Cyberrisicobeheerprocessen voor de toeleveringsketen worden geïdentificeerd, vastgesteld, beoordeeld, beheerd en goedgekeurd door belanghebbenden in de organisatie.
Maatregel
De organisatie moet een proces voor het beheer van cyberrisico's in de toeleveringsketen documenteren, beoordelen, goedkeuren, updaten bij wijzigingen en implementeren dat de identificatie, beoordeling en mitigatie ondersteunt van de risico's die gepaard gaan met de gedistribueerde en onderling verbonden aard van toeleveringsketens van ICT/OT-producten en -diensten.