Recital 90

Om de belangrijkste risico’s van de toeleveringsketen verder aan te pakken en essentiële en belangrijke entiteiten die actief zijn in onder deze richtlijn vallende sectoren te helpen om de risico’s van de toeleveringsketen en de leveranciers op passende wijze te beheren, moet de samenwerkingsgroep, in samenwerking met de Commissie en Enisa, en in voorkomend geval na raadpleging van de relevante belanghebbenden, onder meer uit het bedrijfsleven, gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens uitvoeren, zoals die welke worden uitgevoerd voor 5G-netwerken naar aanleiding van Aanbeveling (EU) 2019/534 van de Commissie(19), met als doel per sector de kritieke ICT-diensten, ICT-systemen of ICT-producten, relevante bedreigingen en kwetsbaarheden vast te stellen. Bij dergelijke gecoördineerde beveiligingsrisicobeoordelingen moeten maatregelen, mitigatieplannen en beste praktijken worden vastgesteld om kritieke afhankelijkheden, mogelijke zwakke punten, bedreigingen, kwetsbaarheden en andere risico’s in verband met de toeleveringsketen tegen te gaan, en moet worden nagegaan hoe de bredere toepassing ervan door essentiële en belangrijke entiteiten verder kan worden bevorderd. Mogelijke niet-technische risicofactoren, zoals ongepaste beïnvloeding van leveranciers en dienstverleners door een derde land, met name in het geval van alternatieve governancemodellen, omvatten verborgen kwetsbaarheden of “backdoors” en mogelijke systemische verstoringen van de toelevering, met name in het geval van technologische lock-ins of afhankelijkheid van leveranciers.