EU-direktivet NIS2 (Network and Information Security Directive 2) inneholder ikke et eksplisitt krav om at bedrifter må sette opp DMARC (Domain-based Message Authentication, Reporting, and Conformance). Imidlertid setter NIS2 klare krav til tekniske og organisatoriske tiltak for å styrke cybersikkerheten, og dette inkluderer e-postsikkerhet som en viktig del.
Hvorfor DMARC er relevant for NIS2:
- Sikring av e-postkommunikasjon: E-post er en vanlig angrepsflate for phishing og spoofing, og DMARC beskytter domenet mot uautorisert bruk.
- Forebygging av dataangrep: DMARC bidrar til å forhindre at e-poster som ser ut til å komme fra virksomheten brukes til å angripe andre eller virksomhetens egne ansatte.
- Styrking av tekniske kontroller: NIS2 krever at virksomheter implementerer tiltak for å beskytte sine nettverk og systemer mot cybertrusler. DMARC, kombinert med SPF og DKIM, er anerkjente tiltak for å styrke e-postsikkerheten.
Hva NIS2 krever:
- Tekniske tiltak: Dette inkluderer sikring av systemer mot kjente trusler, som phishing og spoofing.
- Risikovurdering: Virksomheter må regelmessig vurdere risikoer knyttet til sine IT-systemer og implementere passende sikkerhetstiltak.
- Rapportering og overvåkning: Tiltak for overvåkning og rapportering av sikkerhetshendelser, noe som kan inkludere overvåkning av DMARC-rapporter.
Selv om DMARC ikke er direkte nevnt, vil det å implementere DMARC bidra til å oppfylle kravene i NIS2 ved å styrke e-postsikkerheten og redusere risikoen for cyberangrep. For mange virksomheter, spesielt innen kritisk infrastruktur eller leverandørkjeder, vil bruk av DMARC være et naturlig steg for å være kompatibel med NIS2.
Ønsker du å vite mer? Kontakt oss i dag for en uforpliktende prat om hvordan vi kan styrke sikkerheten i din virksomhet.