From NIS2 to the Station House: A Document-Thematic Analysis of ENISA Guidance to Derive Minimum Operational Controls for Police Organizations

Creative Commons License

Arslan A. C.

Internal Security, cilt.17, sa.2, ss.93-113, 2026 (Hakemli Dergi)

  • Yayın Türü: Makale / Tam Makale
  • Cilt numarası: 17 Sayı: 2
  • Basım Tarihi: 2026
  • Doi Numarası: 10.5604/01.3001.0055.6594
  • Dergi Adı: Internal Security
  • Derginin Tarandığı İndeksler: Index Copernicus, European Reference Index for the Humanities and Social Science (ERIH PLUS)
  • Sayfa Sayıları: ss.93-113
  • Polis Akademisi Adresli: Evet

Özet

This study dives into the NIS2 Directive and ENISA guidance to pinpoint the essential operational controls and workflows that police organizations need to bolster internal security. Through a thematic analysis of publicly available documents from 2018 to 2025, we explore ENISA’s resources, think incident reporting, threat landscape insights, and sector-specific recommendations, alongside NIS2’s security and incident-handling requirements as our core dataset. We frame our analysis around three key questions: RQ1) What are the must-have controls and workflows for police organizations? RQ2) Where do these documents align or clash? RQ3) How can we craft a practical, ready-to-use checklist for practitioners? Using ten predefined categories, Legality, Necessity, Proportionality, Accountability, Data Minimization, Logging/Traceability, Inter-agency Coordination, Training, Procurement/Vendor Controls, and Incident Workflow, we systematically code the documents. Our findings are distilled into three outputs: i) a matrix linking documents to specific requirements and tangible operational tools (like logs, escalation protocols, or evidence-handling steps), ii) a RACI chart mapping responsibilities across police, cyber units, prosecutors, and critical-infrastructure operators, and iii) a gap heatmap spotlighting areas that need clearer guidance, such as chain-of-custody in cyber-physical incidents or proportionality in OSINT-driven responses. The result is a practical, vendor-neutral Minimum Operational Controls Checklist paired with a decision-flow model, translating complex NIS2/ENISA requirements into actionable steps for police organizations. We wrap up with tailored implementation tips for police academies and command structures, focusing on training priorities, procurement strategies, and audit-ready logging practices. This approach ensures compliance while safeguarding public trust and individual rights


Streszczenie

W niniejszym badaniu autor dogłębnie analizuje dyrektywę NIS2 i wytyczne ENISA, aby wskazać podstawowe środki kontroli operacyjnej i procedury, które organizacje policyjne muszą wdrożyć w celu wzmocnienia bezpieczeństwa wewnętrznego. Poprzez analizę tematyczną dokumentów dostępnych publicznie w latach 2018–2025 zbadano zasoby ENISA, zgłaszanie incydentów, informacje na temat zagrożeń oraz zalecenia dla poszczególnych sektorów, a także wymagania NIS2 dotyczące bezpieczeństwa i postępowania w przypadku incydentów, które stanowią nasz podstawowy zbiór danych. Analizę oparto na trzech kluczowych pytaniach: Pytanie badawcze 1) Jakie są niezbędne środki kontroli i procedury dla organizacji policyjnych? Pytanie badawcze 2) W jakich obszarach dokumenty te są zgodne, a w jakich sprzeczne? Pytanie badawcze 3) Jak stworzyć praktyczną, gotową do użycia listę kontrolną dla praktyków? Korzystając z dziesięciu predefiniowanych kategorii, takich jak legalność, konieczność, proporcjonalność, odpowiedzialność, minimalizacja danych, rejestrowanie/identyfikowalność, koordynacja międzyagencyjna, szkolenia, kontrola zamówień/dostawców oraz przepływ zadań związanych z incydentami, systematycznie kodowano dokumenty. Ustalenia zostały zebrane w trzech punktach: 1) matryca łącząca dokumenty z konkretnymi wymaganiami i konkretnymi narzędziami operacyjnymi (takimi jak logi, protokoły eskalacji lub kroki postępowania z dowodami), 2) wykres RACI przedstawiający podział obowiązków między policją, jednostkami cyberbezpieczeństwa, prokuratorami i operatorami infrastruktury krytycznej oraz 3) mapa luk wskazująca obszary, które wymagają jaśniejszych wytycznych, takie jak łańcuch dowodowy w incydentach cyberfizycznych lub proporcjonalność w reakcjach opartych na OSINT. W rezultacie powstała praktyczna, niezależna od dostawców lista kontrolna minimalnych środków operacyjnych w połączeniu z modelem przepływu decyzji, przekładająca złożone wymagania NIS2/ENISA na konkretne działania dla organizacji policyjnych. Na zakończenie przedstawiono dostosowane do potrzeb wskazówki dotyczące wdrażania dla akademii policyjnych i struktur dowodzenia, koncentrując się na priorytetach szkoleniowych, strategiach zamówień publicznych i gotowych do audytu praktykach rejestrowania . Takie podejście zapewnia zgodność z przepisami, jednocześnie chroniąc zaufanie publiczne i prawa jednostki


