Bij inrichting: Projecten die nieuwe producten en diensten ontwikkelen en inrichten MOETEN een behandelplan hebben gebaseerd op de uitkomst van de risicobeoordeling;
Bij verandering informatieasset: Behandelplannen MOETEN herzien worden bij veranderingen zoals de status van geplande mitigatie en verandering (van effectiviteit) van beheersmaatregelen;
Bij verandering van organisatie: Behandelplannen MOETEN herzien worden bij organisatorische verandering waar het eigenaarschap van risico’s en maatregelen is gewijzigd;
Bij verandering risicoprofiel: Risicobeoordeling MOETEN opnieuw worden uitgevoerd bij functionele of technische veranderingen binnen het product of dienst en/of nieuwe en veranderende dreigingen.