Ettevõtted ebaõnnestuvad NIS2 nõuete täitmisel sageli puuduliku juhtimisstruktuuri, ebapiisava riskihindamise, ettevalmistamata intsidentidest teavitamise protsesside ja puuduliku tarneahela kontrolli tõttu.
NIS2 eeldab süsteemseid ja dokumenteeritud turvaprotsesse, mitte killustatud punktlahendusi — CISO-d peavad ühendama juhtimise, järelevalve ja aruandlusliinid tervikuks.
Alates juulist 2025 peavad ettevõtted NIS2 ja tehisintellektimääruse alusel koolitama kõiki töötajaid küberturvalisuse ja tehisintellekti valitsemise alal, kusjuures koolitusprogrammid tuleb dokumenteerida ja nõuete täitmata jätmine toob kaasa trahviriski.
NIS2 direktiivi kohaselt vastutavad tegevjuhid isiklikult turvalisuse puuduste eest ning peavad seetõttu kujundama IT-turvalisusest juhtkonna põhiülesande.
Vaid 61 protsenti registreerimiskohustusega ettevõtetest on IT-turvalisuse seaduse alusel end registreerinud, mis toob registreerimata ettevõtetele kaasa märkimisväärseid vastavusriske.
Küberrünnak kohaliku omavalitsuse energiaettevõtte vastu halvas selle maksesüsteemid ja sundis 60 000 klienti tegema ülekandeid käsitsi; tõenäoliseks sissepääsuteeks peetakse võltsitud õngitsuskirju.
NIS2 muudab infoturbe juhtimissüsteemi (ISMS) alates 2026. aastast kohustuslikuks vähemalt 50 töötajaga ettevõtetele täiendavates sektorites ja paneb vastutuse ettevõtte juhtkonnale.