Verschärfte Vorgaben soll es für "risikoreiche" Anwendungen geben, etwa bei kritischer Infrastruktur, Sicherheitsbehörden und Personalverwaltung.