Unter­schei­dung nach Größe

Cyber­si­cher­heit betrifft alle – aber nicht jedes Unter­nehmen gleich. Dieser Bereich bietet Ihnen eine struk­tu­rierte Einord­nung nach Unter­neh­mens­größe: klein, mittel oder groß. Auf dieser Basis erhalten Sie einen Über­blick darüber, welche gesetz­li­chen Vorgaben, Sicher­heits­stan­dards und empfoh­lenen Maßnahmen für Ihr Unter­nehmen rele­vant sind.

Titelbild Einordnung nach Unternehmensgroesse

Die Über­sicht unter­stützt Sie dabei:

  • die für Sie zutref­fenden Anfor­de­rungen schnell zu iden­ti­fi­zieren,
  • den Hand­lungs­be­darf im Bereich IT- und OT-Sicher­heit realis­tisch einzu­schätzen,
  • und gezielt Maßnahmen zu planen und umzu­setzen.

Hinweis: Die Einord­nung orien­tiert sich an EU-Krite­rien (Mitar­bei­ter­zahl, Jahres­um­satz, Bilanz­summe). Sie dient der ersten Orien­tie­rung und ersetzt keine recht­liche Bera­tung.

Klein­un­ter­nehmen

  • < 50 Mitar­beiter

  • ≤ 10 Mio. EUR Jahres­um­satz
  • ≤ 10 Mio. EUR Bilanz­summe
Mitt­lere Unter­nehmen
  • 50 – 250 Mitar­beiter
  • ≤ 50 Mio. EUR Jahres­um­satz
  • ≤ 43 Mio. EUR Bilanz­summe
Groß­un­ter­nehmen
  • > 250 Mitar­beiter

  • > 50 Mio. EUR Jahres­um­satz

  • > 43 Mio. EUR Bilanz­summe

Ermit­teln Sie anhand Ihrer Unternehmens­größe rele­vante IT- und OT-Sicher­heits­­­themen

Sicher­heits­the­matik Klein­un­ter­nehmen Mittel­un­ter­nehmen Groß­un­ter­nehmen
ISO/IEC 27001 (Infor­ma­ti­ons­si­cher­heits­ma­nage­ment) Frei­willig aber empfohlen für Unter­nehmen die sich im Sicher­heits­be­reich ausrichten möchten Empfohlen insbe­son­dere bei kriti­schen Daten oder IT-Dienst­leis­tungen Häufig verpflich­tend durch Kunden­an­for­de­rungen oder interne Richt­li­nien
BSI-Grund­schutz (Deutsch­land) Nicht verpflich­tend, aber BSI bietet kosten­lose Tools und Leit­fäden an Empfohlen, insbe­son­dere bei Einsatz von sensi­blen Daten oder Infra­struk­turen Häufig erfor­der­lich, insbe­son­dere für Kriti­sche Infra­struk­turen (KRITIS)
NIS2-Richt­linie (EU) Meist nicht betroffen, außer wenn in kriti­schen Sektoren tätig Betroffen, wenn das Unter­nehmen zu den kriti­schen Infra­struk­turen gehört Pflicht, insbe­son­dere für Unter­nehmen in Sektoren mit kriti­schen Infra­struk­turen
DSGVO (EU Daten­schutz­grund­ver­ord­nung) Verbind­lich, aber Anfor­de­rungen sind für klei­nere Unter­nehmen etwas gelo­ckert (z.B. kein Daten­schutz­be­auf­tragter erfor­der­lich, wenn weniger als 20 Personen mit Daten arbeiten) Verbind­lich, Daten­schutz­be­auf­tragter notwendig, wenn mehr als 20 Mitar­beiter mit Daten arbeiten Verbind­lich, strenge Anfor­de­rungen an Daten­schutz und Doku­men­ta­tion
KritisV (Deutsch­land) Meist nicht betroffen Möglich, wenn Unter­nehmen zu einem kriti­schen Sektor gehört Verpflich­tend, wenn Unter­nehmen zu den kriti­schen Infra­struk­turen zählt
IEC 62443 (OT-Sicher­heit) Meist nicht rele­vant, außer bei spezia­li­sierter OT-Nutzung (z.B. in der Ferti­gung) Empfohlen, insbe­son­dere bei OT-Systemen in der Produk­tion Häufig verpflich­tend in regu­lierten Bran­chen wie Energie, Wasser oder Verkehr
IT-Sicher­heits­ge­setz (IT-SiG 2.0) Keine direkte Betrof­fen­heit, außer in kriti­schen Sektoren Möglich, wenn das Unter­nehmen zu den kriti­schen Infra­struk­turen zählt Verpflich­tend für KRITIS-Unter­nehmen und einige große IT-Dienst­leister
ISO/IEC 22301 (Busi­ness Conti­nuity Manage­ment) Frei­willig, empfohlen für Unter­nehmen mit erhöhtem Risiko (z.B. in der IT-Branche) Empfohlen, insbe­son­dere bei hohem Risiko für IT-Ausfälle Häufig verpflich­tend durch Kunden­an­for­de­rungen, beson­ders in regu­lierten Bran­chen
TISAX (Auto­mo­bil­in­dus­trie) In der Regel nicht erfor­der­lich, außer bei spezi­fi­schen Liefer­ketten im Auto­mo­bil­sektor Erfor­der­lich für Zulie­ferer der Auto­mo­bil­in­dus­trie Verpflich­tend für große Unter­nehmen in der Auto­mo­bil­zu­lie­fer­kette
CMMC (Cyber­security Matu­rity Model Certi­fi­ca­tion, USA) Nicht rele­vant, außer bei Export in die USA oder Zusam­men­ar­beit mit US-Part­nern Rele­vant, wenn US-Partner oder Kunden im Spiel sind Verpflich­tend bei Zusam­men­ar­beit mit US-Regie­rung oder großen US-Firmen
ISO/IEC 31000 (Risi­ko­ma­nage­ment) Optional, aber empfohlen für Unter­nehmen, die sich auf Sicher­heits­ri­siken konzen­trieren Empfohlen, beson­ders in Unter­nehmen mit komple­xeren IT- oder OT-Risiken Häufig verpflich­tend bei regu­la­to­ri­schen Anfor­de­rungen oder durch große Kunden

Achtung bei Kriti­schen Infra­struk­turen (KRITIS)

Beson­dere Anfor­de­rungen gelten unab­hängig von der Unter­neh­mens­größe – Die Einord­nung nach Unter­neh­mens­größe bietet eine erste Orien­tie­rung. Wenn Ihr Unter­nehmen jedoch Teil einer Kriti­schen Infra­struktur ist – z. B. in den Berei­chen Energie, Wasser, Verkehr, Gesund­heit oder IT-Dienst­leis­tungen – greifen spezi­elle gesetz­liche Rege­lungen, die über die Unter­neh­mens­größe hinaus­gehen.

Beson­ders rele­vant sind dabei unter anderem:

  • IT-Sicher­heits­ge­setz (IT-SiG 2.0)

  • NIS-2-Richt­linie (EU)

  • KRITIS Verord­nung (Deutsch­land)

  • bran­chen­spe­zi­fi­sche Anfor­de­rungen,
    z. B. IEC 62443 (OT-Sicher­heit), ISO 27001 (ISMS)

Mehr Infor­ma­tionen zu den Anfor­de­rungen für KRITIS-Unter­nehmen:

  • Einord­nung vom BSI
  • Arbeits­paket 2 unseres Projekt­part­ners it’s.BB