Organisaation tulisi tunnistaa ja dokumentoida olennaisiin palveluihinsa liittyvät riippuvuudet. Analyysissä tulisi ottaa huomioon sekä organisaation riippuvuus ulkoisista palveluista, myös muista maista peräisin olevista, että muiden alojen riippuvuus organisaatiosta. Riskinarvioinnin tulisi myös perustua kansalliseen riskinarviointiin ja siinä tulisi ottaa huomioon kaikki merkitykselliset luonnonuhkat ja ihmisen aiheuttamat riskit, mukaan lukien onnettomuudet, luonnonkatastrofit, kansanterveydelliset hätätilanteet, hybridiuhkat, vihamieliset uhat ja terroriteot.

Organisaatio pyrkii ennakoivasti listaamaan ja arvioimaan erilaisten tietoturvariskien todennäköisyyttä ja vakavuutta. Dokumentaatio sisältää seuraavat asiat:

• Riskin kuvaus
• Riskin vakavuus ja todennäköisyys
• Riskiä hallitsevat ohjeet ja hallintatehtävät
• Riskin hyväksyttävyys

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Organisaation tulisi suorittaa kattava riskinarviointi, jotta se voi tunnistaa kaikki olennaiset riskit, jotka saattavat häiritä sen keskeisiä palveluita. Arvioinnissa tulisi ottaa huomioon laaja kirjo uhkia, jotka eivät rajoitu pelkästään kyberturvallisuuteen, ja sen tulisi perustua asiaankuuluviin tietolähteisiin. Arvioitaviin riskiluokkiin tulisi kuulua:

• Luonnonuhkat, kuten tulvat tai äärimmäiset sääilmiöt
• Ihmisiin liittyvät uhat, kuten onnettomuudet tai tahalliset rikokset
• Tekniset ja järjestelmähäiriöt
• Toimitusketjun häiriöt

Organisaation tulisi laatia virallinen aikataulu riskinarviointien suorittamista varten. Aikataulun on varmistettava, että alustava arviointi saatetaan päätökseen 9 kuukauden kuluessa siitä, kun organisaatio on virallisesti nimetty kriittiseksi toimijaksi, ja että sitä päivitetään sen jälkeen vähintään neljän vuoden välein tai silloin, kun tapahtuu merkittäviä muutoksia.

Organisaation on osana tietoturvariskien arviointia tehtävä arviot riskin toteutumisen vakavuudesta ja todennäköisyydestä.

Organisaatiolla on oltava selkeästi ohjeistettu riskiasteikko, jonka avulla jokainen riskien arviointiin osallistuva pystyy päättämään oikean tason vakavuudelle ja todennäköisyydelle.