Mañana, 30 de junio de 2026, las Entidades Esenciales de toda la Unión Europea se enfrentan a la primera auditoría formal de cumplimiento bajo la Directiva sobre la Seguridad de las Redes y la Información 2 (NIS2). Si tu organización opera en los sectores de energía, transporte, banca, sanidad, agua, infraestructuras digitales o cualquiera de los otros catorce sectores cubiertos, y cuenta con más de 50 empleados y más de 10 millones de euros de facturación anual, esta fecha límite te afecta directamente.
NIS2 no menciona DMARC por su nombre. Sin embargo, los requisitos de su Artículo 21 en materia de gestión de riesgos de ciberseguridad han sido interpretados de forma coherente por los reguladores nacionales que elaboraron las directrices de aplicación: un dominio de correo electrónico sin DMARC a nivel de aplicación es una brecha de control documentada. Y un registro DMARC con p=none se trata exactamente igual que la ausencia total de un registro DMARC.
Qué Exige Realmente el Artículo 21
El Artículo 21 de NIS2 obliga a las Entidades Esenciales e Importantes a implementar medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos de seguridad en sus redes y sistemas de información. La disposición incluye diez categorías de medidas mínimas que abarcan la seguridad de la cadena de suministro, la gestión de incidentes, la criptografía y el control de accesos.
La autenticación del correo electrónico se encuentra en la intersección de varias de estas categorías simultáneamente. La ausencia de DMARC a nivel de aplicación no es una brecha única. Es una brecha que los auditores pueden citar frente a hasta cinco obligaciones independientes del Artículo 21:
Procesos de gestión de riesgos. Sin la aplicación de DMARC, una organización no tiene control sobre si remitentes no autorizados pueden suplantar su dominio. Esto constituye un riesgo no gestionado para la integridad de identidad de su infraestructura de comunicaciones.
Políticas y procedimientos para la seguridad de redes. El correo electrónico es infraestructura de red. Un dominio con p=none no ha implementado los controles de capa de autenticación que todos los marcos de ciberseguridad identifican actualmente como línea de base para la seguridad del correo electrónico.
Factores humanos y control de accesos. Los correos electrónicos de phishing que suplantan tu dominio son el vector principal del robo de credenciales. DMARC con p=quarantine o p=reject elimina el phishing por suplantación de dominio como vector de ataque contra tu propia organización y tus socios.
Continuidad del negocio y respuesta a incidentes. Un dominio que puede suplantarse libremente crea una superficie de exposición a incidentes sin límites definidos. Cuando tu dominio se utiliza para hacer phishing a un socio comercial o a un cliente, la carga de la respuesta al incidente recae sobre tu organización independientemente de si el correo provino de tu infraestructura.
Seguridad de la cadena de suministro. NIS2 exige explícitamente que las organizaciones gestionen los riesgos de ciberseguridad introducidos por sus proveedores tecnológicos. Las configuraciones de autenticación de correo electrónico – incluyendo si los servicios de envío autorizados de tu organización están correctamente alineados en tu registro DMARC – constituyen un riesgo documentado de la cadena de suministro cuando no se monitorizan ni controlan.
La Ficción de Cumplimiento con p=none
La brecha de configuración DMARC más habitual que encuentran los auditores es el registro p=none publicado a toda prisa para cumplir los requisitos de los remitentes masivos de Gmail y Outlook en 2024 y 2025, y que nunca se avanzó hasta el nivel de aplicación.
p=none es una política de monitorización. Instruye a los servidores de correo receptores a no tomar ninguna acción contra los mensajes que no superen la autenticación DMARC. Recopila datos – a través de los informes agregados RUA – sobre qué está enviando correo que afirma ser de tu dominio. Pero no bloquea nada.
ENISA, la Agencia de Ciberseguridad de la Unión Europea, publicó en junio de 2025 la Guía Técnica de Implementación sobre medidas de gestión de riesgos de ciberseguridad. Esa guía, que los auditores NIS2 utilizan como referencia técnica estándar, identifica la aplicación de DMARC – es decir, p=quarantine o p=reject – como el control requerido para las organizaciones que implementan el Artículo 21. Un registro p=none demuestra concienciación, pero no control.
La distinción no es semántica. La concienciación sin aplicación significa que un atacante puede enviar correo de phishing desde tu dominio sin ninguna barrera técnica en tu configuración DNS. Eso no es un riesgo gestionado. Es un riesgo no gestionado documentado – exactamente la categoría que desencadena medidas de ejecución bajo NIS2.
Las sanciones son de escala RGPD: hasta 10 millones de euros o el 2% de la facturación anual global para las Entidades Esenciales, y hasta 7 millones de euros o el 1,4% de la facturación anual global para las Entidades Importantes.
