De Beheerorganisatie van het Stelsel onderhoudt het Gemeenschappelijk normenkader informatiebeveiliging en de stelselrisicoanalyse:
- Het Gemeenschappelijk normenkader informatiebeveiliging MOET beveiligingseisen bevatten die voor elke rol in het netwerk van toepassing zijn.
- Het Gemeenschappelijk normenkader informatiebeveiliging MOET naast de generieke eisen ook specifieke eisen die verschillen per rol in het netwerk bevatten.
- Het Gemeenschappelijk normenkader Informatiebeveiliging MOET -indien noodzakelijk - onderscheid maken naar toepasselijkheid voor de verschillende betrouwbaarheidsniveaus van de diensten die Deelnemers aanbieden.
- De Beheerorganisatie van het Stelsel MOET het versiebeheer van de stelselrisicoanalyse en het Gemeenschappelijk normenkader informatiebeveiliging voeren.