NIS2 eeldab süsteemseid ja dokumenteeritud turvaprotsesse, mitte killustatud punktlahendusi — CISO-d peavad ühendama juhtimise, järelevalve ja aruandlusliinid tervikuks.
Suurimad turvalisusriskid ei tulene nullpäeva-eksploitidest, vaid varade nähtavuse puudumisest, käitumispõhisest sotsiaalse inseneriväljapressimisest ja juhtkonna kompromiteerimisest.