La sécurité de l'information n'est toujours pas abordée de manière coordonnée sur le plan juridique, même s'il existe des lois et des règlementations que doit identifier et appliquer correctement le responsable de la sécurité de l’information. Le devoir de sécurité le plus largement applicable se trouve dans la loi sur le traitement des données à caractère personnel. Dans le cadre de la révision du cadre juridique applicable aux traitements de données à caractère personnel, beaucoup d'attention est consacrée à un probable élargissement des dispositions relatives à la sécurité de l’information, notamment par la nomination d’un "data protection officer" et l'établissement d'un devoir de notification en cas de violation.