Zusammenfassung

In dieser Studie analysieren wir eingehend die NIS2-Richtlinie und die ENISA-Leitlinien, um die grundlegenden operativen Kontrollmaßnahmen und Verfahren aufzuzeigen, die Polizeiorganisationen zur Stärkung der inneren Sicherheit umsetzen müssen. Durch eine thematische Analyse öffentlicher Dokumente aus den Jahren 2018 bis 2025 untersuchen wir die Ressourcen der ENISA, die Meldung von Vorfällen, Informationen zu Bedrohungen und Empfehlungen für bestimmte Sektoren sowie die Anforderungen der NIS2 in Bezug auf Sicherheit und Vorfallmanagement, die unseren primären Datensatz bilden. Unsere Analyse basiert auf drei zentralen Fragen: Forschungsfrage 1) Welche Kontrollmaßnahmen und Verfahren sind für Polizeiorganisationen erforderlich? Forschungsfrage 2) In welchen Bereichen stimmen diese Dokumente überein und in welchen widersprechen sie sich? Forschungsfrage 3) Wie kann eine praktische, einsatzbereite Checkliste für Praktiker erstellt werden? Anhand von zehn vordefinierten Kategorien wie Rechtmäßigkeit, Notwendigkeit, Verhältnismäßigkeit, Rechenschaftspflicht, Datenminimierung, Protokollierung/Rückverfolgbarkeit, behördenübergreifende Koordination, Schulungen, Kontrolle von Aufträgen/Lieferanten und Ablauf von Aufgaben im Zusammenhang mit Vorfällen kodieren wir die Dokumente systematisch. Unsere Ergebnisse wurden in drei Punkten zusammengefasst: 1) eine Matrix, die Dokumente mit konkreten Anforderungen und konkreten operativen Instrumenten (wie Protokollen, Eskalationsprotokollen oder Maßnahmen zum Umgang mit Beweismitteln) verknüpft, 2) ein RACI-Diagramm, das die Aufteilung der Zuständigkeiten zwischen Polizei, Cybersicherheitsstellen, Staatsanwaltschaft und Betreibern kritischer Infrastrukturen darstellt, und 3) eine Lückenübersicht, die Bereiche aufzeigt, in denen klarere Leitlinien erforderlich sind, wie z. B. die Beweiskette bei cyberphysischen Vorfällen oder die Verhältnismäßigkeit bei Reaktionen auf der Grundlage von OSINT. Das Ergebnis ist eine praktische, herstellerunabhängige Checkliste mit Mindestmaßnahmen in Verbindung mit einem Entscheidungsflussmodell, das die komplexen Anforderungen von NIS2/ENISA in konkrete Maßnahmen für Polizeiorganisationen umsetzt. Abschließend werden maßgeschneiderte Implementierungshinweise für Polizeiakademien und Führungsstrukturen vorgestellt, wobei der Schwerpunkt auf Schulungsprioritäten, Beschaffungsstrategien und auditfähigen Protokollierungspraktiken liegt. Dieser Ansatz gewährleistet die Einhaltung der Vorschriften und schützt gleichzeitig das Vertrauen der Öffentlichkeit und die Rechte des Einzelnen


Резюме

В данном исследовании мы подробно анализируем директиву NIS2 и указания ENISA, чтобы определить основные средства оперативного контроля и процедуры, которые должны быть внедрены полицейскими организациями для укрепления внутренней безопасности. По тематическому анализу общедоступных документов за 2018–2025 годы мы исследуем ресурсы ENISA, заявления об инцидентах, информации об угрозах и рекомендации для отдельных секторов, а также требования NIS2 в отношении безопасности и действий в случае инцидентов, которые составляют наши главные данные. Наш анализ основан на трёх главных вопросах: Исследовательский вопрос 1) Каковы необходимые меры контроля и процедуры для полицейских организаций? Исследовательский вопрос 2) В каких областях эти документы согласуются, а в каких противоречат друг другу? Исследовательский вопрос 3) Как создать практический, готовый к использованию контрольный список для практиков? Используя десять заранее определенных категорий, таких как законность, необходимость, соразмерность, ответственность, минимизация данных, регистрация/идентифицированность, межведомственная координация, обучение, контроль заказов/поставщиков и всякие задачи по решении инцидентов, мы систематически кодируем документы. Наши выводы собраны в трех пунктах: 1) матрица, связывающая документы с конкретными требованиями и конкретными операционными инструментами (такими как логи протоколы эскалации или образ действии с доказательствами),2) диаграмма RACI, которая указывает распределение обязанностей между полицией, единицами кибербезопасности, прокурорами и операторами критической инфраструктуры а также 3) карта пробелов, указывающая области где требуется тщательных указаний такие как цепочка доказательств в киберфизических инцидентах или соразмерность в реакциях, основанных на OSINT. В результате был создан практический, независимый от поставщиков контрольный список минимальных оперативных мер в сочетании с образцом решений, который преобразует сложные требования NIS2/ENISA в конкретные действия для полицейских организаций. В заключение представляем соответствующие указания для полицейских академий и командных структур, уделяя особое внимание приоритетам обучения, стратегиям государственных закупок и готовым к аудиту практикам регистрации. Такой подход обеспечивает соблюдение нормативных требований, одновременно защищая доверие общественности и права личности