne ENISA opisują, jak wygląda dobre rozwiązanie, a uwierzytelnianie poczty na poziomie polityki egzekwowania stanowi jego część. Sprawdź status transpozycji w Twoim kraju, zanim określisz zakres projektu zgodności.

Podsumowanie

NIS2 nie wręcza Ci listy kontrolnej z DMARC na niej. Wręcza Ci obowiązek zarządzania ryzykiem pocztowym i wykazania, że to robisz, a uwierzytelnianie poczty na poziomie polityki egzekwowania to sposób, w jaki go spełniasz. Czytanie dyrektywy jako "DMARC jest teraz obowiązkowy" przesadza. Traktowanie egzekwowania jako opcjonalnego to za mało. Trafne stanowisko leży pośrodku.

Praca polega na poznaniu każdej usługi, która wysyła w Twoim imieniu, uwierzytelnieniu każdej z nich i przejściu do egzekwowania bez blokowania legalnej poczty. DMARCeye istnieje po to, by uczynić tę pracę widoczną i zarządzalną, domena po domenie, tak aby zgodność stała się efektem ubocznym właściwego dbania o bezpieczeństwo poczty.