Една от основните теми в промените на Закона за киберсигурност е въвеждането на подходящи и пропорционални технически, оперативни и организационни мерки за управление на риска. Това е важна формулировка, защото показва, че съответствието с NIS 2 не се свежда до един продукт или една техническа настройка.Организацията трябва да прецени какви рискове съществуват за нейните мрежови и информационни системи и какви мерки са необходими спрямо тези рискове.Сред основните области, върху които фирмите трябва да обърнат внимание, са:
Това са области, в които често се установяват практически пропуски. Например организацията може да има резервни копия, но да не е тествала възстановяването. Може да има правила за достъп, но да няма редовен преглед на потребителските права. Може да използва външни доставчици, без да е оценила рисковете, свързани с тях.Затова прегледът на готовността по NIS 2 трябва да бъде структуриран. Не е достатъчно да се провери само дали има техническа защита. Необходимо е да се оцени дали мерките са подходящи, пропорционални, документирани и приложими в реалната работа на организацията.Един професионален gap анализ може да покаже точно това: кои изисквания вече са покрити, кои са частично покрити и къде има липси. Така фирмата получава конкретна картина и план за действие, вместо общо усещане, че „нещо трябва да се направи“.
