Contracten met leveranciers en externe partijen worden gebruikt om passende maatregelen te implementeren die ontwikkeld zijn om te voldoen aan de doelstellingen van het cyberbeveiligingsprogramma van een organisatie en het Cyber Supply Chain Risk Management Plan.
Maatregel
De organisatie dient contractuele vereisten op te stellen die de organisatie in staat stellen om de programma's voor "informatieveiligheid en cyberbeveiliging" te beoordelen die door leveranciers en externe partijen worden geïmplementeerd.