Działaniem w ramach cyklu zarządzania ryzykiem jest jego identyfikacja sprowadzająca się do wykrycia źródeł ryzyka i jego opisu, a następnie usystematyzowania ryzyk według przyjętych kategorii. Ze względu na charakter czynności proces ten powinien być wykonywany wielokrotnie zarówno podczas planowania, jak i w nieskończonym cyklu zarządzania ryzykiem.
Efektywne zarządzanie ryzykiem, niezależne od formy i obszaru działania, wymaga przede wszystkim planowania sprowadzającego się do przewidywania tego, w jaki sposób będą kształtowały się w przyszłości różne procesy lub zdarzenia, a także do programowania i tworzenia planu.
W celu przeciwdziałania zagrożeniom zniszczenia, uszkodzenia bądź zakłócenia funkcjonowania infrastruktury krytycznej, istotne staje się podejmowanie skoordynowanych przedsięwzięć przez wszystkie zaangażowane podmioty w obszarze ochrony tej infrastruktury. Jednym z takich działań jest bieżące wykonywanie analizy ryzyka i przekładanie jej wyników na wdrażane środki ochrony.
Rozpoznanie i wyznaczenie infrastruktury krytycznej, w celu zapewnienia utrzymania podstawowych atrybutów bezpieczeństwa wymaga wdrażania środków ochrony adekwatnych do postawionych wymagań i przeprowadzanej analizy ryzyka. Nie wyklucza to jednak takiego projektowania i budowania systemów stanowiących elementy tej infrastruktury, aby już sama ich konstrukcja uwzględniała stosowne zabezpieczenia odnoszące się do standardowych ryzyk dla określonego typu systemów należących do poszczególnych sektorów infrastruktury krytycznej. Odpowiednie zaprojektowanie architektury rozwiązań systemów oraz wchodzących w ich skład powiązanych ze sobą funkcjonalnie obiektów, w tym urządzeń, instalacji oraz kluczowych usług dla bezpieczeństwa państwa i jego obywateli bezpośrednio wpływa na koszt implementacji środków ochrony.
Po rozpoznaniu i wyznaczeniu systemów należących do infrastruktury krytycznej należy zdefiniować, na podstawie określonych wymagań bezpieczeństwa oraz przeprowadzonej analizy ryzyka, środki ochrony pozwalające na przeciwdziałanie zagrożeniom zniszczenia, uszkodzenia bądź zakłócenia ich funkcjonowania.
Przedstawienie w postaci uogólnionego modelu infrastruktury krytycznej składającej się z wielu złożonych i funkcjonalnie zależnych elementów wymaga wyodrębnienia pewnych składowych, których wzajemne oddziaływanie determinuje sposób prawidłowego działania określonego systemu tej infrastruktury zarówno w aspekcie funkcjonalnym, jak i jego ochrony, rozumianej jako zapewnienie podstawowych atrybutów bezpieczeństwa, takich jak [1]:
