Recital 85

Het aanpakken van risico’s die voortvloeien uit de toeleveringsketen van een entiteit en uit haar relatie met haar leveranciers, zoals leveranciers van diensten op het gebied van gegevensopslag en -verwerking of leveranciers van beheerde beveiligingsdiensten en softwareredacteuren, is bijzonder belangrijk gezien de prevalentie van incidenten waarbij entiteiten het slachtoffer zijn geweest van cyberaanvallen en waarbij kwaadwillende daders de beveiliging van de netwerk- en informatiesystemen van een entiteit in gevaar hebben kunnen brengen door gebruik te maken van kwetsbaarheden die van invloed zijn op producten en diensten van derden. Essentiële en belangrijke entiteiten moeten daarom de algemene kwaliteit en weerbaarheid van de producten en diensten, de daarin vervatte maatregelen voor het beheer van cyberbeveiligingsrisico’s, en de cyberbeveiligingspraktijken van hun leveranciers en dienstverleners beoordelen en er rekening mee houden, met inbegrip van hun veilige ontwikkelingsprocedures. Essentiële en belangrijke entiteiten moeten met name worden aangespoord om maatregelen voor het beheer van cyberbeveiligingsrisico’s op te nemen in de contractuele regelingen met hun directe leveranciers en dienstverleners. Die entiteiten kunnen ook risico’s in aanmerking nemen die voortvloeien uit de activiteiten van leveranciers en dienstverleners op een ander niveau.