Dans le cas des applications métier, l'autorité d'homologation est de fait l'autorité d'emploi du système.
La responsabilité de la sécurité d'un système dont le financement est partagé entre des organismes relevant de plusieurs autorités qualifiées différentes incombe à l'une d'entre elles agissant en tant qu'autorité qualifiée pour ce système. Lorsque l'identification de cette autorité ne peut pas être déterminée de manière évidente, sa désignation relève d'une décision prise par le haut fonctionnaire de défense et de sécurité.
L'autorité qualifiée responsable est garante de la cohérence de la politique de sécurité et de la coordination des mesures à mettre en œuvre conformément à un protocole d'accord visé par les organismes concernés. Elle désigne un responsable de la sécurité des systèmes d'information (RSSI) dont la compétence s'étend à l'ensemble du système. Celui-ci prépare les commissions d'homologation qui réunissent les représentants des autorités qualifiées concernées.