In mehreren Artikeln auf dieser Internetseite (z. B. „Sicherheitslücken in Kraftwerken“, „Cyberangriffe auf westliche Industrieanlagen“ oder „IT-Schutz von Kraftwerken vor Cyberbedrohungen“) wurde die zentrale und immer wichtigere Bedeutung eines ausreichenden informationstechnologischen Schutzes insbesondere der Energiewirtschaft vor möglichen Cyberangriffen unter anderem auf softwaregesteuerte industrielle Kontrollsysteme (Industrial Control Systems, ICS) von Kraftwerksanlagen hervorgehoben.
Vor diesem Hintergrund wurden aufgrund ihres besonderen Stellenwertes für die Gesellschaft sogenannte Kritische Infrastrukturen (KRITIS) definiert, die auf rechtlicher Grundlage entsprechend gegen potenzielle IT-Angriffe geschützt werden sollen. Dies sind Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. In diesem Zusammenhang wurde das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) um spezielle Sicherheitsanforderungen an diese Kritischen Infrastrukturen ergänzt.
Weiterhin wurde am 25. Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, ITSiG) erlassen, welches dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zentrale Rolle mit entsprechenden weitreichenden Befugnissen beim Schutz Kritischer Infrastrukturen wie zum Beispiel von Energieversorgungsnetzen und -anlagen zuweist. Welche Einrichtungen, Anlagen oder Teile davon konkret und mit welchen jeweiligen Spezifikationen unter die Vorgaben dieses IT-Sicherheitsgesetzes fallen, wird in der einschlägigen Verordnung, der KRITIS-VO, definiert. Des Weiteren wird vorgeschrieben, dass Kritische Infrastrukturen branchenspezifische Mindeststandards, wozu insbesondere die Einführung eines Managementsystems für Informationssicherheit (engl.: Information Security Management System, ISMS) zählt, erfüllen sowie relevante Vorfälle, die die IT-Sicherheit betreffen, an das BSI melden müssen. Da durch das IT-Sicherheitsgesetz als Artikelgesetz auch weitere Gesetze wie zum Beispiel das Energiewirtschaftsgesetz geändert wurden, sind seitdem sämtliche vor- und nachgelagerte Strom- und Gasnetzbetreiber verpflichtet, den einschlägigen IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) umzusetzen.
Vor etwa einem Jahr veröffentlichte das Bundesinnenministerium (BMI) den Entwurf eines neuen IT-Sicherheitsgesetzes, das nunmehr einen ganzheitlichen Ansatz zur Cybersicherheit darstellen soll. Die Vorlage sieht unter anderem vor, ein verbraucherfreundliches IT-Sicherheitskennzeichen für Handelsprodukte einzuführen. Zudem werden die Kompetenzen des BSI weiter gestärkt und Straftatbestände in der Cybersicherheit einschließlich der damit verbundenen strafrechtlichen Ermittlungstätigkeiten ausgedehnt. Der Gesetzesentwurf erweitert darüber hinaus den Adressatenkreis in Bezug auf die bereits bestehenden Meldepflichten und Umsetzungsmaßnahmen seitens der betroffenen Unternehmen. Im Dezember wurde das sogenannte IT-Sicherheitsgesetz 2.0 im Kabinett beschlossen und zur Notifizierung bei der europäischen Kommission eingereicht, so dass es voraussichtlich zeitnah in Kraft treten wird.