Nowe przepisy europejskie zostaną zaadoptowane do polskiego porządku prawnego poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa. NIS2 dotyczy podmiotów zakwalifikowanych jako kluczowe i istotne z punktu widzenia gospodarki oraz działalności państwa. W stosunku do już obowiązującej dyrektywy NIS, NIS2 obejmie także m.in. podmioty administracji publicznej, w tym duże placówki zdrowia (które zatrudniają co najmniej 50 pracowników, a ich roczne obroty wynoszą od 10 milionów euro). Jednak nawet mniejsze podmioty, które mają znaczący wpływ na zdrowie publiczne, mogą zostać uznane za kluczowe, jeśli świadczą usługi o szczególnym znaczeniu.

W kontekście sektora medycznego, podmioty uznawane za „kluczowe” to przede wszystkim te o dużym znaczeniu dla funkcjonowania społeczeństwa, takie jak szpitale, ośrodki badawcze, laboratoria oraz inne instytucje zdrowotne, które przetwarzają dane pacjentów. Mogą to być zarówno średnie przedsiębiorstwa, jak i większe podmioty.