NIS2 pone gli audit di sicurezza al centro della governance perché le policy contano solo quando le organizzazioni possono dimostrare che funzionano, non solo che sono state messe per iscritto.