Chaque ministre désigne également, pour son département ministériel, une ou plusieurs autorités qualifiées en sécurité des systèmes d'information compétentes pour les systèmes d'information et de communication autres que ceux qui sont classifiés.
L'autorité qualifiée en sécurité des systèmes d'information est responsable de la sécurité numérique des systèmes d'information et de communication relevant de ses attributions. A ce titre, elle définit la politique de sécurité numérique qui leur est applicable et contrôle son application au travers notamment de l'homologation de ces systèmes d'information prévue à l'article 4-3. Elle peut déléguer cette fonction d'homologation à des autorités d'homologation qu'elle désigne.
Les responsabilités des autorités qualifiées en sécurité des systèmes d'information ainsi que celles des personnes désignées pour les assister sont précisées par arrêté du Premier ministre.