Користувачі та адміністратори об’єкта критичної інформаційної інфраструктури об’єкта критичної інфраструктури (за необхідності також активні процеси) повинні отримувати доступ до служб (функцій), інформації та компонентів об’єкта в межах визначених їм прав доступу тільки після успішного проходження процедури автентифікації на підставі унікального персоніфікованого ідентифікатора (імені) користувача і деякої інформації, що вводиться користувачем (пароль), та/або фізичного ідентифікатора, що надається користувачем (ключ, сертифікат, токен тощо).