Keskeisten ja tärkeiden organisaatioiden on osoitettava, että ne täyttävät tässä artikkelissa kuvatut tietoturvavaatimukset. Keskeisten organisaatioiden (kuten elintärkeiden infrastruktuurien tarjoajien) on osoitettava vaatimustenmukaisuus hankkimalla sertifioitu hyväksyntä valtuutetulta elimeltä - ja niiden on pidettävä tämä sertifiointi ajan tasalla. Tärkeillä toimijoilla on kaksi vaihtoehtoa: ne voivat joko hankkia saman virallisen sertifioinnin tai ne voivat suorittaa itsearvioinnin arvioidakseen omia tietoturvakäytäntöjään.Jos jokin keskeinen tai tärkeä organisaatio kuuluu erityisesti kuninkaallisen asetuksen 311/2022 (päivätty 3. toukokuuta) soveltamisalaan, niiden on noudatettava kyseisen asetuksen sääntöjä saadakseen sertifioinnin kansallisen turvallisuusjärjestelmän (ENS) mukaisesti. Kansallinen kyberturvallisuuskeskus määrittelee, miten sertifiointiprosessin tulisi toimia. Se varmistaa, että prosessi on: - tarpeellinen - suhteellinen - tehokas. Lopuksi sertifiointiprosessi suunnitellaan siten, että se osoittaa organisaation noudattavan sekä kansallisia tietoturvasääntöjä että asiaankuuluvia kansainvälisiä standardeja vaaditun tason mukaan.