Varautuminen muuttuu helposti tekniseksi harjoitukseksi. Järjestelmiä luokitellaan, taulukoita täytetään ja kriittisyyksiä arvioidaan ilman, että ensin on riittävän selvästi sovittu, mitä ydintoimintoja oikeasti pitää suojata ja millä tasolla.
Tämä järjestys on ongelmallinen. Järjestelmä ei yksin kerro kriittisyyttä. Sama järjestelmä voi olla eri tilanteissa eri tavalla kriittinen riippuen siitä, mihin palveluun, prosessiin, asiakasryhmään, toimittajaan tai toimintatilanteeseen se kytkeytyy.
Hyvä varautuminen lähtee ydintoiminnasta. Ensin tunnistetaan, mitkä palvelut eivät saa pysähtyä, mikä vaikutus häiriöllä olisi asiakas- tai potilasturvallisuuteen, rahaan, maineeseen, toimituskykyyn ja henkilöstön jaksamiseen. Vasta sen jälkeen määritellään ICT-vaatimukset, RTO, RPO, sopimusehdot ja toimittajavelvoitteet.
Varautuminen on mitoituspäätös. Kun kriittisyys johdetaan toiminnan tarpeesta, voidaan välttää sekä alimitoitus että turha ylisuojautuminen. Samalla varautuminen lakkaa olemasta erillinen dokumentti ja muuttuu osaksi arjen johtamista.