Neben (europäischen und nationalen) rechtlich verbindlichen Vorgaben existieren im Bereich IT-Sicherheit auch zahlreiche nationale, europäische und internationale Standards. Standards müssen nicht von der Legislative erlassen werden und begründen alleine noch keine rechtlichen Bindungen oder Verpflichtungen. Für sich betrachtet kann man sie höchstens als Empfehlungen betrachten.
Der Charakter eines Standards hängt von den Umständen des Einzelfalles ab, eine einheitliche terminologische Abgrenzung zu etwa der industriellen Norm gibt es nicht, es existieren hierfür mehrere Ansätze. Die EU hat Richtlinie 98/34/EG erlassen, wonach nur bestimmte Institute zum Erlass von formalen Spezifikationen (Normen) ermächtigt sind. Andere Gremien, die Standards erlassen wollen, müssen die Anforderungen eines EU-Normungspaketes (Verordnung (EU) Nr. 1025/2012) erfüllen. Nach der Welthandelsorganisation (WTO) müssen Normen sowie Standards die Voraussetzungen der Kohärenz, Transparenz, Offenheit, Konsens, Freiwilligkeit der Anwendung, Unabhängigkeit von Einzelinteressen und Effizienz erfüllen, was im Wesentlichen der Definition der EU entspricht.
Rechtliche Relevanz erreichen Normen (am bekanntesten in Deutschland sind hier die DIN-Normen) sowie Standards dadurch allerdings noch nicht. Auch unabhängig der europäischen oder internationalen Definition können nationale Standards rechtliche Wirkung entfalten. XÖV-Standards zum Beispiel sind Standards zur elektronischen Kommunikation im deutschen eGovernment-System. Sie fallen nicht unter die Definition eines Standards nach EU-Recht, können dennoch als Verwaltungsinternum oder als Bestandteil eines Vertrages die Grundlage für elektronischen Datenaustausch in der Verwaltung bilden. Auch sonst können jegliche „Standards“ rechtliche Wirkung entfalten, sobald es durch Rechts- und Verwaltungsvorschriften oder durch vertragliche Absprachen geboten ist. So hängt beispielsweise der Beginn der Verjährungsfrist nach §199 I Nr. 2 BGB von der Kenntnis der anspruchsbegründenden Tatsachen ab. Solche offenen Rechtsbegriffe können im Streitfall mittels (der Kenntnis von) entsprechenden Standards definiert werden. Ein Beispielsfall von der gesetzlichen Anwendung von Standards im IT-Sicherheitsrecht, wäre die Heranziehung von BSI-Standards (die Empfehlungen zu einer hinreichenden IT-Sicherheit bieten), wenn es um die Fehlerhaftigkeit von Arbeitsweisen, Prozessen oder Produkten im Bereich der IT-Sicherheit geht.
Einfacher gestaltet sich die Wirkung von Standards, wenn der Gesetzestext explizit auf diese hinweist: Ein „Katalog von Sicherheitsanforderungen“ nach §11 Abs. 1a EnWG zum Beispiel beschreibt Standards, die im Zusammenhang mit dem Energiewirtschaftsgesetz unmittelbar rechtliche Wirkung entfalten und im IT-Sicherheitskatalog für Strom und Gas von der Bundesnetzagentur (BNetzA) niedergeschrieben sind. Im Zweifel kann auch ein Vertrag über „XY“ gemessen an den Standards „AB“ geschlossen werden