The organization must implement and maintain formal process to ensure that all information systems requiring protection are approved by a designated accreditation authority.

If the system will process classified information, the accreditation must be obtained before the system is put into operational use.

The organization must also establish a process for maintaining the system's accreditation if major changes are made to the system or its security posture.

Kriittisten verkkopalvelujen tarvitsemat turvajärjestelyt, kuten turvallisuusominaisuudet, palvelutasot ja hallintavaatimukset, on huolellisesti määritelty ennakkoon. Verkkopalveluja ovat mm. liitännät, verkot ja verkon turvallisuusratkaisut (esim. palomuurit).

Verkkopalvelujen turvallisuusominaisuudet voivat olla mm. seuraavanlaisia:

• vaadittu turvallisuuteen liittyvä teknologia, kuten todennus, salaustekniikka ja verkkoyhteyden hallintakeinot
• verkkopalvelujen suojatun yhteyden edellyttämät tekniset parametrit
• verkkopalvelun käyttökriteerit, jotka rajoittavat pääsyä verkkopalveluun tai sovelluksiin tarvittaessa

Osoittaakseen tiettyjen velvoitteiden noudattamisen toimivaltainen kansallinen viranomainen, NIS, voi velvoittaa organisaatiot käyttämään keskeisten tai tärkeiden yksiköiden kehittämiä tai kolmansilta osapuolilta ostettuja tieto- ja viestintäteknisiä tuotteita, tieto- ja viestintäteknisiä palveluja ja tieto- ja viestintäteknisiä prosesseja edellyttäen, että ne on sertifioitu eurooppalaisten tietoverkkoturvallisuuden sertifiointijärjestelmien mukaisesti.

Toimivaltainen kansallinen viranomainen, NIS, edistää myös pätevien luottamuspalvelujen käyttöä organisaatioissa.