Worum geht es bei der Betroffenheitsanalyse?

Ob Ihr Unternehmen unter das NISG 2026 fällt, hängt im Kern von 2 Fragen ab:

1. Gehören Sie zu einem der genannten Sektoren bzw. Arten von Einrichtungen (z. B. Energie, Gesundheit, Verkehr, digitale Infrastruktur, öffentliche Verwaltung)?
2. Erreichen Sie die Schwellenwerte für mittlere oder große Unternehmen (Mitarbeiter:innenzahl, Umsatz, Bilanzsumme) gemäß der EU‑KMU‑Empfehlung 2003/361/EG, auf die das NISG 2026 ausdrücklich verweist?

Wir prüfen diese Kriterien systematisch und übertragen diese auf Ihre konkrete Unternehmenssituation.

 

Schwellenwerte für mittlere oder große Unternehmen

Die Einstufung einer Einrichtung als „mittleres Unternehmen“ oder „großes Unternehmen“ richtet sich nach der Anzahl der Mitarbeiter:innen, dem Jahresumsatz und der Jahresbilanzsumme.

Wann gilt eine Einrichtung als „großes Unternehmen“?
Eine Einrichtung gilt als "großes Unternehmen", wenn sie

• zumindest 250 Mitarbeiter:innen beschäftigt

ODER

• einen Jahresumsatz von über EUR 50 Mio. erzielt UND sich die Jahresbilanzsumme auf über EUR 43 Mio. beläuft.

Wann gilt eine Einrichtung als „mittleres Unternehmen“?
Eine Einrichtung gilt als "mittleres Unternehmen", wenn sie 

• zumindest 250 Mitarbeiter:innen beschäftigt

ODER

• einen Jahresumsatz von über EUR 50 Mio. erzielt UND sich die Jahresbilanzsumme auf über EUR 43 Mio. beläuft.

Verbundene Unternehmen und Partner:innen – das unterschätzte Risiko

Besonders komplex ist die Frage, wie die Unternehmensgröße bei bestehenden Beteiligungen, Konzernen oder engen Partnerschaften berechnet wird. Grundsätzlich sind nach der EU‑KMU‑Empfehlung Daten von Partner:innen- oder verbundenen Unternehmen zu berücksichtigen. Das NISG 2026 erlaubt jedoch Ausnahmen, wenn eine Einrichtung in Bezug auf ihre Netze und Informationssysteme organisatorisch, technisch und operativ unabhängig ist.

In der Praxis führt das zu Frage wie:

• Führt ein Konzernverbund dazu, dass wir plötzlich als „mittleres“ oder „großes“ Unternehmen eingestuft werden?
• Können wir uns auf eine eigenständige Einstufung berufen?
• Welche Nachweise erwartet die Cybersicherheitsbehörde?

 

Betroffen – obwohl es nicht auf der Hand liegt

Die Betroffenheit ist oft nicht auf den ersten Blick erkennbar. Besonders kritisch sind folgende Fälle:

• Dienstleister:innen in der Lieferkette kritischer Sektoren,
• digitale Plattformen oder Infrastrukturbetreiber:innen,
• Unternehmen, die aufgrund ihrer besonderen Bedeutung oder Einzigartigkeit per Bescheid durch das BMI als wesentliche oder wichtige Einrichtung eingestuft werden könnten.

Unsere Betroffenheitsanalyse klärt, ob und warum Ihr Unternehmen als wesentliche oder wichtige Einrichtung gilt und schafft damit eine belastbare Grundlage für alle weiteren NISG‑Maßnahmen.