Der europäische Gesetzgeber hat den Mitgliedstaaten freigestellt, die Kommunalverwaltung (sog. „lokale Ebene“) in den Anwendungsbereich der NIS-2-Richtlinie einzubeziehen. Im Rahmen der nationalen Umsetzung haben sich die Länder unisono dafür ausgesprochen, von der optionalen Möglichkeit keinen Gebrauch zu machen. Auch der IT-Planungsrat hat die Länder in seinem Beschluss 2023/39 gebeten, „[…] von der Option, den Anwendungsbereich der NIS-2-Richtlinie auf Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen zu erstrecken, keinen Gebrauch zu machen.“ Dieser Empfehlung folgend hat das Land Hessen den Anwendungsbereich im Rahmen der landesrechtlichen Umsetzung der NIS-2-Richtlinie nicht auf die Kommunen erstreckt.
Kritische Einrichtungen der kommunalen Ebene wie bspw. kommunale Wasserversorger etc. sind hingegen ab einer bestimmten Größe von der NIS-2-Regulierung des Bundes betroffen, da die Richtlinie nicht zwischen privaten oder öffentlichen Betreibern unterscheidet. Die Betroffenheit ergibt sich aus der Bundesgesetzgebung. Das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung ist am 6. Dezember 2025 in Kraft getreten. Als Hilfestellung bietet das BSI einen anonymen Online-Fragebogen zur Überprüfung der NIS-2-Betroffenheit an.