De organisatorische risicotolerantie wordt bepaald en duidelijk uitgedrukt
Maatregel
De organisatie moet duidelijk haar risicobereidheid bepalen.
Richtlijn
Het bepalen en tot uitdrukking brengen van risicotolerantie (risk appetite) moet in overeenstemming zijn met het informatieveiligheidsbeleid en cyberbeveiliging, zodat de samenhang tussen beleid, risicotolerantie en maatregelen gemakkelijker kan worden aangetoond.