Denne kategorien utgjør grunnlaget for iverksettelse av de andre kategoriene, den vurderer risiko og legger en plan for risikohåndtering. For å kunne beskytte verdier er det viktig å forstå virksomheten og verden virksomheten opererer i. Er det gjort grundige analyser og vurderinger av risiko i forkant, sikrer virksomheten at tiltakene som blir implementert treffer og er effektive for de verdiene som virksomheten skal beskytte.

I en risikovurdering gjennomfører virksomheten nødvendige steg for å identifisere, vurdere og evaluere risiko knyttet til virksomhetens identifiserte verdier. Risikovurderingen bør inneholde en vurdering av trusler, sårbarheter og avhengigheter, inkludert vurdering av sannsynlighet og konsekvens. Dette kan gjennomføres med utgangspunkt i scenarioer.

Avdekker risikovurderingen en forskjell på ønsket sikkerhetsnivå og reell sikkerhet, lages en plan for å lukke gapet – en plan for risikohåndtering. Risikovurderingen gir dermed økt bevissthet om hvilke områder som krever iverksetting av sikkerhetstiltak, og hva som må være på plass for å innfri både de eksterne og interne kravene.

Det er viktig å huske på at en risikovurdering gir kun et situasjonsbilde av risiko. Sårbarheter utvikler seg over tid etter hvert som virksomheten utvikler seg, tiltakene kan selv (og vil ofte) forvitre over tid, og trusselbildet kan endre seg både over tid og hurtig. Virksomheten må derfor jevnlig vurdere om det er behov for en ny risikovurdering. Risikovurderingen bør dokumenteres i nødvendig omfang for å sikre at beslutninger og resultater av analysen kan gjenfinnes som grunnlag for eventuell senere håndtering av uønskede hendelser.

Risikovurderingen kan med fordel etableres med grunnlag i anerkjente standarder for risikovurdering som for eksempel NS-ISO 31000:2018, NS 5832:2014 og NS 5814:2008 (ny utgave i 2020).