Grundsätzlich besteht keine Verpflichtung für die Bestellung eines Informationssicherheitsbeauftragten. Lediglich das Telekommunikationsgesetz (TKG) fordert, dass Betreiber öffentlicher Telekommunikationsnetze oder öffentlich zugänglicher Telekommunikationsdienste einen Sicherheitsbeauftragten benennen (§ 166 Abs. 1 Nr. 1 TKG). Zudem wird den Betreibern kritischer Infrastrukturen (Krankenhäuser, Strom- und Wasserversorgung etc.) empfohlen, einen Sicherheitsbeauftragten zu bestellen.