Die NIS-2-Richtlinie betrifft Teile der öffentlichen Verwaltung sowie Unternehmen und Organisationen in insgesamt 18 Sektoren, die der Gesetzgeber als „kritisch“ für Gesellschaft und Wirtschaft ansieht. Die Richtlinie unterscheidet dabei zwischen „Essential Entities“ (wesentliche Sektoren) und „Important Entities“ (wichtige Sektoren). Dabei gelten die Vorschriften für Unternehmen mit mehr als zehn Millionen Euro Jahresumsatz und mehr als 50 Mitarbeitern.
Ausnahme: Wenn ein Unternehmen bestimmte kritische Dienstleistungen erbringt (z. B. Vertrauensdienste oder Domainregistrierung) oder das einzige seiner Art in einem Land ist, dann fällt es unabhängig von den Kennzahlen unter die Richtlinie.
Die Anforderungen in beiden Kategorien sind gleich. Der Unterschied: Unternehmen in der Kategorie „essential“ kontrolliert die Aufsicht laufend. Bei Unternehmen, die nur „important“ sind, reagiert die Behörde erst, wenn jemand Verstöße anzeigt.
Essential Entities umfassen Energie (z.B. Strom-, Gas- und Ölversorgung), Transport (z.B. Luft-, Bahn-, Wasser- und Straßenverkehr), Banken und Finanzmarktinfrastrukturen, Gesundheitswesen (z.B. Krankenhäuser und Gesundheitsdienstleister), Trinkwasserversorgung und -verteilung, Abwasserentsorgung, Digitale Infrastruktur (z.B. Internetknotenpunkte), Raumfahrt. Auch die Öffentliche Verwaltung gilt als „wesentlicher“ Sektor. Dabei sorgt die konkrete Ausgestaltung dieser Anforderungen etwa in Deutschland für Kritik, da etwa die Ministerien und das Bundeskanzleramt den IT-Grundschutz erfüllen müssen, für die restliche Bundesverwaltung aber nur noch „Mindeststandards“ gelten sollen.
Important Entities umfassen Post- und Kurierdienste, Abfallwirtschaft, Chemische Industrie, Hersteller von Arzneimitteln und medizinischen Geräten, Computern und elektronischen Geräten, Lebensmittelproduktion und -verarbeitung sowie Produzenten von Fahrzeugen und Maschinen.
