Критические ИТ-услуги определяются через процесс бизнес-анализа, который включает несколько шагов. Сначала идентифицируются ключевые бизнес-процессы и их максимальное допустимое время простоя (MTPD). Затем определяются ИТ-услуги, поддерживающие эти процессы, и устанавливается их взаимосвязь. Далее для каждой ИТ-услуги определяется максимально допустимое время восстановления (RTO) и допустимый объем потери данных (RPO). Услуги, чьи RTO значительно меньше MTPD бизнес-процесса, классифицируются как критические и требуют включения в планы непрерывности. Также учитываются последствия простоя: если отсутствие услуги приводит к серьезным финансовым потерям, штрафам или репутационному ущербу, она считается критической.