В публикацията се добавя, че тя изисква от субектите в обхвата да прилагат "подходящи и пропорционални технически и организационни мерки за управление на рисковете, свързани със сигурността на мрежовите и информационните системи, които тези субекти използват при предоставянето на своите услуги". Тези мерки се предприемат във връзка със списък от специфични въпроси като справяне с инциденти, непрекъсваемост на бизнеса, сигурност на веригата за доставки, криптиране, контрол на достъпа, използване на многофакторно удостоверяване и разкриване на уязвимости и справяне с тях.

Травърс Смит освен това посочи, че NIS 2 ще наложи отговорности на "органите за управление" на основни и важни субекти да одобряват мерки за киберсигурност и да контролират тяхното прилагане. В допълнение, ръководството може също да бъде подведено под отговорност и временно забранено, ако организацията не спазва изискванията за киберсигурност.

Според адвокатите новата директива ще наложи на "органите за управление" на основни и важни субекти отговорността да одобряват мерки за киберсигурност и да контролират тяхното прилагане. В допълнение, ръководството може също да бъде подведено под отговорност и дори временно да бъде забранено, ако организацията не спазва изискванията за киберсигурност.

През септември миналата година Еврокомисията прие и предложението за Закон за киберустойчивостта, който определя изискванията за киберсигурност за продукти с цифров елемент, обхващащ както хардуера, така и софтуера.

В публикация на Международния център за операции по сигурността (SOC) на EURO ONE пише, че "на всички организации се препоръчва първо да проверят дали са субекти на директивата. Ако отговорът е "да", силно се препоръчва подготовката за съответствие да започне възможно най-скоро, а не да се чака крайният срок за транспониране на директивата в националното законодателство през 2024 г.".

Директивата NIS 2 разшири секторите и видовете критични субекти, попадащи в нейния обхват, обхващайки вече доставчици на обществени електронни съобщителни мрежи и услуги, услуги от центрове за данни, управление на отпадъчни води и други отпадъци, производство на критични продукти, пощенски и куриерски услуги и субекти на публичната администрация и сектора на здравеопазването като цяло. Освен това тя засилва изискванията за управление на риска за киберсигурността, които компаниите са длъжни да спазват, като същевременно уточнява задълженията за докладване на инциденти с по-ясни разпоредби относно докладването, съдържанието и графика за това докладване.

Освен това директивата NIS 2 разглежда сигурността на веригите за доставки и взаимоотношенията с доставчици, като изисква от отделните компании да се справят с рисковете за киберсигурността във веригите за доставки и взаимоотношенията с доставчици. На европейско ниво директивата укрепва киберсигурността на веригата за доставки за ключови информационни и комуникационни технологии. Държавите членки в сътрудничество с Еврокомисията и ENISA могат да извършват координирани оценки на риска за сигурността на ниво ЕС на критични вериги за доставки.

Изгражда се оперативно сътрудничество в рамките на мрежата на Екипа за реагиране при инциденти с компютърната сигурност (CSIRT) и се създава мрежа на Европейската организация за връзка при киберкризи (EU-CyCLONe) за подпомагане на координираното управление на широкомащабни инциденти и на кризи в киберсигурността.

Оценката на настоящите правила относно изискванията за сигурност и докладване на инциденти установи, че в някои случаи държавите членки прилагат тези изисквания по значително различаващи се помежду си начини. Това обаче създава допълнителна тежест за компаниите, работещи в повече от една държава членка. Освен това, когато работят с изискванията за киберсигурност, всички компании трябва да обърнат внимание на необходимия основен набор от елементи в своите политики за управление на риска за киберсигурността.

Именно затова директивата NIS 2 включва списък от 10 ключови елемента, които всички компании трябва да прилагат като част от мерките, които предприемат, включително реакция при инциденти, сигурност на веригата за доставки, разкриване и справяне с уязвимости, използване на криптография и - когато е подходящо - криптиране. Когато става въпрос за докладване на инциденти, трябва да има ясен баланс между необходимостта от бързо докладване, стремеж срещу възникването и разрастването на инциденти и подробно докладване, което може да извлече полезни знания от отделни казуси.

Директивата NIS 2 предвижда многоетапен подход за докладване на инциденти. Засегнатите компании разполагат с 24 часа от момента, в който за първи път разберат за инцидент, за да подадат ранно предупреждение до CSIRT или компетентен национален орган, което би им позволило да потърсят помощ, ако я поискат. Ранното предупреждение трябва да бъде последвано от уведомление за инцидент в рамките на 72 часа след узнаването на инцидента и окончателен доклад не по-късно от месец по-късно.

Директивата CER заменя Директивата за европейската критична инфраструктура от 2008 г., като целта е да се укрепи устойчивостта на критичната инфраструктура към редица заплахи, включително природни бедствия, терористични атаки, вътрешни заплахи или саботаж. Обхванатите 11 сектора включват енергетика, транспорт, банково дело, инфраструктури на финансовия пазар, здравеопазване, питейна вода, отпадъчни води, цифрова инфраструктура, публична администрация, Космос и храна. Държавите членки ще трябва да приемат национална стратегия и да извършват редовни оценки на риска, за да идентифицират субекти, които се считат за критични или жизненоважни за обществото и икономиката.

През декември Европейският съвет прие препоръка относно подхода за координация в целия ЕС за укрепване на устойчивостта на критичната инфраструктура, където държавите членки са поканени да ускорят подготвителната работа за транспонирането и прилагането на директивата NIS 2 и директивата CER.

Проектът на препоръка има за цел да увеличи максимално и да ускори работата за защита на критичната инфраструктура в три приоритетни области - готовност, реакция и международно сътрудничество. За тази цел се предвижда по-силна подкрепа и координационна роля на Еврокомисията за подобряване на готовността и реакцията срещу настоящите заплахи, както и засилено сътрудничество между държавите членки и със съседни трети държави. Трябва да се даде приоритет на ключовите сектори енергетика, цифрова инфраструктура, транспорт и Космос.