NIS2-Schwellenwerte: Ab wann ist Ihr Unternehmen betroffen?
In Kürze: NIS2 (in Österreich umgesetzt im NISG 2026) betrifft Unternehmen ab mittlerer Größe — als Faustregel ab 50 Mitarbeitern oder, unabhängig davon, wenn Jahresumsatz und Bilanzsumme zugleich über 10 Mio. € liegen —, sofern sie in einem der 18 Sektoren tätig sind. Kleinst- und Kleinunternehmen sind grundsätzlich ausgenommen; einige Sonderfälle gelten jedoch größenunabhängig. Bei Konzernstrukturen werden verbundene Unternehmen grundsätzlich mitgerechnet — es sei denn, die Einrichtung ist bei ihren Netz- und Informationssystemen nachweislich unabhängig (§ 25 Abs. 4 NISG). Betroffene Einrichtungen müssen sich bis 31.12.2026 bei der Cybersicherheitsbehörde registrieren.
Die Größe entscheidet, ob Sie überhaupt unter NIS2 fallen — und in den betroffenen Sektoren oft auch, ob Sie als wesentliche oder wichtige Einrichtung gelten. Dieser Beitrag erklärt die Schwellen des § 25 NISG so, dass Sie Ihr Unternehmen fundiert einordnen können — eine genaue Einstufung mit nachvollziehbarer Regel-Spur erhalten Sie anschließend im Scope-Wizard.
Die Größenklassen nach EU-KMU-Definition
Das NISG 2026 knüpft die Größe an die KMU-Definition der EU an — konkret an die Empfehlung 2003/361/EG (Art. 1–6 des Anhangs, ohne Art. 3 Abs. 4). Das bedeutet: Die Sonderregel für mehrheitlich von öffentlichen Stellen kontrollierte Unternehmen greift hier nicht — auch solche Unternehmen werden nach der normalen Größenlogik beurteilt.
Die EU kennt vier Klassen. Die finanzielle Obergrenze einer Klasse ist erreicht, solange eine der beiden Finanzkennzahlen (Umsatz oder Bilanz) darunter bleibt:
| EU-Größenklasse | Mitarbeiter | Finanzielle Obergrenze (Umsatz oder Bilanz) |
|---|---|---|
| Kleinst | < 10 | ≤ 2 Mio. € Umsatz oder ≤ 2 Mio. € Bilanzsumme |
| Klein | < 50 | ≤ 10 Mio. € Umsatz oder ≤ 10 Mio. € Bilanzsumme |
| Mittel | < 250 | ≤ 50 Mio. € Umsatz oder ≤ 43 Mio. € Bilanzsumme |
| Groß | ≥ 250 | darüber |
Wann ein Unternehmen unter NIS2 fällt (§ 25 NISG)
Für die Betroffenheit zählt nicht das Verbleiben in einer Klasse, sondern das Überschreiten der Schwelle. § 25 NISG formuliert das so:
| Größenklasse (§ 25) | Mitarbeiter | oder Finanzkriterium (beide Werte zugleich) | NIS2-Folge |
|---|---|---|---|
| Mittleres Unternehmen (§ 25 Abs. 3) | ≥ 50 | Jahresumsatz > 10 Mio. € und Bilanzsumme > 10 Mio. € | betroffen — in der Regel wichtige Einrichtung |
| Großes Unternehmen (§ 25 Abs. 2) | ≥ 250 | Jahresumsatz > 50 Mio. € und Bilanzsumme > 43 Mio. € | betroffen — in Anlage 1 meist wesentliche Einrichtung |
Kleinst- und Kleinunternehmen (unter 50 Mitarbeitern und unterhalb der Finanzschwellen) bleiben grundsätzlich außerhalb des Geltungsbereichs — außer es greift eine der größenunabhängigen Ausnahmen (siehe unten) oder die Behörde stuft die Einrichtung nach § 26 individuell ein.
Ob eine betroffene Einrichtung dann wesentlich oder wichtig ist, hängt von Sektor und Größe ab — das erklärt der Beitrag wesentliche vs. wichtige Einrichtungen.
