Kritische IT-Systeme können weder ein Speicherort (siehe Abschnitt 16.5.1), noch ein Server (siehe Abschnitt 16.5.2) oder eine aktive Netzwerkkomponente (siehe Abschnitt 16.5.3) sein. Dennoch muss jedes kritische IT-System über eine Datensicherung verfügen.

Diese Maßnahme ist keine Maßnahme des Basisschutzes und kann deshalb nicht über eine Risikoanalyse und -behandlung (siehe Abschnitt 16.5 und Anhang A 2) vermieden werden.