Verordnung
über den Schutz vor Cyberrisiken in der Bundesverwaltung
(Cyberrisikenverordnung, CyRV)

¹ Er­gibt die Schutz­be­darfs­ana­ly­se einen er­höh­ten Schutz­be­darf, so de­fi­nie­ren die Ver­wal­tungs­ein­hei­ten, zu­sätz­lich zur Um­set­zung der Si­cher­heits­vor­ga­ben für den Grund­schutz und ba­sie­rend auf ei­ner Ri­si­ko­ana­ly­se, wei­te­re Si­cher­heits­massah­men, do­ku­men­tie­ren die­se und set­zen sie um.

² Die Ver­wal­tungs­ein­hei­ten wei­sen Ri­si­ken aus, die nicht oder nur un­ge­nü­gend re­du­ziert wer­den kön­nen (Rest­ri­si­ken), und do­ku­men­tie­ren die­se. Die Pro­jek­t­auf­trag­ge­be­rin oder der Pro­jek­t­auf­trag­ge­ber, die oder der Ge­schäftspro­zess­ver­ant­wort­li­che so­wie die Lei­tung der Ver­wal­tungs­ein­heit neh­men die Rest­ri­si­ken zur Kennt­nis und be­stä­ti­gen dies schrift­lich.

³ Der Ent­scheid dar­über, ob be­kann­te Rest­ri­si­ken in Kauf ge­nom­men wer­den, ob­liegt der Lei­te­rin oder dem Lei­ter der zu­stän­di­gen Ver­wal­tungs­ein­heit.