Przewodnik NIS2 · 7 min
Podszywanie się pod dostawcę i oszustwo na prezesa (BEC): podszywanie e-mail, DMARC i NIS2
Jeden z najczęstszych ataków na łańcuch dostaw nie wymaga żadnego włamania: napastnik wysyła e-mail, który wygląda jak od dostawcy (lub od Ciebie) i przekierowuje płatność albo kradnie dane. To oszustwo na prezesa (BEC) i podszywanie się pod dostawcę, umożliwione przez słabe uwierzytelnianie poczty, które każdy może sprawdzić z zewnątrz. W NIS2 odpowiadasz za bezpieczeństwo relacji z dostawcami (art. 21 ust. 2 lit. d), a podatność poczty na podszywanie to jeden z najczytelniejszych i najtańszych do naprawienia sygnałów. Ten przewodnik wyjaśnia, jak działa atak, jakie ustawienia SPF, DKIM i DMARC go zatrzymują i jak wpisuje się w NIS2.
Najważniejsze wnioski
- • BEC i podszywanie się pod dostawcę wykorzystują słabe uwierzytelnianie poczty, a nie włamanie techniczne.
- • SPF, DKIM i wymuszona polityka DMARC blokują sfałszowaną pocztę i są publicznie sprawdzalne.
- • W NIS2 należy to do bezpieczeństwa relacji z dostawcami i chroni zarówno Ciebie, jak i Twoich dostawców.
Jak działa podszywanie się pod dostawcę i BEC
Napastnik nie musi się nigdzie włamywać. Jeśli domena nie wymusza uwierzytelniania poczty, może wysłać wiadomość wyglądającą, jakby z niej pochodziła: fałszywą fakturę z nowymi danymi bankowymi 'od Twojego dostawcy' albo pilną prośbę 'od Twojego prezesa'. Odbiorca ufa znajomemu nadawcy i działa. Ponieważ dostawcy i klienci piszą do siebie bez przerwy, jedna słaba domena w łańcuchu staje się problemem wszystkich. Art. 21 ust. 2 lit. d NIS2 czyni zarządzanie tym ryzykiem relacji Twoją odpowiedzialnością.
Źródło oficjalne: Dyrektywa NIS2 w EUR-Lex — art. 21 ust. 2 (środki bezpieczeństwa, w tym bezpieczna komunikacja) i 21 ust. 2 lit. d (bezpieczeństwo łańcucha dostaw).
Kontrole, które zatrzymują podszywanie
Są standardowe, darmowe do wdrożenia w DNS i publicznie weryfikowalne. Odpowiadają podstawie bezpiecznej komunikacji z art. 21 ust. 2 oraz temu, jak faktycznie działa atak.
SPF (Sender Policy Framework)
Publikuje, które serwery mogą wysyłać pocztę dla Twojej domeny. Bez niego, lub przy zbyt liberalnym rekordzie, sfałszowani nadawcy przechodzą bez kontroli. Opublikuj SPF i utrzymuj go w aktualności, gdy dodajesz usługi pocztowe.
DKIM (DomainKeys Identified Mail)
Kryptograficznie podpisuje pocztę wychodzącą, aby odbiorcy mogli zweryfikować, że nie została zmieniona i naprawdę pochodzi z Twojej domeny. Włącz DKIM w każdej usłudze, która wysyła w Twoim imieniu.
DMARC z wymuszoną polityką
Wiąże SPF i DKIM z Twoim widocznym adresem Od i mówi odbiorcom, co zrobić z pocztą, która nie przeszła. Polityka p=none jedynie monitoruje; przejdź na p=quarantine lub p=reject, aby naprawdę zablokować podszywanie.
Raporty DMARC (rua) i monitorowanie
Raporty zbiorcze pokazują, kto wysyła w imieniu Twojej domeny, dzięki czemu znajdziesz swoich legalnych nadawców przed wymuszeniem i wykryjesz nadużycia później. Skieruj raporty tam, gdzie są czytane.
