Les autorités qualifiées en sécurité des systèmes d'information (AQSSI) mentionnées à l'article 3 sont responsables de la sécurité des systèmes d'information au niveau de leur service, direction, organisme ou établissement. Cette responsabilité ne peut être déléguée.