Die Regelung betrifft Unternehmen aus unterschiedlichen Branchen. Besonders im Fokus stehen unter anderem die Bereiche Transport und Verkehr, Abfallwirtschaft, die Produktion chemischer Stoffe, Lebensmittel- und Warenherstellung, Anbieter digitaler Dienste sowie Forschungsunternehmen.

Ob ein Unternehmen unter die Registrierungspflicht fällt, hängt von mehreren Kriterien ab, darunter:

• mehr als 50 Mitarbeitende
• ein Jahresumsatz von über 10 Millionen Euro
• eine Jahresbilanzsumme von über 10 Millionen Euro

Registrierungspflichtige Unternehmen müssen Sicherheitsvorfälle melden und geeignete technische sowie organisatorische Maßnahmen zum Schutz ihrer IT-Systeme umsetzen. Verstöße gegen die Meldepflicht können dazu führen, dass Geschäftsführungen persönlich haftbar gemacht werden. 

Zudem müssen von der Regulierung betroffene Unternehmen Nachweise über die Einhaltung der Richtlinie von ihren Zulieferern und Dienstleistern verlangen.

Unternehmen, die unsicher sind, ob sie von der Richtlinie betroffen sind, können dies mithilfe eines Fragenkatalogs auf der Internetseite des BSI (Öffnet in einem neuen Tab) prüfen. Dort erhalten sie auch Informationen zu möglichen Pflichten und Anforderungen. 

Für kleine und mittlere Unternehmen in Nordrhein-Westfalen steht außerdem eine kostenlose Beratung über die NIS2-Anlaufstelle NRW (Öffnet in einem neuen Tab) zur Verfügung. 

Die Bergische Struktur- und Wirtschaftsförderungsgesellschaft schätzt, dass etwa 250 bis 300 Betriebe in der Region von der neuen Meldepflicht betroffen sind. Das Bergische Städtedreieck ist NRW-Modellregion in für Cybersicherheit, unter der Leitung der Bergischen Gesellschaft. Insbesondere für KMU gibt es viele Veranstaltungen rund um die (digitale) Sicherheit bei kritischen Infrastrukturen.