Durch die NIS-2-Richtlinie direkt wird niemand verpflichtet. Diese muss wie jede EU-Richtlinie durch ein nationales Gesetz umgesetzt werden. In Deutschland soll das nach dem Stand vom 15.09.2024 im Kern im BSI-Gesetz (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik) erfolgen. Das bereits vorhandene BISG wird dazu entsprechend geändert. Daneben kommt es noch zu „Folgeänderungen“ in der weiteren Gesetzen.

Nach dem aktuellen Stand sollen sog. wichtige Unternehmen und sog. besonders wichtige Unternehmen sowie Einrichtungen der Bundesverwaltung in die Pflicht genommen werden. Diese sind in §§ 28, 29 BSIG-Regierungsentwurf festgelegt.

Kurz: Nur die in §§ 28, 29 BSIG-Regierungsentwurf genannten Unternehmen werden verpflichtet.