Durch die NIS-2-Richtlinie direkt wird niemand verpflichtet. Diese muss wie jede EU-Richtlinie durch ein nationales Gesetz umgesetzt werden. In Deutschland soll das nach dem Stand vom 15.09.2024 durch das BSI-Gesetz (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik) erfolgen. Das noch geltende BSI-Gesetz wird dementsprechend noch geändert. 

Nach dem aktuellen Stand sollen sog. wichtige Unternehmen und sog. besonders wichtige Unternehmen sowie Einrichtungen der Bundesverwaltung in die Pflicht genommen werden. Diess sind in §§ 28, 29 BSIG-Regierungsentwurf festgelegt. 

Kurz: Nur die in §§ 28, 29 BSIG-Regierungsentwurf genannten Unternehmen werden verplichtet.