Considérant 90

(90)

Afin de mieux répondre aux risques principaux liés aux chaînes d’approvisionnement et d’aider les entités essentielles et importantes actives dans les secteurs couverts par la présente directive à bien gérer les risques liés aux chaînes d’approvisionnement et aux fournisseurs, le groupe de coopération devrait, en collaboration avec la Commission et l’ENISA et, s’il y a lieu, en consultation avec les parties prenantes concernées, y compris celles du secteur, réaliser des évaluations coordonnées des risques pour la sécurité liés aux chaînes d’approvisionnement critiques, comme cela a été le cas pour les réseaux 5G suite à la recommandation (UE) 2019/534 de la Commission (19), dans le but de déterminer, secteur par secteur, les services TIC, systèmes TIC ou produits TIC critiques, et les menaces et vulnérabilités pertinentes. Ces évaluations coordonnées des risques pour la sécurité devraient recenser les mesures, les plans d’atténuation et les meilleures pratiques contre les dépendances critiques, les éventuels points uniques de défaillance, les menaces, les vulnérabilités et d’autres risques associés à la chaîne d’approvisionnement et devraient étudier les moyens d’encourager leur adoption plus large par les entités essentielles et importantes. Les éventuels facteurs de risque non techniques, tels que l’influence injustifiée d’un pays tiers sur des fournisseurs et prestataires de services, en particulier dans le cas d’autres modèles de gouvernance, peuvent être des vulnérabilités cachées ou des portes dérobées ou encore d’éventuelles ruptures d’approvisionnement systémiques, en particulier en cas de verrouillage technologique ou de dépendance à l’égard de fournisseurs.