Contracten met leveranciers en externe partijen worden gebruikt om passende maatregelen te implementeren die ontwikkeld zijn om te voldoen aan de doelstellingen van het cyberbeveiligingsprogramma van een organisatie en het Cyber Supply Chain Risk Management Plan.
Maatregel
Op basis van de resultaten van de risicobeoordeling van de cybertoeleveringsketen wordt een contractueel kader voor leveranciers en externe partners opgesteld om het delen van gevoelige informatie en gedistribueerde en onderling verbonden ICT/OT-producten en -diensten aan te pakken.
Richtlijn
Entiteiten die niet onder de wetgeving inzake netwerk• en informatiebeveiliging vallen, moeten alleen rekening houden met bedrijfskritische leveranciers en externe partijen.
Houd er rekening mee dat aan de GDPR-vereisten moet worden voldaan wanneer bedrijfsinformatie persoonlijke gegevens bevat (van toepassing op alle niveaus), d.w.z. dat beveiligingsmaatregelen in het contractuele kader moeten worden opgenomen.