Das Finanzkriterium ist kumulativ: Umsatz UND Bilanzsumme
Eine verbreitete Verkürzung lautet „ab 50 Mitarbeitern oder 10 Mio. € Umsatz". Diese Formel ist ungenau. Das finanzielle Kriterium verlangt beide Werte zugleich:
- für ein mittleres Unternehmen: Jahresumsatz über 10 Mio. € und Bilanzsumme über 10 Mio. €;
- für ein großes Unternehmen: Jahresumsatz über 50 Mio. € und Bilanzsumme über 43 Mio. €.
Der Grund liegt in der EU-KMU-Logik: Eine Einrichtung verlässt die Klein-Klasse finanziell erst, wenn sie keinen der beiden Deckel mehr einhält. Aus dem „oder" der Obergrenze wird beim Überschreiten also ein „und".
Beispiel: Ein Unternehmen mit 12 Mio. € Umsatz, aber nur 6 Mio. € Bilanzsumme überschreitet die Finanzschwelle nicht — es kann aber über die Mitarbeiterzahl (≥ 50) dennoch betroffen sein, denn die drei Wege (Mitarbeiter; Umsatz und Bilanz) stehen mit „oder" nebeneinander.
⚠️ Die Mitarbeiterzahl ist der einfachste Einstieg: Wer 50 oder mehr Beschäftigte hat, ist größenmäßig erfasst — unabhängig von den Finanzkennzahlen. Erst wenn die Mitarbeiterzahl darunter liegt, kommt es auf das kumulative Finanzkriterium an. Im Grenzbereich lohnt eine saubere Berechnung statt einer Bauchentscheidung.
Mitarbeiter, Umsatz, Bilanz — wie wird gerechnet?
- Mitarbeiterzahl wird in Jahresarbeitseinheiten (JAE / Vollzeitäquivalenten) gemessen: Vollzeitkräfte zählen voll, Teilzeit- und Saisonkräfte anteilig. Lehrlinge und Personen im Mutterschafts-/Elternurlaub werden nach den EU-Regeln nicht mitgezählt.
- Maßgeblicher Zeitraum: in der Regel das letzte abgeschlossene Geschäftsjahr zum Bilanzstichtag. Nach der EU-KMU-Systematik wechselt die Größenklasse zudem erst, wenn die Schwellen in zwei aufeinanderfolgenden Geschäftsjahren über- oder unterschritten werden — kurzfristige Ausreißer ändern den Status also nicht sofort.
Verbundene und Partnerunternehmen — und die Unabhängigkeitsausnahme
Das ist der häufigste Fehler in der Praxis: Die Schwellen werden grundsätzlich nicht isoliert auf die Einzelgesellschaft angewendet. Nach der EU-KMU-Logik werden verbundene Unternehmen (Mehrheitsbeteiligung/Beherrschung) voll und Partnerunternehmen (Beteiligung ab 25 %) anteilig mitgerechnet.
Aber: § 25 Abs. 4 NISG enthält eine wichtige Sonderregel. Die Daten von Partner- und verbundenen Unternehmen werden nicht hinzugerechnet, wenn die Einrichtung hinsichtlich ihrer Netz- und Informationssysteme organisatorisch, technisch und operativ unabhängig ist. Eine Tochtergesellschaft mit eigener, abgegrenzter IT kann dadurch trotz Konzernzugehörigkeit unter der Schwelle bleiben — entscheidend ist die nachweisbare Unabhängigkeit der Systeme, nicht nur das Organigramm.
Folge: Eine kleine Tochter-GmbH kann über ihren Konzern in den NIS2-Geltungsbereich rutschen — oder eben nicht, wenn § 25 Abs. 4 greift. Prüfen Sie die Schwellen daher immer mit Blick auf die Gruppenstruktur und die Unabhängigkeit Ihrer Systeme.
Größenunabhängige Ausnahmen
Für bestimmte Tätigkeiten gilt die Größenschwelle nicht — diese Einrichtungen sind unabhängig von Mitarbeiterzahl und Umsatz erfasst (§ 24 Abs. 1/2 NISG). Dazu zählen u. a.:
- Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste
- qualifizierte Vertrauensdiensteanbieter (qTSP)
- Top-Level-Domain-Registries (TLD) und DNS-Diensteanbieter
- Teile der öffentlichen Verwaltung (Einstufung teils per Bescheid)
- Einrichtungen, die die Behörde nach § 26 größenunabhängig als wesentlich/wichtig einstuft
Fallen Sie in eine solche Kategorie, ist die Größenprüfung irrelevant — Sie sind so oder so erfasst. Für Einrichtungen im Anwendungsbereich von DORA (VO (EU) 2022/2554) geht zudem deren Regime vor (§ 24 Abs. 7 NISG); IKT-Drittdienstleister des Finanzsektors unterliegen nach § 24 Abs. 8 dennoch dem NISG.
