Er wordt een basisconfiguratie van informatietechnologie/industriƫle controlesystemen gemaakt en onderhouden, waarin beveiligingsprincipes (bijv. het concept van de minste functionaliteit) worden opgenomen.
Maatregel
De organisatie moet een basisconfiguratie voor de bedrijfskritische systemen ontwikkelen, documenteren en onderhouden.
Richtlijn
Deze maatregel omvat het concept van de minste functionaliteit.
Baselineconfiguraties omvatten bijvoorbeeld informatie over de bedrijfskritische systemen van de organisatie, de huidige versienummers en patchinformatie van besturingssystemen en applicaties, configuratie-instellingen/parameters, netwerktopologie en de logische plaatsing van deze componenten binnen de systeemarchitectuur.
De netwerktopologie moet de zenuwpunten van de IT/OT-omgeving omvatten (externe verbindingen, servers die gegevens en/of gevoelige functies hosten, beveiliging van DNS-services, enz.)