Proceso sistemático de identificación, análisis y priorización de riesgos cibernéticos según metodologías ISO 27005, NIST RMF, FAIR o marcos propietarios. Incluye evaluación de riesgos para el cumplimiento de NIS2, DORA y normativas sectoriales, modelado de amenazas, análisis de vulnerabilidades técnicas y organizativas, evaluación de probabilidad e impacto, definición de apetito y tolerancia al riesgo, tratamiento del riesgo (mitigación, aceptación, transferencia, eliminación) y gestión de riesgos de cadena de suministro y terceros.