Einzelne Maßnahmen zur Steigerung der Cybersicherheit können nur dann ihre volle Wirkung entfallen, wenn sie sich in ein stimmiges Gesamtkonzept einbetten. Ein solches fehlt bislang. Ausgangspunkt muss eine entsprechende Strategie sein, die auf dem Vorsorge- und Verhütungs-Prinzip basiert. IT-Sicherheit darf kein reaktiver Vorgang auf schwerwiegende Sicherheitsvorfälle sein, sondern muss Vorfälle auf allen Ebenen antizipieren und ihnen mit einer umfassenden präventiven Strategie begegnen. Andere Länder (z.B. Baden-Württemberg und Hessen) haben bereits eigene Strategien vorgelegt.
Aufbauend auf dieses Strategie braucht es ein Berliner IT-Sicherheitsgesetz, in der die Thematik umfassend rechtlich kohärent geregelt wird. Nur ein eigenständiges Stammgesetz wird der Bedeutung des Themas gerecht.
Bei einem IT-Sicherheitsvorfall sind die Zuständigkeiten verschiedener Stellen betroffen. In der Regel sind personenbezogene Daten involviert, so dass die Landesbeauftragte für Datenschutz und Informationsfreiheit ins Spiel kommt. Cyberangriffe sind strafbar - deren Verfolgung Sache der Strafverfolgungsbehörden. Erste Schutz- und Bereinigungsmaßnahmen von Cyberangriffen wird das Berliner Computer Emergency Response Team (sog. CERT) vornehmen. Wichtig ist, dass die involvierten Beteiligten sich eng abstimmen und das wichtige Informationen ausgetauscht werden. Hierfür muss ein Berliner Kompetenzzentrum IT-Sicherheit als Informations-, Kooperations- und Koordinationsplattform eingerichtet werden. Auch dieses sollte auf einer gesetzlichen Grundlage beruhen, welche die vorgesehenen Verantwortlichkeiten, Informations- und Benachrichtigungspflichten festlegt.