Beispiele
- Maschinenbau-GmbH, 120 Mitarbeiter, 28 Mio. € Umsatz → mittleres Unternehmen (≥ 50 MA), Sektor „verarbeitendes Gewerbe" (Anlage 2) → betroffen, voraussichtlich wichtige Einrichtung.
- Regionaler Energieversorger, 300 Mitarbeiter → großes Unternehmen (≥ 250 MA), Anlage 1 (Energie) → betroffen, voraussichtlich wesentliche Einrichtung.
- IT-Dienstleister-Tochter, 20 Mitarbeiter, Konzern mit 600 Mitarbeitern → konsolidiert betrachtet groß → Schwelle voraussichtlich erreicht, es sei denn, die Tochter ist bei ihren Netz- und Informationssystemen nachweislich unabhängig (§ 25 Abs. 4) → dann wird konzernweit nicht zusammengerechnet. Sektor prüfen.
- DNS-Diensteanbieter, 8 Mitarbeiter → größenunabhängig → betroffen, unabhängig von der Größe.
Unsicher im Grenzbereich?
Wählen Sie Sektor und Größe und sehen Sie in zwei Minuten Ihre voraussichtliche Einstufung — mit nachvollziehbarer Regel-Spur und prüffesten, unveränderlichen Snapshots Ihrer Eingaben. → Jetzt kostenlos prüfen
Häufige Fragen (FAQ)
Ab wie vielen Mitarbeitern gilt NIS2? Als Faustregel ab 50 Mitarbeitern (gemessen in Jahresarbeitseinheiten) — sofern Sie in einem betroffenen Sektor tätig sind. Darunter sind Sie grundsätzlich ausgenommen, außer es greift eine größenunabhängige Ausnahme (z. B. DNS-Anbieter, qTSP) oder eine Einstufung nach § 26.
Zählt der Umsatz oder die Mitarbeiterzahl? Beide Wege führen in den Geltungsbereich, sie stehen mit „oder" nebeneinander: ab 50 Mitarbeitern oder wenn das Finanzkriterium erfüllt ist. Wichtig: Beim Finanzkriterium müssen Jahresumsatz und Bilanzsumme zugleich über der Schwelle liegen (für mittlere Unternehmen jeweils über 10 Mio. €). Ein hoher Umsatz allein bei kleiner Bilanzsumme reicht nicht.
Mein Unternehmen ist klein, gehört aber zu einem Konzern — bin ich betroffen? Möglicherweise ja. Nach der EU-KMU-Logik werden verbundene Unternehmen voll, Partnerunternehmen anteilig mitgerechnet. § 25 Abs. 4 NISG nimmt aber Einrichtungen aus, die hinsichtlich ihrer Netz- und Informationssysteme organisatorisch, technisch und operativ unabhängig sind — dann wird konzernweit nicht zusammengerechnet.
Gibt es Ausnahmen von den Schwellenwerten? Ja. Bestimmte Einrichtungen fallen größenunabhängig unter NIS2 — etwa DNS-Diensteanbieter, TLD-Registries, qualifizierte Vertrauensdiensteanbieter und Anbieter öffentlicher Kommunikationsnetze. Außerdem kann die Cybersicherheitsbehörde Einrichtungen nach § 26 individuell einstufen.
Bis wann müssen betroffene Unternehmen handeln? Betroffene Einrichtungen müssen sich nach derzeitigem Stand bis 31.12.2026 (innerhalb von drei Monaten ab Inkrafttreten am 01.10.2026) bei der Cybersicherheitsbehörde elektronisch registrieren. Details dazu im Beitrag Registrierung in Österreich.
Stand: Juni 2026. Dieser Beitrag dient der allgemeinen Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich sind der Gesetzestext (BGBl. I Nr. 94/2025) und die EU-Empfehlung 2003/361/EG. Quellen: RIS – BGBl. I Nr. 94/2025, nis.gv.at, WKO.