Am 1. Januar 1991 nahm das BSI auf Basis des „Gesetzes über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik“ (BSI-Errichtungsgesetz) seine Arbeit auf. Dem Gesetz zugrunde lag ein neues Verständnis von Prävention und Informationspolitik – erstmals formuliert im „Zukunftskonzept Informationstechnik“ der Bundesregierung im Juli 1989. Alle Betroffenen und Interessierten sollten über Risiken der Informationstechnik und mögliche Schutzmaßnahmen unterrichtet werden. Spätestens mit Beginn der breiten Nutzung des Internets ab 1993 wurde deutlich, wie zukunftsweisend dieser Ansatz war. Heutige Grundlage der Arbeit des BSI ist das „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ (BSI-Gesetz/BSIG), das zunächst als „Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes“ am 20. August 2009 in Kraft trat und seither mehrere Male novelliert wurde. Darüber hinaus gibt es eine Reihe von spezialgesetzlichen Regelungen, in denen Aufgaben des BSI im Zusammenhang mit bestimmen Themen definiert sind, etwa im Rahmen der Energiewende oder im Bereich der Telekommunikation.
Der Arbeitsauftrag des BSI umfasste von Beginn an den Schutz der Regierungsnetze und die Sicherung zentraler Netzübergänge. Mit der Novellierung des BSI-Gesetzes 2009 konnte das BSI für die Bundesbehörden verbindliche Sicherheitsstandards für die Beschaffung und den Einsatz von IT entwickeln. Das BSI wurde zudem zur zentralen Meldestelle für IT-Sicherheit innerhalb der Bundesverwaltung, um bei IT-Krisen nationaler Bedeutung durch Informationen und Analysen die Handlungsfähigkeit der Bundesregierung sicherzustellen. Für Wirtschaft, Wissenschaft, Gesellschaft sowie für die Bürgerinnen und Bürger fungierte das BSI als kompetenter Ansprechpartner und Berater für alle Fragen der Informationssicherheit.