Informationssicherheit ist ein so dynamisches Feld, dass starre Vorgaben sich zur Regulierung nicht sonderlich gut eignen. Daher ergibt sich ein Flickenteppich aus Gesetzen, Richtlinien, Verordnungen und Zertifizierungen, der ständig im Wandel ist.  

Die Umsetzung eines Informationssicherheits-Managementsystems ist für fast jedes Unternehmen wichtig. Und sei es nur, um den Anforderungen der DSGVO und den Risikomanagementanforderungen aus GmbH- und Aktienrecht gerecht zu werden.  

• Die Informationssicherheitsgesetze umfassen das IT-Sicherheitsgesetz, die KRITIS-Verordnung, das TDDDG, NIS-2 und die DSGVO. Auch im GmbH- und Aktienrecht finden sich Passus zum Risikomanagement, die indirekt Anforderungen an die Informationssicherheit von Unternehmen stellen. 
• Neben Gesetzen spielen in der Informationssicherheit auch Zertifizierungen eine große Rolle. Sie definieren Maßnahmen und werden in Audits durch unabhängige Zertifzierungsstellen geprüft. 
• Nicht jedes Info-Sec-Gesetz ist für jedes Unternehmen einschlägig. In regulierten Branchen wie dem Finanzwesen und dem öffentlichen Sektor gelten besonders strenger Regeln und es finden mehr Gesetze Anwendung.  
• Die Strafen bei Nichteinhaltung der Gesetze reichen von bis und auch die kontrollierende Instanz variiert je nach Gesetz und Branche.  
• Ansonsten ist die Umsetzung von InfoSec-Maßnahmen weitestgehend freiwillig und dient dem Selbstschutz des Unternehmens.  
• Allgemein kommen Unternehmen – auch in nicht regulierten Branchen – nicht um den Aufbau eines Informationssicherheits-Managementsystems herum.