Responsabilitatea organelor de conducere — NIS2 impune ca organele de conducere ale entităților esențiale și importante (consiliu de administrație, directori executivi) să aprobe și să supravegheze implementarea măsurilor de securitate cibernetică și să poată fi trase la răspundere personal pentru neconformitate. Membrii organelor de conducere trebuie să urmeze formare în securitate cibernetică.

Entitate importantă — Organizație din sectoarele critice (servicii poștale, gestionarea deșeurilor, producție chimică, alimentară, producție industrială, servicii digitale, cercetare) căreia i se aplică cerințele NIS2 într-un regim de supraveghere ex post. Sancțiunile maxime sunt de 7 milioane EUR sau 1,4% din cifra de afaceri globală anuală, oricare dintre acestea este mai mare.

Entitate esențială — Organizație din sectoarele cu importanță critică ridicată (energie, transport, sănătate, apă potabilă, infrastructura digitală, administrație publică, spațiu) care depășește pragurile de dimensiune și căreia i se aplică cerințele complete ale NIS2. Entitățile esențiale fac obiectul supravegherii ex ante și ex post și al sancțiunilor maxime de 10 milioane EUR sau 2% din cifra de afaceri globală.

CSIRT — Echipa de răspuns la incidente de securitate informatică (Computer Security Incident Response Team), desemnată sau înființată conform NIS2, care asigură răspunsul la incidentele cibernetice la nivel național sau sectorial. CSIRT-urile monitorizează amenințările, oferă avertizări timpurii, asistență tehnică la incidente și coordonează răspunsul între entități. În România, CSIRT național este DNSC.

Incident cibernetic — Eveniment care compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate, transmise sau prelucrate sau a serviciilor oferite de sistemele de rețele și informații, ori care sunt accesibile prin intermediul acestora. Incidentele semnificative trebuie notificate autorității competente (CSIRT/DNSC) conform termenelor stabilite de NIS2.

Cyber Kill Chain — Model conceptual care descrie etapele unui atac cibernetic în ordine secvențială: recunoaștere, armare, livrare, exploatare, instalare, comandă și control (C2), acțiune asupra obiectivului. Înțelegerea kill chain permite echipelor de securitate să implementeze controale la fiecare etapă pentru a detecta și bloca atacul cât mai devreme în lanț.

Măsuri de gestionare a riscurilor de securitate cibernetică — Ansamblul măsurilor tehnice, operaționale și organizatorice adecvate și proporționale pe care entitățile esențiale și importante trebuie să le adopte pentru a gestiona riscurile la adresa securității rețelelor și sistemelor informatice. Măsurile acoperă minimum 10 domenii: politici de analiză a riscurilor, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare și altele.