A NIS2 követelményei (a 7/2024. MK rendelet a biztonsági osztályba sorolás követelményeiről, valamint az egyes biztonsági osztályok esetében alkalmazandó konkrét védelmi intézkedésekről alapján) összehasonlítva pl. a nemzetközi ISO/IEC 27001 szabvánnyal, a következők állapíthatók meg:
- mindkét rendszer alapvetően az információk biztonságának védelméről szól;
- míg az ISO/IEC 27001 a vállalat által használt, kezelt összes információ minden előfordulási helyén védi az információk biztonságát, addig a NIS2 kifejezetten csak az elektronikus információs rendszereken elérhető adatok biztonságára irányul;
- az elektronikusan tárolt adatok védelmének területei, főbb témái egyaránt megjelennek mindkét szabvány követelményeiben, azonban a NIS2 követelmények sokkal részletesebben alábontottak és részleteiben is szigorúbban számonkértek;
- az összes kontroll egységes és rendszerszintű vállalati menedzselésére az ISO/IEC 27001 szabvány egy jobban kezelhető és átfogó irányítási keretrendszert tartalmaz és ír elő.
A NIS2 követelményeket tartalmazó (jelenleg még munkaanyag) a kibervédelemre előírt követelményeket (biztonsági kontrollokat) 19 fő követelménycsoportba sorolja be. (A NIS2 követelménycspoportok és biztonsági kontrollok kialakításának az alapját a NIST SP 800-53 szabvány r.5 aktuális verziójának a struktúrája és a filozófiája alkotta.)
Ezeknek a követelménycsoportoknak a megnevezése, az az azokhoz kapcsolódó (áttekintés szinten nagyvonalú, és nem részleteiben alábontott) információbiztonsági / informatikai biztonsági témakörök bemutatása a következő:
| NIS2 követelménycsoport | Információbiztonsági / informatikai biztonsági témakörök |
| 1. Programmenedzsment | IT-biztonság szervezete, szabályozása és irányítása (IT governance) |
| 2. Hozzáférés-felügyelet | Felhasználói fiókok szabályozása és kezelése (jogosultságok), információáramlás és információmegosztás szabályozása, rendszerhasználat és cselekmények felügyelete, távoli hozzáférések |
| 3. Tudatosság és képzés | Biztonságtudatossági képzési rendszer szervezete, működése, témái |
| 4. Naplózás és elszámoltathatóság | Eseménynaplózás kezelése, naplózási hibakezelés, naplóbejegyzések feldolgozása, naplóinformációk védelme és megőrzése, letagadhatatlanság |
| 5. Értékelés, engedélyezés és monitorozás | Biztonságértékelésnek és követelmények engedélyezésének a tárgya, a szervezete, a felelőse és feladatai, folyamatos felügyeleti (monitorig) tevékenységek tárgya, szervezete és következményei |
| 6. Konfigurációkezelés | A rendszerek és rendszerelemek konfigurációszabályozása, alapkonfiguráció és változások kezelése, különleges szempontok megvalósítása, rendszerelem leltár és karbantartása, szoftverhasználat korlátozása |
| 7. Készenléti tervezés | Üzletmenet-folytonosság szabályozása és szervezete, BCP életciklusa, elemei és esetei |
| 8. Azonosítás és hitelesítés | Azonosítás és hitelesítés alapelvei, alkalmazott technikák, hitelesítésre szolgáló ezközök védelme, nyilvános kulcsú hitelesítés |
| 9. Biztonsági események kezelése | Biztonsági esemény és incidenskezelés folyamata, szabályozása, szerepkörei, módszerei (technikái), SOC, jelentési rendszer |
| 10. Karbantartás | Karbantartási eljárásrend, szerepek és felelősségek, eszközök, távoli karbantartás szabályai, |
| 11. Adathordozók védelme | Adathordozók kezelsének szabályozása, |
| 12. Fizikai és környezeti védelem | EIR-ek fizikai hozzáférés védelme és felügyelete, biztonságos fizikai üzemeltetés környezeti feltételei |
| 13. Tervezés | EIR-ek rendszerbiztonsági terve (RBT), működési koncepciója, IB architektúra leírása, viselkedési szabályok |
| 14. Személyi biztonság | Munkakörök biztonsági osztályozása, IB szempontok munkaviszony létesítéskor, változáskor és megszűnéskor, külső személyek esetén, fegyelmi intézkedések |
| 15. Kockázatkezelés | Biztonsági osztályba sorolás, kockázatelemzés, sérülékenységmenedzsment, fenyegetések felderítése |
| 16. Rendszer- és szolgáltatásbeszerzés | Rendszerfejlesztés életciklusa, lépései, szerepei, beszerzések szabályozásában az információbiztonság, külső információs rendszerek szolgáltatásában biztonsági aspektusok, szabályok, szoftverfejlesztés során infobiztonság szempontjai |
| 17. Rendszer- és kommunikációvédelem | EIR-ek: rendszer és biztonsági funkciók szétválasztása, hálózati határvédelem, védekezés különböző támadási típusok ellen (technikák), adatátvitel biztonsága, kriptográfia, működésbiztonság, |
| 18. Rendszer- és információsértetlenség | Főképp szoftverek hibajavításai, kártékony kódok elleni védelem, EIR-ek monitorozása, IDS/IDM, biztonsági riasztások, szoftver- firmware- és információsértetlenség, |
| 19. Ellátási lánc kockázatkezelése | Beszállítók és alvállalkozók kockázatértékelése, biztonsági előírások nekik és azok számon kérése |