Virksomheder skal have procedurer for forsyningskædesikkerhed i leverandørforhold, så virksomheden træffer passende og forholdsmæssige foranstaltninger i forhold til produkter og tjenester, som virksomheden anvender i leveringen af sine tjenester. Procedurerne skal indeholde:
-
1) Metoder til at identificere, vurdere og håndtere risici, der er specifikke for hver direkte leverandør og tjenesteudbyder i forsyningskæden, herunder risici forbundet med afhængigheder af underleverandører og internationale forhold i en aftale med en direkte leverandør og tjenesteudbyder.
-
2) Metoder til at vurdere modstandsdygtigheden af leverede produkter og tjenester, herunder den generelle kvalitet af eventuelt integrerede foranstaltninger til at styre risici i net- og informationssystemer.