Wie in 'Einleitung' erklärt, muss jedes moderne Gebäudeautomationssystem ein angemessenes Maß an IT-Sicherheit gewährleisten. Es ist jedoch nicht möglich, vollständige Sicherheit zu erreichen, sodass immer ein Restrisiko bleibt. Die Kosten einer Gegenmaßnahme sollten den potenziellen Schaden nicht überschreiten, vor dem sie schützen sollen. In jedem Fall muss der Systembetreiber/Anlagenbetreiber das Restrisiko kennen und entscheiden, ob es für das Unternehmen akzeptabel ist.
Es ist wichtig, die Sicherheitsanforderungen systematisch zu betrachten, damit die Wirksamkeit der Maßnahmen als Ganzes bewertet werden und nicht jede Komponente separat behandelt wird. Insbesondere können kompensatorische Gegenmaßnahmen eingesetzt werden, um die Schwachstellen gegebener Subsysteme zu mildern, sodass das insgesamt gewünschte Sicherheitsniveau erreicht wird.
Wichtig ist auch, dass die verschiedenen beteiligten Parteien – Hersteller, Systemintegratoren und Anlagenbetreiber – entsprechend ihrer spezifischen Rolle zum System beitragen. Es liegt in der Verantwortung der Hersteller, Produkte zu liefern, die den Grad an Sicherheit bieten, der in ihrer Produktspezifikation und der Produktdokumentation angegebenen ist. Die Systemintegratoren sind verantwortlich, die Lösung gemäß den Sicherheitsanforderungen des Anlagenbetreibers zu entwerfen und einzusetzen sowie die beabsichtigten Betriebsumgebungen der eingesetzten Produkte zu berücksichtigen. Der Anlagenbetreiber ist verantwortlich, dass die Sicherheit der Lösung auf dem neusten Stand gehalten wird, innerhalb der Lebensdauer.
Um die Sicherheit der Lösung aufrechtzuerhalten, muss ein Rahmenwerk eines kontinuierlichen Sicherheitsprogramms eingerichtet werden, das regelmäßig die gewünschte Ziel-Sicherheitsstufe, die Risiken des Systems, den Status und die Wirksamkeit der eingesetzten Maßnahmen bewertet und Korrekturmaßnahmen implementiert.
Die Richtlinien in diesem Dokument unterstützen einen fortlaufenden Prozess zum Erreichen von IT‑Sicherheit auf Systemebene.