NIS2 propisuje kibernetičke mjere koje će pomoći u smanjenju razlika u kibernetičkoj otpornosti organizacija obuhvaćenih direktivom. Prema članku 21. Direktive (EU) 2022/2555 organizacije su dužne primijeniti operativne, tehničke i organizacijske mjere u koje spadaju:
- Politike analize rizika i informacijske sigurnosti.
- Kriptografija i enkripcija kao jedna od obaveznih mjera za koje moraju postojati politike i procedure.
- Organizacija je obvezna planirati aktivnosti i mjere koje će poduzeti nakon nastupanja incidenta, upravljati sigurnosnim kopijama te odrediti način upravljanja kriznim situacijama. U navedeno su uključene mjere poput određivanja vremena oporavka (RTO), točke oporavka (RPO), plana pristupa resursima i njihovim funkcijama itd. Ove aktivnosti mogu biti vrlo izazovne za OT tvrtke kao što su pružatelji električne energije, pitke vode i dr. jer mnoge od njih nemaju definirane postupke za upravljanje incidentima.
- Procesi i procedure za upravljanje incidentima koje će propisati kako otkriti, odgovoriti na i oporaviti se od sigurnosnih incidenata na učinkovit način.
- Kako su propisani zahtjevi za sigurnost lanca opskrbe, potrebno je utvrditi bitne dobavljače, koji rizici proizlaze iz odnosa s njima te koliki utjecaj imaju na poslovanje tvrtke.
- Definirati procedure za očuvanje kibernetičke higijene i edukacije u području cyber sigurnosti.
- Organizacije trebaju osigurati da su njihovi komunikacijski kanali osigurani protiv prisluškivanja ili presretanja. Potrebno je koristiti više faktorsku autentifikaciju ili kontinuirana autentifikacijska rješenja, sigurne glasovne, video i tekstualne komunikacije te sustava za sigurnu komunikaciju u hitnim slučajevima.
- Sigurnost ljudskih resursa, politike kontrole pristupa i upravljanje imovinom.
- Sigurnost u usvajanju, razvoju i održavanju informacijskih sustava uključujući rukovanje i objavljivanje ranjivosti.
- Politike i procedure za procjenu efektivnosti mjera upravljanja cyber rizikom.
U Zakonu o kibernetičkoj sigurnosti navedeno je da organizacije moraju uzeti u obzir ranjivosti izravnih dobavljača i pružatelja usluga te njihovu opću kvalitetu proizvoda i sigurnosne prakse. Uz navedeno, moraju uzeti u obzir i rezultate procjene rizika ključnih lanaca opskrbe ICT uslugama, sustavima ili proizvodima koje je provela Skupina za suradnju zajedno s Europskom komisijom i ENISA-om.
Uz prethodno navedene zahtjeve i mjere iz NIS2 direktive Zakon o kibernetičkoj sigurnosti propisuje i dodatne posebne zahtjeve za upravljanje podatcima o registraciji naziva domena. Ovim zahtjevima određuju se obveze registrara i registra naziva vršne nacionalne internetske domene.
