KLASSA förhåller sig till lagrum i huvudsak på två sätt.
Det innebär att en del krav kan uppstå och upplevas som snarlika eller till och med dubbletter, det vill säga att de kan uppstå dels på grund av informationsklassificeringen och dels på grund av att man väljer att det omfattas av ett lagrum. Det är också bra att vara medveten om att kraven från de lagrummen som tas upp kan ibland vara omfattande. Det är på grund av lagens krav, inte KLASSA, som kraven blir många. KLASSA lägger inte till något utöver det som finns i dessa lagrum.
Det är också viktigt att vara extra medveten om att även om ett system omfattas av ett specifikt lagrum (t ex Dataskyddsförordningen) så är det inte säkert att alla kraven gäller. Då markerar man ”Ej relevant” för dessa krav när man tar ställning till kraven. Ett exempel på detta är kraven som handlar om samtycke som kanske inte tillämpas som det lagliga stödet för en personuppgiftsbehandling.
Det är viktigt att vara medveten om att KLASSA-krav inte är att anse som heltäckande eller uttömmande, eller på något sätt gör att man blir godkänd eller ”compliant” gentemot ett lagrum.
Kompletterande bedömningar måste ändå göras om vilka andra kompletterande rutiner och skyddsåtgärder som måste vidtas. I KLASSAv3 ingår kraven för systemförvaltning utifrån OSL, PDL, NIS och GDPR. Upphandlingskrav för dessa lagrum omfattas alltså ännu inte.