Ersteres ist eine Aufgabe etwa des Informationssicherheitsbeauftragten.
Das Zweite ist zuerst Aufgabe der Innenrevision, ggf. von externen Prüfern (Wirtschaftsprüfern oder der Aufsicht), oder wird zum Erlangen einer Zertifizierung benötigt.
Unternehmen, die als Kritis-relevant eingestuft werden, müssen die
Erfüllung des BSIG alle zwei Jahre durch ein Audit nachweisen.