Organisaation riskinsietokyvyn määrittelyssä tiedostetaan organisaation rooli kriittisessä infrastruktuurissa sekä toimialakohtainen riskiprofiili
Organisaation täytyy määrittää hyväksyttävä taso riskeille. Taso lasketaan riskien todennäköisyyden, vakavuuden ja hallintakeinojen pohjalta.