Przewodnik NIS2

Przewodnik NIS2 · 7 min

Podszywanie się pod dostawcę i oszustwo na prezesa (BEC): podszywanie e-mail, DMARC i NIS2

Jeden z najczęstszych ataków na łańcuch dostaw nie wymaga żadnego włamania: napastnik wysyła e-mail, który wygląda jak od dostawcy (lub od Ciebie) i przekierowuje płatność albo kradnie dane. To oszustwo na prezesa (BEC) i podszywanie się pod dostawcę, umożliwione przez słabe uwierzytelnianie poczty, które każdy może sprawdzić z zewnątrz. W NIS2 odpowiadasz za bezpieczeństwo relacji z dostawcami (art. 21 ust. 2 lit. d), a podatność poczty na podszywanie to jeden z najczytelniejszych i najtańszych do naprawienia sygnałów. Ten przewodnik wyjaśnia, jak działa atak, jakie ustawienia SPF, DKIM i DMARC go zatrzymują i jak wpisuje się w NIS2.

Najważniejsze wnioski

  • BEC i podszywanie się pod dostawcę wykorzystują słabe uwierzytelnianie poczty, a nie włamanie techniczne.
  • SPF, DKIM i wymuszona polityka DMARC blokują sfałszowaną pocztę i są publicznie sprawdzalne.
  • W NIS2 należy to do bezpieczeństwa relacji z dostawcami i chroni zarówno Ciebie, jak i Twoich dostawców.

Jak działa podszywanie się pod dostawcę i BEC

Napastnik nie musi się nigdzie włamywać. Jeśli domena nie wymusza uwierzytelniania poczty, może wysłać wiadomość wyglądającą, jakby z niej pochodziła: fałszywą fakturę z nowymi danymi bankowymi 'od Twojego dostawcy' albo pilną prośbę 'od Twojego prezesa'. Odbiorca ufa znajomemu nadawcy i działa. Ponieważ dostawcy i klienci piszą do siebie bez przerwy, jedna słaba domena w łańcuchu staje się problemem wszystkich. Art. 21 ust. 2 lit. d NIS2 czyni zarządzanie tym ryzykiem relacji Twoją odpowiedzialnością.

Źródło oficjalne: Dyrektywa NIS2 w EUR-Lex — art. 21 ust. 2 (środki bezpieczeństwa, w tym bezpieczna komunikacja) i 21 ust. 2 lit. d (bezpieczeństwo łańcucha dostaw).

Kontrole, które zatrzymują podszywanie

Są standardowe, darmowe do wdrożenia w DNS i publicznie weryfikowalne. Odpowiadają podstawie bezpiecznej komunikacji z art. 21 ust. 2 oraz temu, jak faktycznie działa atak.

1

SPF (Sender Policy Framework)

Publikuje, które serwery mogą wysyłać pocztę dla Twojej domeny. Bez niego, lub przy zbyt liberalnym rekordzie, sfałszowani nadawcy przechodzą bez kontroli. Opublikuj SPF i utrzymuj go w aktualności, gdy dodajesz usługi pocztowe.

2

DKIM (DomainKeys Identified Mail)

Kryptograficznie podpisuje pocztę wychodzącą, aby odbiorcy mogli zweryfikować, że nie została zmieniona i naprawdę pochodzi z Twojej domeny. Włącz DKIM w każdej usłudze, która wysyła w Twoim imieniu.

3

DMARC z wymuszoną polityką

Wiąże SPF i DKIM z Twoim widocznym adresem Od i mówi odbiorcom, co zrobić z pocztą, która nie przeszła. Polityka p=none jedynie monitoruje; przejdź na p=quarantine lub p=reject, aby naprawdę zablokować podszywanie.

4

Raporty DMARC (rua) i monitorowanie

Raporty zbiorcze pokazują, kto wysyła w imieniu Twojej domeny, dzięki czemu znajdziesz swoich legalnych nadawców przed wymuszeniem i wykryjesz nadużycia później. Skieruj raporty tam, gdzie są czytane.

