Ja hem vist que l'ENS prohibeix, explícitament, que el Responsable del Sistema siga la mateixa persona que el Responsable de Seguretat. Òbviament, qui està legitimat per a pronunciar-se sobre la idoneïtat de les mesures de seguretat adoptades per a securizar un Sistema, no pot ser la mateixa persona encarregada de la seua explotació.
Feta aquesta excepció, ens preguntem fins a quin punt la resta de les responsabilitats enunciades en l'ENS són susceptibles de ser assumides de manera unificada.
Des del punt de vista formal, res ho impedeix. No obstant això, des del punt de vista funcional, aquesta coincidència no és lògica.
Observe's, en primer lloc, que la Informació pot ser generada per el propi organisme, o provindre de un organisme extern. Si la informació s'importa des de un organisme extern, serà el Responsable de la Informació d'aquell organisme el que assenyalarà el seu nivell de seguretat i, en la seua conseqüència, marcarà les mesures de seguretat que haurà de adoptar l'organisme receptor de la informació.
D'altra banda, observe's que una mateixa informació pot alimentar diversos serveis, que podran tindre, cadascun el seu propi Responsable del Servei.
Finalment, i encara que no es tracte de un cas freqüent, observe's que un mateix servei pot ser explotat per un o diversos sistemes d'informació diferents, per a cadascun dels quals pot haver sigut designat un Responsable de Seguretat diferent.
Com a resum direm que, deixant fora de perill el preceptuat per l'ENS, en relació amb l'exigència de diferenciació personal entre el Responsable del Sistema i el Responsable de Seguretat, la possibilitat de fer coincidir en una única persona les responsabilitats de la informació, els serveis i la seguretat, es farà tant més inconvenient com més gran siga la multiplicitat de les informacions manejades i els serveis prestats, o com més gran relació o
interdependència tinguen els sistemes d'informació de l'organisme amb altres sistemes de informació exteriors.