Die Informationssicherheit ist einzuhalten, wenn man KRITIS-Betreiber ist. Ist man kein KRITIS-Betreiber, ist es dennoch sehr hilfreich, zeitnah auch verpflichtend ein System für die Informationssicherheit (ISMS) einzuführen und weiterzuentwickeln. Die Sicherheit, also die Herstellung und die Aufrechterhaltung der Informationssicherheits-Schutzziele, ist genau dann von Wert, wenn man viele Informationen innerhalb der Organisation verarbeitet, die auch für unberechtigte Dritte zu einem hohen Gut werden können.
Für öffentliche und nicht öffentliche Einrichtungen heißt das: Die Sicherheit aller Informationen ist zu gewährleisten.
Notwendig sind dafür sogenannte Informationssicherheitsbeauftragte. Darunter versteht man qualifizierte Personen, die mit der Einrichtung, Pflege und Aufrechterhaltung eines Informationssicherheitsmanagement-Systems betraut werden können. Informationssicherheitsbeauftragte, kurz ISB, werden direkt der obersten Managementebene unterstellt.