5

MTA-STS i raportowanie TLS (dodatkowe utwardzenie)

Wymuś szyfrowane doręczanie do Twojej domeny i otrzymuj powiadomienie, gdy zawiedzie, zamykając ścieżkę degradacji, której napastnik mógłby inaczej użyć do przechwycenia poczty.

Zobacz, jak naprawdę wypadają Twoi dostawcy

7 dni bezpłatnie · bez karty kredytowej · anuluj w każdej chwili

Dlaczego to ma znaczenie w NIS2, dla Ciebie i Twoich dostawców

Wymuszone uwierzytelnianie poczty chroni Twoich klientów i partnerów przed oszukaniem w Twoim imieniu i chroni Ciebie przed sfałszowaną fakturą dostawcy. Ponieważ jest widoczne z zewnątrz, to dokładnie ten sygnał, który klient sprawdza, oceniając Cię jako dostawcę w NIS2, i który napastnik bada najpierw. Ciągłe monitorowanie Twojej domeny i Twoich dostawców ujawnia słabą lub dryfującą politykę DMARC (na przykład wciąż p=none) i mapuje ją do obowiązku łańcucha dostaw z art. 21 ust. 2 lit. d, aby naprawić ją, zanim zostanie wykorzystana.

Częste błędy

  • Publikowanie DMARC na p=none i nieprzechodzenie nigdy do wymuszania, przez co nic nie jest faktycznie blokowane.
  • SPF lub DKIM na domenie głównej, ale nie na subdomenach ani usługach wysyłkowych podmiotów trzecich.
  • Zakładanie, że faktura e-mail od dostawcy jest prawdziwa, bo nazwa nadawcy wygląda poprawnie.
  • Brak procesu weryfikacji płatności lub zmiany danych bankowych drugim kanałem.

Nie musisz czytać raportów samodzielnie

Zbiorcze raporty DMARC to codzienne pliki XML i nikt nie chce ich czytać ręcznie. norppa.io odbiera je za Ciebie pod unikalnym adresem raportowania, zamienia je w analitykę wskaźnika przejścia i inwentarz nadawców oraz podnosi aktywne źródła podszywania jako priorytetowe ustalenia. Raporty TLS-RPT są obsługiwane tak samo. Hostowane w UE, tylko dane zbiorcze, w każdym planie.

Zobacz, jak działa monitorowanie bezpieczeństwa poczty →

Zobacz, jak Twój stan poczty mapuje się na NIS2

Przykładowy raport o dostawcy (ustalenia, mapowanie NIS2 i dowody) w dwie minuty.

7 dni bezpłatnie · bez karty kredytowej · anuluj w każdej chwili

Powiązane przewodniki

Jak spełnić NIS2: mapa drogowa krok po kroku

Kroki do zgodności z NIS2 po kolei: potwierdzenie zakresu, rejestracja, odpowiedzialność kierownictwa (art. 20), środki z art. 21 ust. 2, bezpieczeństwo łańcucha dostaw, zgłaszanie incydentów (art. 23) oraz ciągłe, udokumentowane zapewnienie.

Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości

Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.

NIS2 dla dostawców: nie jesteś wyznaczony, ale Twoi klienci tak

Większość firm nigdy nie zostaje wyznaczona w ramach NIS2, a mimo to wiele musi go spełniać. Jak obowiązek bezpieczeństwa łańcucha dostaw objętego klienta (artykuł 21 ust. 2 lit. d) przenosi się na Ciebie, czego zażąda i jak odpowiedzieć wiarygodnie.

NIS2 i wymóg łańcucha dostaw: co oznacza w praktyce

NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.

Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2

Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.

NIS2 Art. 21(2): lista kontrolna bezpieczeństwa dla dostawców

Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.

Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon

O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.

Zgłaszanie incydentów NIS2: terminy 24 i 72 godzin wyjaśnione

Czym jest istotny incydent, harmonogram z artykułu 23 (wczesne ostrzeżenie 24 h, zgłoszenie 72 h, raport końcowy w miesiąc) i kiedy incydent dostawcy staje się Twoim obowiązkiem.

NIS2 a odpowiedzialność kierownictwa: co muszą wiedzieć zarząd i kadra zarządzająca

Czego NIS2 oczekuje od organu zarządzającego: obowiązki zatwierdzania i nadzoru, osobista odpowiedzialność (art. 20), szkolenia, wskaźniki raportowania do zarządu i kary z art. 34.

