Datasenteraktører kan være alt fra sikkerhetsbevisste aktører som håndterer kritisk infrastruktur, til aktører med færre ressurser og muligheter til å etablere sikre infrastrukturer. For å øke sannsynligheten for datasenteraktører har innført gode sikkerhetstiltak og -rutiner bør datasenteret og aktøren være sertifisert i henhold til anerkjente, internasjonale standarder. Dette kan for eksempel være sertifisering etter EN 50600 og ISO 27001. Anerkjente sikkerhetsstandarder, veiledninger og beste praksiser bør i tillegg benyttes for å etablere gode sikkerhetstiltak. Logiske styringssystemer med tilhørende infrastruktur eksempelvis DCIM (DataCenter Infrastructure Management system) anbefales vurdert opp mot NSMs grunnprinsipper for IKT-sikkerhet.

Dersom en trusselaktør har fysisk tilgang til en server eller annet utstyr, så er den å anse som tapt eller kompromittert. Hvis datasentrene ikke er forsvarlig sikret og tilstrekkelig robuste, vil øvrige sikkerhetstiltak ha liten effekt.

NSM mener det offentlige bør spesifisere krav til fysisk og logisk sikring av datasentre og krav til personell med tilgang, inkludert underleverandører.