Die Datenschutz-Grundverordnung fordert gemäß Art. 24 Abs. (1) DS-GVO vom Verantwortlichen, entsprechende technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DS-GVO erfolgt.
Im Art. 32 Abs. (1) DS-GVO ist zudem bestimmt, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen muss, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Dies gilt gemäß Art. 32 Abs. (1) lit. c) DS-GVO auch für Cyberangriffe wo es auszugsweise heißt: ".. diese Maßnahmen schließen Folgendes ein .. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen"