Ohjeen kohdeyleisö -kappaleessa luetelluilla rooleilla on tarkasti määritellyt vastuualueet. Vastuu seuraa rooleja eikä henkilöitä; henkilöllä voi olla useita rooleja ja toisaalta rooli voi olla jaettu useammalle henkilölle. Jos rooli on jaettu useammalle henkilölle, näiden henkilöiden osalta on sovittava, kuka kantaa päävastuut seuraavassa luetelluista tietoturvavastuista. Jos päävastuullista henkilöä ei ole jaetun roolin tilanteessa määritelty, ohjelmistokehitysprosessi ei ole tämän tietoturvaohjeen mukainen. Vastuutus on viestittävä kohdeyleisötahoille | 
