Nach umfänglichen Beratungen und abschließenden Beschlussfassungen im Rat der EKD und in der Kirchenkonferenz ist die Verordnung zur Sicherheit in der Informationstechnik (IT-Sicherheitsverordnung) in Kraft getreten. Die Verordnung beruht auf § 9 Abs. 2 EKD-Datenschutzgesetz, wonach jede kirchliche Stelle zur Gewährleistung von IT-Sicherheit verpflichtet ist.

Die Verordnung regelt vor allem die Verpflichtung zur Erstellung von IT-Sicherheitskonzepten. Entsprechende Muster und Hilfestellungen sind vom Kirchenamt der EKD erarbeitet worden. Nach § 7 IT-Sicherheitsverordnung hat die erstmalige Erstellung des IT-Sicherheitskonzeptes in ihren Grundzügen bis zum 31. Dezember 2015 zu erfolgen. Das vollständige Konzept muss bis Ende 2017 vorliegen. Betriebsbeauftragte und örtlich Beauftragte für den Datenschutz sind bei der Erstellung und kontinuierlichen Fortschreibung des IT-Sicherheitskonzeptes frühzeitig zu beteiligen. Zur Wahrnehmung der IT-Sicherheit kann eine kirchliche Stelle zukünftig außerdem IT-Sicherheitsbeauftragte beauftragen. Der vollständige Text der IT-Sicherheitsverordnung kann hier abgerufen werden.