Im Internet ist die Verlagerung der Normsetzung auf Private ein ubiquitäres Phänomen. Von besonderer Brisanz ist dieser Trend im Segment der Cybersecurity Standards, die alle Lebensbereiche der Menschen und alle Aktionsfelder von Staaten, Volkswirtschaften und Unternehmen beeinflussen können. Hier setzt der Beitrag an. Er konzentriert sich auf drei Kernprobleme des Security Standard Setting (Rechtsnatur, Bindungswirkung, Legitimationsmechanismen) und plädiert auf allen drei Problemfeldern für einen Perspektivenwechsel und eine Öffnung konventioneller rechtlicher Betrachtungsweisen.