Az IBIR kockázatkezelő funkcióját használjuk az EIR -ek kockázati besorolásához. A jogszabályok meghatározzák, hogy CIA (BSR) alapú kockázatelemzést kell végeznünk minden egyes EIR -el kapcsolatosan, figyelembe véve a hatóság által kötelezően előírt 47 db fenyegetést.

A COS rendszerben a (minimum) 47 kockázati besorolás maximum értékékét vesszük és szorozzuk össze az EIR-eknél megadott kritikusság, súlyosság értékekkel, majd vesszük a 100% -hoz való értékét. Ez alapján történik meg az EIR rendszerek információbiztonsági besorolása.

30% alatt - Zöld

30% fölött de 60% alatt – Sárga

60% fölött de 80% alatt – Narancssárga

80% fölött - Piros

Új EIR -ek rögzítése vagy a meglévők módosításakor hatáselemzést kell végezni (Személyekre vonatkozó hatás, Működésre vonatkozó hatás, Anyagi kár, Hírnév – Jog, Adatsérülésre vonatkozó hatás). Amennyiben a kiválasztott hatás meghaladja korábban megadott NIS2 osztályozás értékét, úgy a rendszer figyelmeztet erre.

Az új verzióban egy EIR -hez több működésfolytonossági sor is megadható, mely az alkalmazások, hardver elemek, vagy más IT komponensek működésfolytonossági tervét definiálják. A funkciónál kell jelezni, hogy az adott sor melyik EIR (ek) -hez kapcsolható.

Megoldottuk, hogy egy működésfolytonossági terv több EIR -hez is kapcsolható legyen, mert egy komponens több EIR -ben is szerepelhet.