Myndigheden skal redegøre for kontraktuelle forhold i de tilfælde, hvor myndigheden har outsourcet arbejdet med it-systemet, for eksempel drift eller vedligehold.
Myndigheden skal angive, om kontrakter vedrørende it-systemet kan genudbydes. Dette kan eksempelvis bygge på vurderinger af, om dokumentationen og systemets tekniske tilstand gør det realistisk at kunne flytte systemet til en ny leverandør.
Kontrakter skal styres løbende for at reducere risici, optimere samarbejdsrelationer med leverandører, håndtere aftaleforhold og sikre, at lovgivning i forhold til udbud overholdes. Derfor er der i denne dimension også et spørgsmål på myndighedsniveau, hvor myndigheden vurderer sin generelle leverandørstyring.
For de dybdekortlagte it-systemer skal leverandørnavne angives, lige som myndigheden skal besvare, om de efterlever ”Katalog over kontraktbestemmelser for samfundskritiske it-systemer” (et resultat af den Nationale Strategi for Cyber- og Informationssikkerhed 2018-2021).