يجب أن تحدد المؤسسات المالية سيناريوهات الهجمات السيبرانية الاستراتيجية التي توفر تمثيلاً واقعياً للهجمات السيبرانية المحتملة ضدها. ويجب أن تشتمل هذه السيناريوهات على جهة تهديد أو أكثر، وتتناول هدفًا واحدًا أو أكثر، والتأثيرات المحتملة للسيناريوهات.

ولوضع سيناريوهات الهجمات السيبرانية الاستراتيجية، يجب على المؤسسات المالية تحديد أوجه التشابه في سمات جهات التهديد أو الحملات المهددة ضمن مشهد التهديدات المبين في "المبدأ 12: تحديد مشهد تهديد سيبراني" (على سبيل المثال، أسلوب مماثل، نوع هجوم مماثل، وما إلى ذلك). إضافةً إلى ذلك، يجب على المؤسسات المالية إجراء تقييمًا للسيناريوهات المحددة من أجل تحديد أولويات السيناريوهات الأكثر احتمالاً وتأثيراً، ويجب أن تتخذ الإجراءات التصحيحية ذات الصلة بناءً على التهديدات والسيناريوهات المحددة. ويجب تحديد دورية تقييم السيناريوهات المحددة من قبل المؤسسات المالية بناءً على عملياتها الداخلية الخاصة بها.