Besonders kritische Infrastrukturen verpflichten sich seit 2015 nicht nur, sich an das IT-Sicherheitsgesetz (ITSiG) und die EU-DSGVO zu halten, sondern auch zur Compliance gegenüber den Kritis-Bestimmungen wie die BSI-KritisV. Zu diesen kritischen Infrastrukturen gehören u.a. kommunale Rechenzentren, Energielieferanten, Wasserwerke, Lieferanten für IT und Krankenhäuser, da diese eine wichtige Bedeutung für das staatliche Allgemeinwesen haben. Es ist für die Bundesregierung von entscheidender Bedeutung, dass die IT-Systeme von diesen kritischen Infrastrukturen stets verfügbar und sicher sind. Deutschland ist eines der führenden industriellen und technologischen Länder der Welt. Damit sich Deutschland in den globalen Märkten behaupten und die Bevölkerung sichern und absichern kann, müssen deren Infrastrukturen reibungsfrei funktionieren. Diese müssen deshalb besonders geschützt werden, da wenn diese wegen Manipulation oder Angriffen ausfallen oder gestört werden, dies einen schwerwiegenden Einfluss auf das öffentliche Leben und die öffentliche Sicherheit hätte. Somit sind die kritischen Infrastrukturen nach §8a des IT-Sicherheitsgesetzes seit dem 18. Juli 2017 verpflichtet Vorkehrungen zu treffen, um Störungen zu vermeiden. Dieser Schutzbedarf ist auch Teil der Kritis-Bestimmungen.

Das BDSG gilt in Deutschland für jedes Unternehmen, das mit personenbezogenen Daten arbeitet. Es gibt für jedes IT-System in Deutschland Anforderungen vor, wie es die personenbezogenen Daten verarbeiten soll. So sollen personenbezogene Daten, wenn sie erhoben werden, entweder anonymisiert oder pseudonymisiert werden. Die EU-DSGVO wurde am 27. April 2016 von der europäischen Union eingeführt. Sie gilt für alle Unternehmen bzw. Behörden in der EU, die personenbezogene Daten speichern und auswerten. Durch die EU-DSGVO sollen besonders Grundrechte, Freiheiten von Personen und personenbezogene Daten geschützt werden, weshalb sie seit dem 25. Mai in den EU-Mitgliedsstaaten beachtet werden muss. Die ISO/IEC 27001 und ISO 27002 sind internationale Standards, die Anforderungen stellen, wie ein Informationssicherheits-Managementsystem (ISMS) aufgebaut sein soll und dabei Prozesse, Personen und Technologien von einem Unternehmen berücksichtigen. Sie betreffen vor allem kritische Infrastrukturen. Wenn die Normen umgesetzt werden, kann dies das Risikomanagement zum Schutz und zur Verwaltung von Informationen erleichtern. Wenn ein ISMS auf der ISO 27001 basiert, erfüllt es die Anforderungen an die IT-Sicherheit und den Datenschutz. Die ISO 27002 gibt einen Leitfaden vor, wie dies umgesetzt werden soll und kann deswegen als Hilfestellung genutzt werden, damit eine Auditprüfung nach ISO 27001 erfolgreich ist. Das GeschGehG wurde am 21. März 2019 vom Deutschen Bundestag beschlossen und betrifft jedes Unternehmen in Deutschland. Dieses schützt vertrauliche Geschäftsinformationen davor, dass sie rechtswidrig genutzt bzw. offengelegt werden. Die Geschäftsgeheimnisse sind nicht nur für Konkurrenzunternehmen, sondern auch für die eigene Unternehmensentwicklung interessant. Dafür müssen Maßnahmen getroffen werden, damit auf geheime Daten nicht rechtswidrig zugegriffen werden kann.

IT-Infrastrukturen in bestimmten Branchen unterliegen strengen gesetzlichen Vorschriften und müssen deswegen hohe und erweiterte Anforderungen in der IT-Sicherheit erfüllen.

In der Finanzbranche müssen das Kreditwesengesetz (KWG), die MaRISK Novelle mit bestimmten Mindestanforderungen an das Risiko-Management, bankaufsichtliche Anforderungen an die IT (BAIT), MaGo Basel-III und PCI-DSS beachtet werden. Diese sind erst Ende 2017 bzw. Anfang 2018 hinzugekommen. Die BAIT betrifft alle Kredit- und Finanzdienstleistungsinstitute und basiert auf den Mindestanforderungen des Risikomanagements, dem IT-Sicherheitsgesetz sowie den ISO 27001 und 27002 Standards. Durch sie werden Anforderungen gestellt, welche Maßnahmen getroffen werden sollen, um die eingesetzten IT-Ressourcen besser zu schützen und damit eine bessere IT- und Datensicherheit zu gewährleisten. Dafür müssen die Kreditinstitute ihre Infrastruktur so aufbauen, dass die verarbeiteten Daten integer, verfügbar und authentisch sind. Die Versicherungsgesellschaften müssen die versicherungsaufsichtlichen Anforderungen an die IT (VAIT) beachten. Diese beziehen sich auf Maßnahmen, die die Versicherungsgesellschaften treffen müssen, um die IT- und Datensicherheit zu gewährleisten.

Bezogen auf die Automobilbranche findet das VDA Information Security Assessment (VDA-ISA), ein im Jahr 2005 vom Verband der Automobilindustrie entwickelter Fragenkatalog zur Informationssicherheit, Anwendung. Dieser kann in der Automobilbranche herangezogen werden, um die Informationssicherheit zu prüfen. Der Fragenkatalog richtet sich nach den internationalen Standards ISO 27001 und 27002 und wird durch den Prüf- und Austauschmechanismus TISAX geprüft. Die VDA-ISA verlangt alle Aktionen von Systemadministratoren und -operatoren zu protokollieren, damit alle Änderungen an den IT-Systemen nachvollzogen werden können. Die Aktionen sollen dabei nicht nur in Logs erfasst, sondern auch im Bezug zu den gesetzlichen Vorschriften ausgewertet werden.

Bezogen auf kirchliche Institutionen muss die katholische Kirche das kirchliche Datenschutzgesetz (KDG) und die evangelische Kirche das EKD-Datenschutzgesetz (DSG-EKD) beachten.

In Bezug auf Gesellschaften muss das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) beachtet werden.

Auch Energieversorger, Strom- und Gasnetze haben erweiterte Gesetze zu beachten. Die IT-Sicherheitskataloge sind von der Bundesnetzagentur eingeführte Mindeststandards und schützen gegen Angriffe auf Telekommunikations- und Datenverarbeitungssysteme. Sie fordern, dass ISMS auf Basis der DIN ISO/IEC 27001-Vorgaben eingeführt werden.