Der Rechtsrahmen zum Daten- und IT-Sicherheitsrecht wird immer unüberschaubarer. Umso wichtiger ist es, die vielen Gesetze zumindest grob zu ordnen. Als eine erste Einteilung bietet es sich an zwischen Datensicherheit (Sicherheit personenbezogener Daten), betreiberbezogenem IT-Sicherheitsrecht und herstellerbezogenem IT-Sicherheitsrecht zu unterscheiden.
Die Unterscheidung zwischen letzteren beiden ist v.a. deshalb maßgeblich, da der Betreiber beispielsweise einer kritischen Infrastruktur seinen Pflichten u.a. dadurch nachkommt, dass er möglichst sichere IT-Komponenten einkauft. Demgegenüber stehen die Hersteller von IT-Komponenten, bei denen es gerade darauf ankommt IT-Sicherheit direkt in den Komponenten zu implementieren und sie möglichst langfristig mit Updates zu versorgen. Nur beides zusammen ermöglicht am Ende eine umfassende IT-Sicherheit. Dabei gibt es allerdings auch Grenzfälle, so adressiert die KI-VO beispielsweise sowohl die Anbieter (alias Hersteller) als auch die Betreiber von KI-Systemen.
Das Datensicherheitsrecht ist hingegen bereits aufgrund des expliziten Fokus auf personenbezogene Daten besonders zu betrachten.