Pour tous les systèmes qui traitent des informations CONFIDENTIEL UE ou d'une classification supérieure, un énoncé des impératifs de sécurité propres à un système (SSRS) doit être établi par l'autorité d'exploitation du système TI (ITSOA, voir la section 25.3.4) et le propriétaire de l'information (voir la section 25.3.5), le cas échéant avec la contribution et l'assistance des responsables de projet et du bureau de sécurité de la Commission (agissant en tant qu'autorité INFOSEC-IA, voir la section 25.3.3), et approuvé par l'autorité d'homologation de sécurité (SAA, voir la section 25.3.2).
Voor alle systemen waarin als EU CONFIDENTIAL en hoger gerubriceerde gegevens worden verwerkt, moet door de Eigenaar van het technisch systeem (TSO, zie 25.3.4) en de Informatie-eigenaar (zie 25.3.5), met de inbreng en bijstand van het projectteam en het Veiligheidsbureau van de Commissie (Infosec-autoriteit - IA, zie 25.3.3), een Systeemgebonden Specificatie van Beveiligingseisen (SSRS) worden opgesteld en door de Autoriteit voor veiligheidsaccreditatie (SAA, zie 25.3.2) worden goedgekeurd.