Neben den vorrangig geltenden europäischen Vorgaben gibt es eine Vielzahl von deutschen Gesetzen, die für die Einhaltung von IT-Sicherheit zu beachten sind. Hierbei gibt es sowohl bundesrechtliche (z.B. IT-Sicherheitsgesetz, BDSG, TMG oder sogar das AtomG) sowie landesrechtliche (z.B. LDSG, BayDSG) Regelungen.
Es gibt Vorschriften, welche grundsätzlich für alle kleinen und mittelständischen Unternehmen gelten, während andere nur für Betreiber kritischer Infrastrukturen Wirkung entfalten. Aber auch die Verwaltung muss Vorgaben der IT-Sicherheit einhalten.
Neben der DS-GVO sind für alle kleinen und mittelständischen Unternehmen im Bereich der IT-Sicherheit auch das Telemedienrecht (TMG), das Telekommunikationsrecht (TKG) sowie verschiedene strafrechtliche Normen (z.B. StGB).
Für Betreiber kritischer Infrastrukturen[1] ist zudem auch das BSI-Gesetz von Bedeutung. Darüber hinausgehende Normen sind nur für manche Betreiber kritischer Infrastrukturen aus bestimmten Sektoren relevant (z.B. für Betreiber eines öffentlichen Kommunikationsnetzes oder eines öffentlich zugänglichen Telekommunikationsdienstes, Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes).
Für Behörden und Verwaltungseinrichtungen sind derzeit vor allem IT-sicherheitsrechtliche Vorgaben aus den Landesdatenschutzgesetzen von Bedeutung (z.B. Art. 7 BayDSG).
[1] http://www.kritis.bund.de/SubSites/Kritis/DE/Einfuehrung/einfuehrung_node.html .