Ο πάροχος, λαμβάνοντας υπόψη την Ανάλυση Επιχειρησιακών Επιπτώσεων και έχοντας προσδιορίσει τις κρίσιμες επιχειρησιακές λειτουργίες, υλοποιεί Αξιολόγηση Επικινδυνότητας.
Ο πάροχος, αναγνωρίζει και εξετάζει τόσο ενδογενείς απειλές, οι οποίες εξαρτώνται από το επίπεδο της εσωτερικής αξιοπιστίας και ανθεκτικότητας του δικτύου, όσο και εξωγενείς απειλές, όπως καιρικές συνθήκες, φυσικές καταστροφές, ατυχήματα και πράξεις δολιοφθοράς οι οποίες μπορούν να προκαλέσουν προσωρινή ή παρατεταμένη διακοπή των κρίσιμων επιχειρησιακών λειτουργιών. Επίσης, εξετάζει απειλές οι οποίες ενδεχομένως να προέρχονται από άλλα διασυνδεόμενα δίκτυα.
Ο πάροχος αναγνωρίζει τα ευάλωτα σημεία και τις αδυναμίες των πόρων (ενδεικτικά, στοιχεία δικτύου, εγκαταστάσεις, προσωπικό) που απαιτούνται για τη συνέχιση κάθε κρίσιμης επιχειρησιακής λειτουργίας.
Ο πάροχος, στα πλαίσια της Αξιολόγησης Επικινδυνότητας που υλοποιεί, αξιολογεί την πιθανότητα εμφάνισης των απειλών που έχει αναγνωρίσει, εκτιμά την επίδρασή τους στη λειτουργία του δικτύου και των παρεχόμενων υπηρεσιών, λαμβάνοντας υπόψη τα ευάλωτα σημεία και τις αδυναμίες της παραγράφου 3.
Ο πάροχος προσδιορίζει τον τρόπο με τον οποίο θα αντιμετωπίσει τους κινδύνους που σχετίζονται με τις κρίσιμες επιχειρησιακές λειτουργίες. Ο πάροχος εφαρμόζει κατάλληλα μέτρα για την αντιμετώπιση των κινδύνων που έχει προσδιορίσει.
Ο πάροχος προσδιορίζει και εφαρμόζει διαδικασίες αξιολόγησης της αποτελεσματικότητας των μέτρων που εφαρμόζει.
Ο πάροχος αναθεωρεί την Αξιολόγηση Επικινδυνότητας περιοδικά λαμβάνοντας υπόψη: α) την αποτελεσματικότητα των εφαρμοζόμενων μέτρων, β) την αναγνώριση νέων απειλών, γ) οργανωτικές ή τεχνολογικές αλλαγές, δ) αλλαγές σε νομοθετικό ή κανονιστικό πλαίσιο, σε εθνικό ή κοινοτικό επίπεδο, ε) άλλα γεγονότα που θα έθεταν νέα δεδομένα τα οποία οφείλει να λάβει υπόψη του ο πάροχος.
O πάροχος τηρεί για εύλογο χρονικό διάστημα καταγεγραμμένα: α) περιγραφή της εφαρμοσθείσας μεθοδολογίας αξιολόγησης επικινδυνότητας, β) τα αποτελέσματα της αξιολόγησης επικινδυνότητας (ευάλωτα σημεία και τις αδυναμίες που έχει αναγνωρίσει, τους κινδύνους που έχει αξιολογήσει, γ) τα προτεινόμενα μέτρα) δ) τα ενδιάμεσα αποτελέσματα μεταξύ όλων των σταδίων προκειμένου όλη η διαδικασία να είναι τεκμηριωμένη και πλήρης.