a)

sicherstellen, dass die funktionalen und nichtfunktionalen Anforderungen, insbesondere auch die Anforderungen an die Informationssicherheit, von der betreffenden Unternehmensfunktion klar spezifiziert und genehmigt werden, bevor IKT-Systeme beschafft oder entwickelt werden;

b)

sicherstellen, dass IKT-Systeme vor ihrer erstmaligen Nutzung und vor der Einführung von Änderungen an der Produktionsumgebung getestet und genehmigt werden;

c)

Maßnahmen zur Minderung des Risikos einer unbeabsichtigten Veränderung oder einer vorsätzlichen Manipulation der IKT-Systeme während der Entwicklung und Implementierung in der Produktionsumgebung vorsehen.