De NIS2 kent twee soorten entiteiten waarop de NIS2 van toepassing is; belangrijke entiteiten en essentiële entiteiten.
Belangrijke entiteiten zijn organisaties die in een categorie uit bijlage 1 of 2 van de NIS2 actief zijn en een omvang hebben van meer dan 50 fte en/of 10 miljoen euro jaarlijks aan omzet maken, maar kleiner zijn dan 250 fte omvang en minder dan 50 miljoen euro jaarlijks aan omzet maken. Essentiële entiteiten zijn organisaties die in een categorie uit bijlage 1 van de NIS2 actief zijn en een omvang hebben van meer dan 250 fte en/of 50 miljoen jaarlijks aan omzet maken. Entiteiten die niet automatisch onder de NIS2 vallen, maar wel een essentiële rol vervullen in de maatschappij, kunnen ook direct door het ministerie worden aangewezen als essentiële entiteit.
Hoe en wanneer de omvang en omzet van entiteiten precies wordt bepaald, en hoe er wordt omgegaan met een wisselende omvang of omzet van entiteiten, wordt op dit moment nog uitgewerkt.
Alle bepalingen uit de NIS2 zijn zowel op essentiële als belangrijke entiteiten van toepassing. Het verschil is de manier waarop toezicht door de Inspectie Gezondheidszorg en Jeugd (IGJ) wettelijk zal worden georganiseerd. Hoe dit wordt opgenomen in de wet- en regelgeving voor de zorg wordt momenteel uitgewerkt.