Nustatomi reikalavimai, susiję su kibernetinio saugumo rizika tiekimo grandinėse, nustatomi prioritetai ir integruojami į sutartis ir kitokio pobūdžio susitarimus su tiekėjais ir kitomis susijusiomis trečiosiomis šalimis

1. Nustatykite saugumo reikalavimus tiekėjams, produktams ir paslaugoms, atitinkančius jų kritiškumo lygį ir galimą poveikį, jei jie būtų pažeisti;
2. Į standartinę sutarčių kalbą įtraukite visus kibernetinio saugumo ir tiekimo grandinės reikalavimus, kurių privalo laikytis trečiosios šalys, ir kaip galima patikrinti šių reikalavimų laikymąsi;
3. Sutartyse apibrėžkite informacijos dalijimosi taisykles bei protokolus tarp organizacijos, jos tiekėjų ir antrinio lygio tiekėjų;
4. Valdykite riziką, įtraukdami saugumo reikalavimus į sutartis, atsižvelgdami į jų kritiškumą ir galimą poveikį, jei jie būtų pažeisti;
5. Apibrėžkite saugumo reikalavimus paslaugų lygio sutartyse (SLA), kad būtų galima stebėti tiekėjų priimtiną saugumo veiklą per visą tiekėjo santykių ciklą;
6. Sutartyje reikalaukite, kad tiekėjai atskleistų savo produktų ir paslaugų kibernetinio saugumo funkcijas, savybes ir pažeidžiamumus per visą produkto gyvavimo ciklą arba paslaugos teikimo laikotarpį;
7. Sutartyje reikalauti, kad tiekėjai pateiktų ir palaikytų aktualų kritinių produktų komponentų inventorių (pvz., programinės ar aparatinės įrangos medžiagų sąrašą);
8. Sutartyje reikalaukite, kad tiekėjai tikrintų savo darbuotojus ir apsisaugotų nuo vidinių grėsmių;
9. Sutartyje reikalaukite, kad tiekėjai pateiktų priimtinos saugumo praktikos vykdymo įrodymus, pavyzdžiui, savęs patvirtinimo, atitikties žinomiems standartams, sertifikavimo ar patikrinimo būdu;
10. Sutartyse ir kituose susitarimuose nurodykite organizacijos, jos tiekėjų ir jų tiekimo grandinių teises bei atsakomybes, susijusias su galimomis kibernetinio saugumo rizikomis.