IT-Sicherheit ist die Sicherheit in der Informationstechnik. Sie befasst sich mit der Einhaltung der Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität (z.T. auch Authentizität) an Systemen, Diensten oder auch Daten. Hierfür werden technische und organisatorische Maßnahmen getroffen.
Das zugehörige IT-Sicherheitsrecht verlangt die Gewährleistung der IT-Sicherheit um die Risiken für rechtlich relevante Schutzgüter angemessen zu reduzieren. Zu diesen Schutzgütern zählt etwa bei kritischen Infrastrukturen die Erbringung kritischer Versorgungsleistungen (Elektrizität, Wasser, Transportdienstleistungen, etc.) die von dem Funktionieren der jeweiligen Informationstechnik abhängen. Diese kritischen Infrastrukturen werden insbesondere von § 8a BSIG, § 11 Abs 1a, 1b EnWG und 165 TKG adressiert.
Ähnlich existiert auch ein IT-Sicherheitsrecht für digitale Dienste, die in der modernen Informationsgesellschaft zentrale Schlüsselpositionen einnehmen wie Online-Suchmaschinen, Online-Marktplätze und Cloud-Computing-Dienste (§ 8c BSIG).
Seit dem IT-SiG 2.0 werden außerdem auch Unternehmen im besonderen öffentlichen Interesse (§ 8f BSIG) adressiert. Sie unterliegen zwar noch nicht unmittelbar einer Pflicht zur Ergreifung von Maßnahmen, müssen aber alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit vorlegen.
Auf den ersten Blick sehr ähnlich, aber nicht gleichzusetzen mit dem IT-Sicherheitsrecht ist das Datensicherheitsrecht, welches in den Art. 5 Abs. 1 lif f), 25 und 32 DSGVO geregelt ist. Anders als im IT-Sicherheitsrecht ist der Fokus hier ausschließlich auf den Schutz personenbezogener Daten gerichtet, was trotz gleichlautender Schutzziele mitunter auch andere Maßnahmen als im IT-Sicherheitsrecht erfordert.
Der Begriff der Cybersicherheit hat demgegenüber keinen eigenständig abgrenzbaren Bereich. Im Allgemeinen kann angenommen werden, dass der Begriff Cybersicherheit noch stärker auf den Cyberraum, namentlich das Internet und somit auf vernetzte Systeme abstellt. Solche Systeme sind aber auch Gegenstand des (bisherigen) IT-Sicherheitsrechts, so dass der Begriff keinen Mehrwert schafft. Exemplarisch kann auf den sog. Cybersecurity-Act (EU-VO 2019/881), der vor allem die Rechtsgrundlage für die europäische Agentur für Cybersicherheit (ENISA) aufbaut, verwiesen werden. Dieser definiert „Cybersicherheit“ als alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen; wobei eine Cyberbedrohung „einen möglichen Umstand, ein mögliches Ereignis oder eine mögliche Handlung [meint], der/das/die Netz- und Informationssysteme, die Nutzer dieser Systeme und andere Personen schädigen, stören oder anderweitig beeinträchtigen könnte;“. Dies könnte aber ebenso gut als IT-Sicherheit bezeichnet werden.