Alle Organisationen, die in der EU tätig sind, wie z.B. Unternehmen, Vereine, Behörden, sind laut Datenschutz-Grundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) dazu verpflichtet, Daten, die sie über reale Personen gespeichert haben (z.B. Kunden, Mitglieder, Mitarbeiter, Interessenten) so zu schützen, dass sie nicht missbräuchlich genutzt werden oder auch nur Dritten zur Kenntnis kommen.
Zur Informationssicherheit (oder vereinfacht: IT-Security) gibt es keine gesetzgeberische Verpflichtung (außer für Unternehmen, welche wichtige gesellschaftliche Aufgaben zu erfüllen haben). Die Verantwortung, ob und in welchem Umfang die IT-Systeme und damit die Geschäftstätigkeit der Unternehmung geschützt werden soll, obliegt allein der Unternehmensleitung.
