Katalog środków minimalnych
Artykuł 21 dyrektywy NIS2 wymienia minimalny zestaw środków, jakie podmioty zobowiązane muszą wdrożyć. Obejmuje on politykę analizy ryzyka, procedury obsługi incydentów, plany ciągłości działania, bezpieczeństwo łańcucha dostaw, testowanie i audyt bezpieczeństwa systemów oraz stosowanie kryptografii tam, gdzie jest to zasadne.
Zarządzanie ryzykiem operacyjnym
Podejście oparte na ryzyku wymaga od organizacji regularnej identyfikacji zagrożeń, oceny ich prawdopodobieństwa i potencjalnego wpływu, a następnie doboru proporcjonalnych środków zaradczych. Proces ten powinien być udokumentowany i poddawany przeglądom kierownictwa.
Ciągłość działania
Plany ciągłości działania powinny obejmować procedury odtwarzania po awarii, zarządzanie kopiami zapasowymi oraz komunikację kryzysową. Ich skuteczność weryfikowana jest poprzez okresowe testy i symulacje scenariuszy incydentów.