Durch das IT-Sicherheitsgesetz, das BSI-Gesetz und die BSI-Verordnung werden neun Sektoren der Kritischen Infrastrukturen – KRITIS – festgelegt und verpflichtet, Informationssicherheit nach dem Stand der Technik umzusetzen.
Der Stand und die Wirksamkeit der Informationssicherheit von KRITIS-Betreibern muss mindestens alle zwei Jahre überprüft werden.
Im weiterführenden KRITIS-Verständnis sind alle Unternehmen gefordert für die Sicherstellung der betrieblichen Kernprozesse für Produktion, Datenverarbeitung, Logistik etc. ein funktionierendes Sicherheitsmanagement aufzubauen und zu betreiben.