Do każdego zdarzenia przypisana jest wartość od 0 do 10, która określa, jak krytyczne jest to zdarzenie. Im wyższa cyfra, tym pilniejsza jest wymagana reakcja.
| Zakres Severity | Kategoria | Charakterystyka Zdarzenia |
| 0 – 3 | Informacyjne / Normalne (Low) | Standardowe, pomyślne, niskiego ryzyka zdarzenia (np. odczyt dokumentu, pomyślne logowanie, rozpoczęcie aplikacji). |
| 4 – 6 | Ostrzeżenie / Powiadomienie (Medium) | Zdarzenia wymagające uwagi, mogące wskazywać na potencjalne problemy (np. nieudane logowanie, naruszenie polityki przechowywania danych, błąd aplikacji). |
| 7 – 8 | Alert / Błąd (High) | Poważne incydenty bezpieczeństwa lub awarie (np. błąd połączenia z bazą danych, atak Brute Force, błąd szyfrowania). Wymaga reakcji. |
| 9 – 10 | Krytyczne / Awaryjne (Very High) | Najpoważniejsze zagrożenia integralności systemu (np. przejęcie sesji, wyciek danych, próba manipulacji logami audytu). Wymaga NATYCHMIASTOWEJ interwencji. |
