Recital 91

Bij de gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens moet er, in het licht van de kenmerken van de betrokken sector, rekening worden gehouden met zowel technische als, in voorkomend geval, niet-technische factoren, met inbegrip van die welke zijn gedefinieerd in Aanbeveling (EU) 2019/534, in de gecoördineerde risicobeoordeling van de cyberbeveiliging van 5G-netwerken in de EU en in het EU-instrumentarium voor 5G-cyberbeveiliging dat door de samenwerkingsgroep is overeengekomen. Om te bepalen welke toeleveringsketens aan een gecoördineerde beveiligingsrisicobeoordeling moeten worden onderworpen, moet rekening worden gehouden met de volgende criteria: i) de mate waarin essentiële en belangrijke entiteiten gebruikmaken van en vertrouwen op specifieke kritieke ICT-diensten, ICT-systemen of ICT-producten; ii) de relevantie van specifieke kritieke ICT-diensten, ICT-systemen of ICT-producten voor het uitvoeren van kritieke of gevoelige functies, met inbegrip van de verwerking van persoonsgegevens; iii) de beschikbaarheid van alternatieve ICT-diensten, ICT-systemen of ICT-producten; iv) de weerbaarheid van de gehele toeleveringsketen van ICT-diensten, ICT-systemen of ICT-producten tegen verstorende gebeurtenissen gedurende hun hele levenscyclus; en v) voor opkomende ICT-diensten, ICT-systemen of ICT-producten, hun potentiële toekomstige betekenis voor de activiteiten van de entiteiten. Voorts moet bijzondere nadruk worden gelegd op ICT-diensten, ICT-systemen of ICT-producten waarvoor specifieke eisen gelden die voortvloeien uit regelgeving van derde landen.