Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?