Med forventet konsekvensnivå mener vi det mest trolige konsekvensnivået ved brudd på konfidensialitet, integritet eller tilgjengelighet. Med potensielt konsekvensnivå mener vi det verste realistiske konsekvensnivået ved slike brudd.

Begrepene forventet og potensielt konsekvensnivå kan benyttes i kartlegging av informasjonsverdier (verdivurderinger) og illustrerer da sammen en enkel overordnet konsekvensprofil på informasjonen eller IKT-systemene. Begrepene er også aktuelle i konkret arbeid med risikovurderinger.

Referanserammen er de konsekvensnivåene ledelsen har bestemt at virksomheten skal benytte i risikovurderinger innen informasjonssikkerhet.