One of the main topics in the changes to the Cybersecurity Act is the introduction of appropriate and proportionate technical, operational, and organizational risk management measures. This is an important formulation because it shows that compliance with NIS 2 is not limited to a single product or a single technical configuration.The organization must assess what risks exist for its network and information systems and what measures are necessary in relation to those risks.Among the main areas that companies should pay attention to are:
Това са области, в които често се установяват практически пропуски. Например организацията може да има резервни копия, но да не е тествала възстановяването. Може да има правила за достъп, но да няма редовен преглед на потребителските права. Може да използва външни доставчици, без да е оценила рисковете, свързани с тях.Затова прегледът на готовността по NIS 2 трябва да бъде структуриран. Не е достатъчно да се провери само дали има техническа защита. Необходимо е да се оцени дали мерките са подходящи, пропорционални, документирани и приложими в реалната работа на организацията.Един професионален gap анализ може да покаже точно това: кои изисквания вече са покрити, кои са частично покрити и къде има липси. Така фирмата получава конкретна картина и план за действие, вместо общо усещане, че „нещо трябва да се направи“.
