Eu diria que a idade é o maior fator aqui. O fato de você estar pensando em não comprar a versão atual do sistema operacional (aparentemente sem um bom motivo) é uma loucura para mim, mas essa é minha opinião, eu acho. Além disso, quando você diz que o Windows Server 2008, eu espero que você realmente signifique o Windows Server 2008 R2.
Mais importante ainda, o conjunto final de atualizações de segurança para o Windows Server 2003 será lançado em 14 de julho de 2015. Isso está a apenas 4 anos de distância e será muito mais rápido do que você imagina. A menos que você tenha absoluta certeza de que o servidor será substituído antes que o sistema operacional atinja o fim de sua vida útil, você estará executando (e acredito que seja crítico nos negócios) aplicativos em um sistema operacional não suportado e vulnerável.
Não só a Microsoft vai evitá-lo quando algo quebrar, assim como seus fornecedores de aplicativos. Se você tem algum tipo de problema, você está bem acima do proverbial riacho sem remo.
Então você tem seus problemas de segurança. Haverá vulnerabilidades e a Microsoft NÃO as corrigirá. Tente explicar ao seu chefe que seu servidor está inoperante porque foi invadido. Em seguida, tente explicar que, quando você reinstala o Windows, os invasores podem fazer tudo de novo, porque não existe e nunca será um patch para corrigir o problema de segurança subjacente.