Die Anzahl nennenswerter Vorfälle im Bereich der Cybersicherheit bezieht sich auf rechtlich definierte Vorfälle (aus der Richtlinie zur Netzwerk- und Informationssicherheit), zu deren Meldung OMV als Anbieter kritischer Infrastrukturen verpflichtet ist. Die Messung dieser Kennzahl wird von einer externen Stelle während der jährlichen Audits nach ISO/IEC 27001:2022 validiert, um die Wirksamkeit der implementierten ISMS-Aktivitäten zu bewerten.
Die Anzahl bestätigter Vorfälle von Datenschutzverletzungen bei personenbezogenen Kundendaten ergibt sich aus der Anzahl gesicherter Vorfallsmeldungen von sämtlichen verantwortlichen Stellen für Datenverarbeitung, die rechtlich verpflichtet sind, OMV von solchen Verletzungen in Kenntnis zu setzen. Die Messung dieser Kennzahl wird von keiner anderen als der für die Qualitätssicherung zuständigen externen Stelle validiert.