Jde totiž o jeden ze dvou základních předpokladů, aby se z někoho stal „regulovaný subjekt“; druhým je skutečnost, že působí v některém z regulovaných odvětví vyjmenovaných v zákoně. Zákon o kybernetické bezpečnosti (ZKB) v tomto logicky plně převzal úpravu ze směrnice NIS 2, ze které vychází. Stanovuje, že pravidla se aplikují na střední a velké podniky dle doporučení Evropské Komise (doplnit odkaz).
Kdo jsou tyto podniky? Velmi zjednodušeně jde primárně o počet zaměstnanců. Podnik, který má více než padesát zaměstnanců a méně než 250 zaměstnanců, je „střední“. A podnik, který jich má více než 250, je velký. Je jedno, kolik je jeho roční obrat.
Ale i ten je také důležitý, protože zaměstnanci nejsou jediným kritériem. Pokud má podnik obrat mezi 10 a 50 miliony eur a zároveň bilanční sumu mezi 10 a 43 miliony eur, počítá se mezi střední podniky. A nad tyto hodnoty jde už o velký podnik – a to bez ohledu na to, kolik má zaměstnanců. Důležité ale je, že hranici pro tržby a bilanční sumu musí podnik splnit zároveň.
Použití doporučení o velikosti podniku je poněkud nešťastné, protože to mělo původně za cíl definovat hlavně co jsou to velké podniky, aby bylo možné je vyřadit z příjemců dotací. Nyní ho používá legislativa k definici malých a mikro podniků, aby nemusely spadat do regulace.