MTA-STS i raportowanie TLS (dodatkowe utwardzenie)
Wymuś szyfrowane doręczanie do Twojej domeny i otrzymuj powiadomienie, gdy zawiedzie, zamykając ścieżkę degradacji, której napastnik mógłby inaczej użyć do przechwycenia poczty.
Zobacz, jak naprawdę wypadają Twoi dostawcy
7 dni bezpłatnie · bez karty kredytowej · anuluj w każdej chwili
Dlaczego to ma znaczenie w NIS2, dla Ciebie i Twoich dostawców
Wymuszone uwierzytelnianie poczty chroni Twoich klientów i partnerów przed oszukaniem w Twoim imieniu i chroni Ciebie przed sfałszowaną fakturą dostawcy. Ponieważ jest widoczne z zewnątrz, to dokładnie ten sygnał, który klient sprawdza, oceniając Cię jako dostawcę w NIS2, i który napastnik bada najpierw. Ciągłe monitorowanie Twojej domeny i Twoich dostawców ujawnia słabą lub dryfującą politykę DMARC (na przykład wciąż p=none) i mapuje ją do obowiązku łańcucha dostaw z art. 21 ust. 2 lit. d, aby naprawić ją, zanim zostanie wykorzystana.
Częste błędy
- ✕Publikowanie DMARC na p=none i nieprzechodzenie nigdy do wymuszania, przez co nic nie jest faktycznie blokowane.
- ✕SPF lub DKIM na domenie głównej, ale nie na subdomenach ani usługach wysyłkowych podmiotów trzecich.
- ✕Zakładanie, że faktura e-mail od dostawcy jest prawdziwa, bo nazwa nadawcy wygląda poprawnie.
- ✕Brak procesu weryfikacji płatności lub zmiany danych bankowych drugim kanałem.
Nie musisz czytać raportów samodzielnie
Zbiorcze raporty DMARC to codzienne pliki XML i nikt nie chce ich czytać ręcznie. norppa.io odbiera je za Ciebie pod unikalnym adresem raportowania, zamienia je w analitykę wskaźnika przejścia i inwentarz nadawców oraz podnosi aktywne źródła podszywania jako priorytetowe ustalenia. Raporty TLS-RPT są obsługiwane tak samo. Hostowane w UE, tylko dane zbiorcze, w każdym planie.
Zobacz, jak Twój stan poczty mapuje się na NIS2
Przykładowy raport o dostawcy (ustalenia, mapowanie NIS2 i dowody) w dwie minuty.
7 dni bezpłatnie · bez karty kredytowej · anuluj w każdej chwili
Powiązane przewodniki
Jak spełnić NIS2: mapa drogowa krok po kroku
Kroki do zgodności z NIS2 po kolei: potwierdzenie zakresu, rejestracja, odpowiedzialność kierownictwa (art. 20), środki z art. 21 ust. 2, bezpieczeństwo łańcucha dostaw, zgłaszanie incydentów (art. 23) oraz ciągłe, udokumentowane zapewnienie.
Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości
Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.
NIS2 dla dostawców: nie jesteś wyznaczony, ale Twoi klienci tak
Większość firm nigdy nie zostaje wyznaczona w ramach NIS2, a mimo to wiele musi go spełniać. Jak obowiązek bezpieczeństwa łańcucha dostaw objętego klienta (artykuł 21 ust. 2 lit. d) przenosi się na Ciebie, czego zażąda i jak odpowiedzieć wiarygodnie.
NIS2 i wymóg łańcucha dostaw: co oznacza w praktyce
NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.
Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2
Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.
NIS2 Art. 21(2): lista kontrolna bezpieczeństwa dla dostawców
Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.
Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon
O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.
Zgłaszanie incydentów NIS2: terminy 24 i 72 godzin wyjaśnione
Czym jest istotny incydent, harmonogram z artykułu 23 (wczesne ostrzeżenie 24 h, zgłoszenie 72 h, raport końcowy w miesiąc) i kiedy incydent dostawcy staje się Twoim obowiązkiem.
NIS2 a odpowiedzialność kierownictwa: co muszą wiedzieć zarząd i kadra zarządzająca
Czego NIS2 oczekuje od organu zarządzającego: obowiązki zatwierdzania i nadzoru, osobista odpowiedzialność (art. 20), szkolenia, wskaźniki raportowania do zarządu i kary z art. 34.
