Considere que uma vulnerabilidade conhecida de determinado software represente risco de incidente de segurança da informação. Nessa situação, identificado o risco, o impacto é considerado como a possibilidade desse risco efetivamente ocorrer.