ISO 27001 a NIS2: co Twój SZBI już obejmuje, i luki, których nie

Jeśli masz ISO 27001: co przenosi się na NIS2, a co nie (ustawowe zgłaszanie incydentów, odpowiedzialność kierownictwa, rejestracja i ciągłe zapewnienie łańcucha dostaw) oraz jak zamknąć lukę.

Kary i sankcje NIS2: ile, kto odpowiada i jak ich uniknąć

Czym są kary NIS2: limity z artykułu 34 (10 mln € / 2 % dla podmiotów kluczowych, 7 mln € / 1,4 % dla ważnych), osobista odpowiedzialność kierownictwa (art. 20, art. 32), środki niepieniężne i jak ich uniknąć.

NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie

Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.

RODO a NIS2: pokrywanie się, różnice i kiedy jeden incydent uruchamia oba

Czym różnią się i pokrywają RODO i NIS2, kiedy jeden incydent uruchamia oba (RODO art. 33 72 h do organu nadzorczego vs NIS2 art. 23 24 h/72 h/miesiąc do CSIRT), współpraca z art. 35 i zakaz podwójnej kary oraz co oba oznaczają dla należytej staranności wobec dostawców.

Unijny akt o cyberodporności (CRA): zakres, harmonogram i co oznacza dla Twojego łańcucha dostaw

Czego wymaga CRA, jego etapowe terminy (obowiązuje od 2024, zgłaszanie wrz 2026, pełna zgodność gru 2027), kogo dotyczy i dlaczego czysty SaaS często nie, jak uzupełnia NIS2 oraz co oznacza dla zakupów i należytej staranności wobec dostawców.

Unijny akt o sztucznej inteligencji: poziomy ryzyka, harmonogram i obowiązki podmiotów stosujących (artykuł 26)

Czego wymaga unijny akt o AI: poziomy ryzyka, etapowe daty (obowiązuje 2024, zakazane luty 2025, GPAI sie 2025, wysokie ryzyko sie 2026), obowiązki podmiotu stosującego z art. 26, jak nakłada się na NIS2 i RODO oraz co oznacza dla zakupów AI.

Status transpozycji NIS2: w których krajach UE obowiązuje

Które z 27 państw członkowskich UE wpisały NIS2 do prawa krajowego, a które wciąż finalizują, i dlaczego różnice i tak dosięgają Twojego łańcucha dostaw.

Klauzule umowne dla dostawców NIS2: czego wymagać od dostawców

Klauzule, które czynią obowiązek NIS2 dotyczący łańcucha dostaw egzekwowalnym: poziom bezpieczeństwa, okno powiadomień, prawa do dowodów i audytu, przeniesienie na podwykonawców i ciągła weryfikacja.

Twój zewnętrzny stan bezpieczeństwa w NIS2: co widzą dostawcy i klienci

Publicznie widoczne sygnały, które klienci oceniają na mocy art. 21 ust. 2 lit. d NIS2: podatność poczty na podszywanie (SPF/DMARC), higiena certyfikatów, systemy wystawione do internetu i wyciekłe poświadczenia, dlaczego każdy ma znaczenie i jak je sprawdzić i naprawić.

Czy Twoi dostawcy używają AI? Ryzyko dostawców w NIS2 a unijny akt o AI

Dostawcy coraz częściej osadzają AI w usługach, od których zależysz, a ich dostawcy tak samo. Gdzie AI dostawców i n-tej strony tworzy ryzyko w świetle art. 21 ust. 2 lit. d NIS2 i unijnego aktu o AI, co oceniać i jak zachować widoczność.

Ostatnio sprawdzono: 19 czerwca 2026

Ten przewodnik zawiera ogólne informacje o prawie UE, a nie poradę prawną. NIS2 wchodzi w życie poprzez krajową ustawę wdrażającą każdego państwa członkowskiego UE, która może różnić się w szczegółach. Zweryfikuj obowiązki, które Cię dotyczą, u właściwego organu lub doradcy prawnego.