In der Bund-Länder-Konferenz zum KHZG wurde unter TOP16 erklärt, dass für jeden Fördertatbestand spezifische Maßnahmen zur Erhöhung der Informationsicherheit zu planen sind.

Kein einzeler FTB provoziert jedoch die Notwendigkeit ein ISMS aufzusetzen und somit qualifiziert sich das ISMS hier nicht als spezifische Maßnahme. Es bestünde maximal die Möglichkeit Unteraufgaben des ISMS, wie z.B. eine GAP-Analyse, eine Bedrohungsanalyse oder eine Risikoanlayse in die anderen FTB’s auszulagern.

Die Anschaffung eines ISMS über den FTB 10 ist aber sinnvoll, da ein ISMS vom Gesetzgeber unter anderem über den §75c im SGB V gefordert wird.