Qué Comprobará la Auditoría
Los auditores NIS2 que revisan las configuraciones de seguridad del correo electrónico no realizan un simple ejercicio de verificación de casillas. Evalúan si una organización ha implementado una postura de seguridad de correo electrónico defendible con documentación que demuestre que fue intencional y se mantiene activamente.
Los elementos específicos que comprobarán:
Existencia del registro DNS y nivel de política. El auditor consultará el DNS de tu dominio buscando un registro DMARC TXT en _dmarc.tu-dominio.com. Si no existe ningún registro, eso es una brecha clara. Si existe un registro con p=none, eso también es una brecha. Se espera como mínimo p=quarantine o p=reject.
Alineación SPF y DKIM. DMARC solo tiene sentido si los mecanismos de autenticación subyacentes están correctamente configurados. Los auditores verificarán que tu registro SPF cubra todas tus fuentes de envío legítimas sin ser excesivamente permisivo, y que la firma DKIM esté activa en los dominios de envío que aparecen en la cabecera From.
Configuración de informes RUA. La guía de ENISA especifica que los informes agregados deben estar activos. Una etiqueta rua= que apunte a una dirección monitorizada demuestra que alguien está leyendo realmente los datos de autenticación generados. Un dominio con p=reject y sin informes RUA configurados carece de un control de visibilidad requerido.
Cobertura de política de subdominios. Muchas organizaciones publican DMARC en su dominio apex pero no abordan los subdominios explícitamente. Si la política de subdominios no se especifica con una etiqueta sp=, se aplica la política del dominio apex – pero el auditor comprobará si los subdominios de envío han sido abordados intencionalmente en tu configuración.
Documentación del camino hacia la aplicación. Este es el elemento que la mayoría de las organizaciones infravalora. Los auditores NIS2 no solo buscan un registro DMARC correctamente configurado. Evalúan si la organización tiene un proceso repetible para mantener esa configuración. Eso significa registros del análisis de informes agregados que precedió a la aplicación, documentación de todas las fuentes de envío autenticadas y evidencia de revisión periódica.
Lo que ha Explicitado el BSI TR-03108 de Alemania
Aunque NIS2 deja margen para la interpretación nacional, la Oficina Federal Alemana de Seguridad de la Información ha cerrado completamente esa brecha. La Directiva Técnica BSI TR-03108 – la guía de implementación NIS2 nacional más detallada de Europa – especifica DMARC a nivel de aplicación como un control obligatorio para los operadores de infraestructura de correo electrónico.
El Centro Nacional de Ciberseguridad de los Países Bajos y la ANSSI de Francia han emitido directrices en la misma dirección. Las expectativas supervisoras del Banco Central Europeo para las entidades financieras – que se superponen significativamente con el ámbito de aplicación de NIS2 – identifican la autenticación del correo electrónico como un control básico.
Lo que esto significa en la práctica: los países que albergan a la mayoría de las Entidades Esenciales de la UE han emitido o están en proceso de emitir directrices nacionales explícitas que tratan la aplicación de DMARC como un componente innegociable del cumplimiento del Artículo 21 de NIS2. El argumento de que DMARC es opcional bajo NIS2 porque el texto de la directiva no lo nombra explícitamente es un argumento que los auditores nacionales no están aceptando.
Si Lees Esto Después de la Fecha Límite
Si el 30 de junio ya ha pasado, la prioridad inmediata no es el pánico. Es la documentación.
Las organizaciones que han implementado DMARC con p=none y están analizando activamente los informes – con un calendario documentado hacia la aplicación – se encuentran en una posición materialmente diferente a la de las organizaciones que no tienen ningún registro DMARC. Los auditores y las autoridades supervisoras pueden distinguir entre una organización en una transición de cumplimiento documentada y una que ha ignorado completamente el requisito.
El camino de p=none a p=quarantine y después a p=reject es metódico. El análisis de informes agregados para identificar todas las fuentes de envío suele llevar entre cuatro y ocho semanas para una organización mediana. La autenticación y alineación de todas las fuentes identificadas requiere tiempo adicional proporcional a la complejidad de la infraestructura de correo electrónico. La aplicación gradual con monitorización en cada paso es más segura que un salto apresurado a p=reject.
La brecha de cumplimiento es real. El camino para cerrarla está bien establecido. Lo que requiere es visibilidad continua de DMARC – la capacidad de ver cada fuente que envía correo bajo tu dominio, los resultados de autenticación de cada fuente y las tendencias de volumen que indican si algo inesperado está ocurriendo en tus flujos de correo.
El cumplimiento NIS2 para la autenticación del correo electrónico no es un cambio puntual en un registro DNS. Requiere monitorización continua de tus informes agregados DMARC, un inventario actualizado de fuentes de envío autenticadas y la documentación que demuestre que tus controles están activos y revisados. Regístrate gratis en Excello Mail y obtén la visibilidad continua que requiere tu registro de auditoría del Artículo 21.