Organisaatioiden on osoitettava tietoturvavastuu tietylle henkilölle, erityiselle ryhmälle tai komitealle. Tämä nimetty henkilö tai ryhmä toimii pääasiallisena yhteyspisteenä ja huolehtii kaikesta teknisestä viestinnästä ja koordinoinnista valvontaviranomaisten ja kansallisten tietoturvaloukkauksiin reagoivien ryhmien (CSIRT) kanssa.

Jos vastuu annetaan yksittäisen henkilön sijasta ryhmälle tai komitealle, on tarpeen nimetä yksi henkilö viralliseksi edustajaksi. Lisäksi olisi nimettävä varahenkilö hoitamaan näitä tehtäviä aina, kun ensisijainen edustaja ei ole käytettävissä poissaolon, vapautumisen tai sairauden vuoksi. Näin varmistetaan, että aina on joku, joka on vastuussa ja kykenee reagoimaan nopeasti turvallisuusasioihin.

Organisaation on ilmoitettava asianomaisille valvontaviranomaisille, kun se nimittää tietoturvavastaavan. Ilmoitus on tehtävä kolmen kuukauden kuluessa nimittämisestä. Jos myöhemmin tapahtuu muutoksia, kuten uusi nimitys tai nykyisen tietoturvavastaavan irtisanominen (eroaminen, erottaminen jne.), näistä muutoksista on ilmoitettava kuukauden kuluessa siitä, kun ne tapahtuvat.

Organisaation on varmistettava, että tietoturvavastaavalla on tarvittavat resurssit (esim. budjetti, henkilöstö, välineet, aika) tehtäviensä tehokkaaseen hoitamiseen. Tietoturvavastaavan aseman organisaatiossa on helpotettava hänen työtään ja varmistettava asianmukainen osallistuminen kaikkiin asiaankuuluviin tietoturva-asioihin. Lisäksi olisi luotava ja ylläpidettävä suora ja tehokas viestintäkanava hallituksen tai ylimmän johdon kanssa, jotta varmistetaan strateginen linjaus ja tietoturvan valvonta. Tietoturvavastaavan olisi myös toimittava riittävän riippumattomasti niistä, jotka vastaavat verkkojen ja tietojärjestelmien teknisestä toteutuksesta ja hallinnasta, ja vältettävä eturistiriitoja.