Pour les systèmes les plus exposés, le cadre attend une démarche d'analyse et de maîtrise des risques tenue à jour pendant tout le cycle de vie du système. Ce n'est pas un contrôle annuel mais un processus vivant : identifier, évaluer, traiter, surveiller.