• Regolamento (UE) 679/2016 “Regolamento generale sulla protezione dei dati”.​

• Art. 5 "Principi applicabile al trattamento di dati personali"​

• Art. 25 "Protezione dei dati fin dalla progettazione"​

• Art. 32 "Sicurezza del trattamento"​

• Art. 35 "Valutazione di impatto sulla protezione dei dati"​

• Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)​

• Linee Guida AgID per lo sviluppo del software sicuro.​

• Autorizzazione n. 8/2016 - Autorizzazione generale al trattamento dei dati genetici (Garante della Protezione dei Dati Personali)​

• Standard volontari ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019​

• D.Lgs. 231/2001 (art. 24 bis) sulla digital crimes -> MOG 231 CINECA​

• D.Lgs. 65/2018  di recepimento della Direttiva (UE) 2016/1148 (Network Information Security)​

Il principio della «accountability» richiede a monte un’analisi del rischio di esposizione a incidenti sulla sicurezza IT e la documentazione che attesti l’esecuzione di tale analisi e le azioni/misure di mitigazione del rischio stesso.​