Leveranciers en externe partijen van informatiesystemen, onderdelen en diensten worden geïdentificeerd, geprioriteerd en beoordeeld met behulp van een proces voor de beoordeling van cyberrisico's in de toeleveringsketen.
Maatregel
De organisatie moet minstens één keer per jaar risicobeoordelingen voor de cybertoeleveringsketen uitvoeren of wanneer zich een wijziging voordoet in de kritieke systemen, de operationele omgeving of de toeleveringsketen van de organisatie; deze beoordelingen moeten worden gedocumenteerd en de resultaten moeten worden verspreid onder relevante belanghebbenden, waaronder degenen die verantwoordelijk zijn voor ICT/OT-systemen.
Richtlijn
Deze beoordeling moet potentiële negatieve gevolgen voor de organisatie identificeren en prioriteren die voortkomen uit de risico's die samenhangen met de gedistribueerde en onderling verbonden aard van de toeleveringsketens van ICT/OT-producten en -diensten.