De NIS2-richtlijn, formeel Richtlijn (EU) 2022/2555, is Europese wetgeving die een hoog gemeenschappelijk niveau van cyberbeveiliging binnen de Unie moet waarborgen. De richtlijn is op 14 december 2022 vastgesteld door het Europees Parlement en de Raad, gepubliceerd in het Publicatieblad van de Europese Unie op 27 december 2022 en verving de eerdere NIS-richtlijn uit 2016. Sinds 18 oktober 2024 gelden de regels binnen de EU, nadat lidstaten de richtlijn uiterlijk 17 oktober 2024 in nationale wetgeving moesten hebben omgezet.
De richtlijn verplicht een breder scala aan sectoren, waaronder energie, vervoer, bankwezen, gezondheidszorg en digitale infrastructuur, tot risicobeheermaatregelen, meldplichten bij incidenten en verantwoordelijkheid van het bestuur voor digitale weerbaarheid. Organisaties worden ingedeeld als essentiële of belangrijke entiteiten, met bijbehorend toezicht en boetes die kunnen oplopen tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet.
In Nederland wordt de richtlijn omgezet via de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten, die de Tweede Kamer in april 2026 aannam en waarover de Eerste Kamer op 7 juli 2026 stemde.