– “CRAF”) ซึ่งเมื่อผู้ประกอบธุรกิจประเมินตนเองแล้ว จะช่วยให้ทราบความเสี่ยงด้านไซเบอร์ที่เกิดจากลักษณะการประกอบธุรกิจของตนเอง (inherent risk) และผู้ประกอบธุรกิจมีระบบงานที่ช่วยควบคุม
นี้ไม่ชัดเจนว่าจะเป็นการตัดหรือจำกัดความรับผิดของผู้ประกอบธุรกิจตามข้อ 10 ของประกาศหรือไม่ ดังนั้น เพื่อให้เกิดความชัดเจน ผู้ประกอบธุรกิจจึงควรระบุ scope ของการจำกัดความรับผิดไว้เพื่อไม่ให้เป็นการขัดกับ