Bezpečnostní dokumentace je vyžadována legislativou. Jednotlivé zákony a vyhlášky ukládají subjektů, na které se legislativní požadavky vztahují povinnosti vytvoření, vedení a aktualizování jednotlivých dokumentů bezpečnostní dokumentace.

Vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) požaduje pro kritickou informační infrastrukturu vypracování a vedení kybernetické bezpečnostní dokumentace, dle doporučené struktury.