ISO 27001 a NIS2: co Twój SZBI już obejmuje, i luki, których nie
Jeśli masz ISO 27001: co przenosi się na NIS2, a co nie (ustawowe zgłaszanie incydentów, odpowiedzialność kierownictwa, rejestracja i ciągłe zapewnienie łańcucha dostaw) oraz jak zamknąć lukę.
Kary i sankcje NIS2: ile, kto odpowiada i jak ich uniknąć
Czym są kary NIS2: limity z artykułu 34 (10 mln € / 2 % dla podmiotów kluczowych, 7 mln € / 1,4 % dla ważnych), osobista odpowiedzialność kierownictwa (art. 20, art. 32), środki niepieniężne i jak ich uniknąć.
NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie
Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.
RODO a NIS2: pokrywanie się, różnice i kiedy jeden incydent uruchamia oba
Czym różnią się i pokrywają RODO i NIS2, kiedy jeden incydent uruchamia oba (RODO art. 33 72 h do organu nadzorczego vs NIS2 art. 23 24 h/72 h/miesiąc do CSIRT), współpraca z art. 35 i zakaz podwójnej kary oraz co oba oznaczają dla należytej staranności wobec dostawców.
Unijny akt o cyberodporności (CRA): zakres, harmonogram i co oznacza dla Twojego łańcucha dostaw
Czego wymaga CRA, jego etapowe terminy (obowiązuje od 2024, zgłaszanie wrz 2026, pełna zgodność gru 2027), kogo dotyczy i dlaczego czysty SaaS często nie, jak uzupełnia NIS2 oraz co oznacza dla zakupów i należytej staranności wobec dostawców.
Unijny akt o sztucznej inteligencji: poziomy ryzyka, harmonogram i obowiązki podmiotów stosujących (artykuł 26)
Czego wymaga unijny akt o AI: poziomy ryzyka, etapowe daty (obowiązuje 2024, zakazane luty 2025, GPAI sie 2025, wysokie ryzyko sie 2026), obowiązki podmiotu stosującego z art. 26, jak nakłada się na NIS2 i RODO oraz co oznacza dla zakupów AI.
Status transpozycji NIS2: w których krajach UE obowiązuje
Które z 27 państw członkowskich UE wpisały NIS2 do prawa krajowego, a które wciąż finalizują, i dlaczego różnice i tak dosięgają Twojego łańcucha dostaw.
Klauzule umowne dla dostawców NIS2: czego wymagać od dostawców
Klauzule, które czynią obowiązek NIS2 dotyczący łańcucha dostaw egzekwowalnym: poziom bezpieczeństwa, okno powiadomień, prawa do dowodów i audytu, przeniesienie na podwykonawców i ciągła weryfikacja.
Twój zewnętrzny stan bezpieczeństwa w NIS2: co widzą dostawcy i klienci
Publicznie widoczne sygnały, które klienci oceniają na mocy art. 21 ust. 2 lit. d NIS2: podatność poczty na podszywanie (SPF/DMARC), higiena certyfikatów, systemy wystawione do internetu i wyciekłe poświadczenia, dlaczego każdy ma znaczenie i jak je sprawdzić i naprawić.
Czy Twoi dostawcy używają AI? Ryzyko dostawców w NIS2 a unijny akt o AI
Dostawcy coraz częściej osadzają AI w usługach, od których zależysz, a ich dostawcy tak samo. Gdzie AI dostawców i n-tej strony tworzy ryzyko w świetle art. 21 ust. 2 lit. d NIS2 i unijnego aktu o AI, co oceniać i jak zachować widoczność.
Ostatnio sprawdzono: 19 czerwca 2026
Ten przewodnik zawiera ogólne informacje o prawie UE, a nie poradę prawną. NIS2 wchodzi w życie poprzez krajową ustawę wdrażającą każdego państwa członkowskiego UE, która może różnić się w szczegółach. Zweryfikuj obowiązki, które Cię dotyczą, u właściwego organu lub doradcy prawnego.