Unternehmen, die nach BSI-Kritisverordnung Kritische Infrastrukturen sind, müssen Anforderungen aus dem BSI-Gesetz umsetzen. Wenn diese KRITIS-Betreiber als Auftraggeber ihre kritischen Dienstleistungen in die Cloud eines Auftragsnehmers auslagern, ist ein Ausfall dieser Dienstleistungen so abzusichern, dass die IT-Sicherheit und insbesondere die Verfügbarkeit der kritischen Dienstleistung gewährleistet ist. Dieser Absicherung muss eine Risikoanalyse vorausgehen.

Dieses Konkretisierungsdokument richtet sich als übergreifende Themensammlung an alle Abteilungen im Unternehmen, die sich u. a. mit Fachanforderungen, Vertragswesen, Rechtswesen, Datenschutz, Informationssicherheit und Servicemanagement beschäftigen und hierzu Regelungen festlegen.