A szervezet feladata, hogy a fejlesztésre, üzemeltetésre, karbantartásra, felhőszolgáltatásra vagy incidenskezelésre szerződő partnerekkel (közreműködőkkel) szemben világos biztonsági osztályt és felelősségmegosztást rögzítsen, és ennek teljesülését belső és külső ellenőrzésekkel is vizsgálja. A jogszabályi minimumon túl további, szerződésben kiköthető eszközök, jelentősen csökkenthetik a kritikus rendszerekre gyakorolt beszállítói kockázatot.