Auch hierzu gibt es bisher keine eindeutigen Regelungen. Nichtsdestotrotz lassen sich erfahrungsgemäß einige gute Praktiken finden, deren Umsetzung auch einen hohen bis sehr hohen Abdeckungsgrad zu zukünftigen Anforderungen zu erreichen, die aus dem
IT-Sicherheitsgesetz resultieren.