Dyrektywa NIS2 wprowadza nowe obowiązki dla organizacji w czterech głównych obszarach: zarządzanie ryzykiem, odpowiedzialność korporacyjna, obowiązki sprawozdawcze i ciągłość działania.
Organizacje muszą ograniczyć ryzyko cybernetyczne, aby zachować zgodność z nową dyrektywą. Do wdrożonych metod należą: zarządzanie incydentami, poprawa bezpieczeństwa łańcucha dostaw, zwiększone bezpieczeństwo sieci, lepsza kontrola dostępu i szyfrowanie.
- Odpowiedzialność korporacyjna
NIS2 wymaga od kierownictwa korporacji nadzorowania, zatwierdzania i szkolenia w zakresie procedur cyberbezpieczeństwa podmiotu oraz przeciwdziałania zagrożeniom cybernetycznym. Kierownictwo może podlegać sankcjom za naruszenia, w tym odpowiedzialności prawnej i tymczasowemu wykluczeniu ze stanowisk kierowniczych.
Podmioty kluczowe i ważne muszą posiadać systemy umożliwiające jak najszybsze ujawnianie zdarzeń związanych z bezpieczeństwem, które mają istotny wpływ na ich ofertę usług lub odbiorców. NIS2 określa ramy czasowe powiadomień, takie jak 24-godzinne "wczesne ostrzeganie".
Organizacje muszą zaplanować, w jaki sposób utrzymają ciągłość działania w przypadku poważnych incydentów cybernetycznych. Strategia ta powinna uwzględniać odzyskiwanie systemu, procedury awaryjne i utworzenie zespołu reagowania kryzysowego.