A A norma foi alinhada à ISO 35000, que se refere a norma internacional para gerenciamento de riscos.
B A norma manteve o foco no contexto organizacional, no entanto, ainda não incluiu para a identificação e avaliação dos riscos a análise dos objetivos de segurança da informação e as necessidades das partes interessadas.
C Houve incentivo à implementação de controles e à avaliação do desempenho, promovendo integração com a gestão de segurança da informação
D As análises de cenários de risco (ACR) são substituídas por Projeções de Gestão de Risco (PGR), permitindo que as organizações considerem possíveis eventos futuros e suas consequências.
E A norma incentiva a realização das avaliações periódicas e emergenciais, respectivamente, para prevenção de incidentes de média gravidade e para atuação em eventos pontuais e individualizados de elevada gravidade.