IT-Sicherheit lässt sich rechtlich insbesondere über die Gewährleistung der Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität von Daten, Systemen und Diensten definieren.
Dabei ist Verfügbarkeit gegeben, wenn die Daten, Systeme und Dienste stehts wie vorgesehen genutzt werden können. Bei Systemen und Diensten bedeutet dies, dass sie wie beabsichtigt funktionieren, wobei nur Totalausfälle und Störungen aufgrund von Fehlern erfasst werden. Dass die Funktionen von Systemen und Diensten nicht durch Manipulationen beeinträchtigt sind, ist richtigerweise der Integrität zuzuordnen (dazu sogleich).
Die Integrität von Daten ist gegeben, wenn diese nicht unautorisiert verändert wurden. Die Integrität von Systemen ist gegeben, wenn das System nicht korrumpiert ist, d.h. wenn insbesondere nur die autorisierten Komponenten enthalten sind (Freiheit von Schadsoftware). Schließlich ist ein Dienst integer, wenn er das gewünschte Ergebnis manipulationsfrei liefert.
Die Vertraulichkeit ist die einzige Anforderung, die sich grundsätzlich nur auf Daten beziehen kann. Allerdings ist zwischen den produktiv eingesetzten Daten (Maschinendaten oder auch personenbezogene Daten) sowie den Daten über das System selbst (z.B. installierte Betriebssysteme und Programme) zu unterscheiden. Während die erstgenannte Kategorie der Produktivdaten unmittelbar schutzbedürftig ist, ist die zweite Kategorie der Systemdaten mittelbar relevant, da diese erst Angriffe ermöglichen können.
Schließlich wird insbesondere im Kontext von Kommunikationsverbindungen noch das Schutzziel der Authentizität genannt. Damit soll ausgedrückt werden, dass der Kommunikationspartner der ist, der er vorgibt zu sein. In der Begründung zum NIS2UmsuCG Entwurf (S. 138) heißt es jedoch: „Der Begriff Authentizität stellt im deutschen Recht einen Unterfall der Integrität dar, daher erfolgt anders als z.B. in Artikel 6 Nummer 5 der NIS-2-Richtlinie keine ausdrückliche Nennung des Begriffs.“
Dem kann nicht gefolgt werden. Zwar wird schon lange in der Wissenschaft diskutiert, ob die drei erstgenannten Schutzziele (Verfügbarkeit, Vertraulichkeit und Integrität) für die Beschreibung der IT-Sicherheit hinreichend sind. Aber jedenfalls im deutschen Recht wurde die Authentizität bisher als gesondertes Schutzziel akzeptiert. Außerdem gäbe es die Authentizität nach diesem Entwurf nur im deutschen IT-Sicherheitsrecht nicht (mehr), während sie in allen anderen europäischen Umsetzungen der NIS2-RL bestehen bleibt, was folglich zu einer Uneinheitlichkeit des europäischen IT-Sicherheitsrechts führen würde.