Au Luxembourg, les règles contenues dans ou induites par la politique de sécurité de l’information sont légitimées par les textes légaux suivants:
- Arrêté grand-ducal du 9 mai 2018 portant fixation de la gouvernance en matière de gestion de la sécurité de l’information
- Loi du 23 juillet 2016 portant création d'un Haut-Commissariat à la Protection nationale
- Loi du 18 juillet 2014 portant
1) approbation de la Convention du Conseil de l'Europe sur la cybercriminalité ouverte à la signature à Budapest le 23 novembre 2001,
2) approbation du Protocole additionnel à la Convention sur la cybercriminalité, relatif à l'incrimination d'actes de nature raciste et xénophobe commis par le biais de systèmes informatiques, fait à Strasbourg le 28 janvier 2003,
3) modification du Code pénal,
4) modification du Code d'instruction criminelle,
5) modification de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques. - Loi du 18 juillet 2014 portant approbation de l’Accord entre les États membres de l’Union européenne, réunis au sein du Conseil, relatif à la protection des informations classifiées échangées dans l’intérêt de l’Union européenne, signé à Bruxelles, le 25 mai 2011.
- Loi du 15 juin 2004 relative à la classification des pièces et aux habilitations de sécurité.
- Loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel.