Amennyiben egy szervezet a NIS2 követelmények szerinti kiberbiztonsági auditon nem felel meg, az auditor ezt jelentésben rögzíti és értesíti a felügyeleti hatóságot (SZTFH). A „nem meg-felelt” minősítés akkor kerül megállapításra, ha a szervezet biztonsági intézkedései és folyamatai nem biztosítják az előírt védelmi szintet.
Hatósági következmények: felügyeleti eljárás indítása, kötelezés a hiányosságok megszüntetésére és intézkedési terv benyújtására, ismételt ellenőrzések és fokozott felügyelet.