a) řídí rizika podle § 5,

b) řídí významné změny podle § 11,

c) stanoví bezpečnostní požadavky,

d) zahrne bezpečnostní požadavky do projektu akvizice, vývoje a údržby,

e) zajistí bezpečnost vývojového a testovacího prostředí a zajistí ochranu používaných testovacích dat,

f) provádí bezpečnostní testování významných změn před jejich zavedením do provozu a

g) plní požadavek podle § 19 odst. 3, je-li cílem provedení akvizice nebo vývoje nástroj pro správu a ověřování identity.