A NIS2 irányelv hatálya széles körű, és nemcsak bizoyos kritikus vagy nagy kritikusságú ágazati közép- és nagyvállalatokra, hanem azok alvállalkozóira, szállítóláncaira, kisvállalkozásaira és közvetetten más iparági szereplőkre is kiterjed. Ez biztosítja az átfogó informatikai és hálózati biztonságot az egész gazdasági és infrastrukturális ökoszisztémában.

Mely szervezetekre vonatkozik a NIS2?

Az Európai Bizottság NIS2 irányelv gyakori kérdések oldalán található egy lista az érintett ágazatokról. További kritérium, hogy a szervezetnek legalább középvállalatnak kell lennie a 2003/361/EK bizottsági ajánlás alapján. Az ágazatok röviden összefoglalva:

• a nagy kritikusságú ágazatok (pl. energia, egészségügy, bizonyos számítástechnikai szolgáltatók és hírközlő rendszerek) 
• és az egyéb kritikus ágazatok (pl. futárszolgálatok, hulladékgazdálkodás, elektronikai- és gépgyártás, bizonyos kereskedelmi szolgáltatók, stb).

A fenti listába az előzetes becslések alapján Magyarországon mintegy 1200-2500 szervezet tartozik bele. Azonban itt nincs feltétlenül vége a listának! Ráadásként a kibertan törvény kkv-kra is vonatkozik, ha azok a következő tevékenységek valamelyikével foglalkoznak: elektronikus hírközlési szolgáltatók, bizalmi szolgáltatók,  DNS-szolgáltatást nyújtó szolgáltatók, legfelső szintű domainnév-nyilvántartók, vagy domainnév-regisztrációt végző szolgáltatók.

Emellett a NIS2 hatálya nem korlátozódik csak az adott vállalatra, hanem kiterjed az egész beszállítóláncra és az együttműködő beszállítókra is. Ez azt jelenti, hogy a vállalatoknak biztosítaniuk kell, hogy minden olyan szereplő, akivel kapcsolatban állnak az üzletmenetben, megfeleljenek az irányelv előírásainak. Pontosabban fogalmazva ne áshassák alá a kötelezett szervezet NIS2 megfelelését. Ezt a gyakorlatban kétféleképpen is el lehet érni.

1. A beszállítók, alvállalkozók folyamatos auditja a szerepük szerint egyedileg meghatározott feltételek alapján.
2.  A NIS2 megfelelés megkövetelése a beszállítóktól. 

Milyen további szervezeteknek lehetnek így érintettek a NIS2 megfelelési kötelezettségben?

Ismert tény, hogy sok szervezet, amelyekre a NIS2 irányelv vonatkozik, kiszervez bizonyos feladatokat alvállalkozóknak. Ezek az alvállalkozók is meg kell feleljenek az irányelv előírásainak, hogy biztosítsák a teljes körű biztonságot az adatok és hálózatok terén. Sok érintett szervezetnek nincsenek forrásai a folyamatos auditok lefolytatására, ezért úgy akarják majd bebiztosítani a saját megfelelésüket, hogy egyszerűen előírják a beszállítóinak is a megfelelési kötelezettséget. Tehát habár a jogszabályokból közvetlenül nem következik, de mégiscsak érintettek lehetnek egyéb szervezetek is: 

• kötelezett szervezetek alvállalkozói,
• beszállítók,
• és akár önálló vállalkozók és kisvállalkozások.

Tehát a NIS2 nemcsak bizonyos közép- és nagyvállalatokra vonatkozik, hanem potenciálisan azokra az önálló vállalkozókra és kisvállalkozásokra is, amelyek jelentős szerepet játszanak az érintett szervezet informatikai infrastruktúrában és szolgáltatások nyújtásában.