Es ist fast unmöglich, die Kosten zu kalkulieren, bevor die GAP-Analyse, die Risikobewertung und die Erklärung zur Anwendbarkeit abgeschlossen sind. Der größte Teil der Kosten entfällt in der Regel nicht auf Hardware oder Software, sondern auf die Entwicklung von Verfahren und deren Einführung, die Sensibilisierung und Schulung der Mitarbeiter, die Zertifizierung usw. Die Kosten hängen auch von der Größe des Unternehmens ab, aber es ist gut zu wissen, dass nicht alle Sicherheitskontrollen sofort implementiert werden müssen, und dass die Implementierung einiger von ihnen verschoben werden kann.