Zgodnie z NIS 2, środki zarządzania ryzykiem w cyberbezpieczeństwie powinny min. uwzględniać stopień zależności danego podmiotu od sieci i systemów informatycznych. To obejmuje procesy identyfikacji potencjalnych ryzyk, prewencji, wykrywania ewentualnych naruszeń, reagowania na incydenty oraz przywracania normalnego funkcjonowania po ich wystąpieniu. Ponadto, celem jest także minimalizowanie skutków incydentów.
Wdrażając te zasady na poziomie krajowym, Polska ma obowiązek nadzorowania podmiotów kluczowych, aby zapewnić skuteczne egzekwowanie polityki cyberbezpieczeństwa. W tym kontekście, organy nadzorcze będą uprawnione do wymagania dowodów na realizację strategii bezpieczeństwa cybernetycznego od badanych podmiotów. Takie dowody mogą obejmować wyniki audytów przeprowadzonych przez wykwalifikowanych audytorów oraz inne istotne dokumenty potwierdzające skuteczność działań w dziedzinie cyberbezpieczeństwa.
Podsumowując unijna dyrektywa NIS2 zwraca szczególną uwagę na kompleksową ochronę sieci i systemów informatycznych. Jeśli dostępność naszych kluczowych procesów uzależniona jest od komponentów systemów i sieci przemysłowych OT/ICS powinniśmy je uwzględnić przy pracach nad zgodnością min. na etapie etapie analizy ryzyka, zarządzania podatnościami i incydentami oraz ciągłym monitorowaniu poziomu bezpieczeństwa. W Polsce, implementacja NIS2 obejmie skuteczne nadzorowanie i egzekwowanie polityki cyberbezpieczeństwa wśród kluczowych podmiotów, co stanowi istotny krok w kierunku zwiększenia ogólnego poziomu bezpieczeństwa cybernetycznego.