Proporciona el marco para el sistema de gestión de riesgos (Artículo 9), definido como un proceso iterativo continuo durante todo el ciclo de vida del sistema. Se centra en identificar y mitigar riesgos para la salud, la seguridad y los derechos fundamentales. Describe pasos como la definición del apetito al riesgo, análisis del contexto, identificación de amenazas (ej. envenenamiento de datos), evaluación de riesgos y adopción de medidas de tratamiento (eliminación, reducción, información), prestando atención a colectivos vulnerables como menores.