Grundsätzlich nicht — aber es gibt Ausnahmen. Unternehmen, die kritische Leistungen erbringen (z.B. in der Gesundheitsversorgung oder digitalen Infrastruktur) können auch unterhalb der Schwellenwerte betroffen sein. Zudem fordern NIS2-pflichtige Großunternehmen zunehmend Compliance-Nachweise von ihren Zulieferern.