a) Avtalen må sikre at leverandøren følger Normens krav, jf. pkt. 5.8 i Normen kap 5.7 om leverandørforhold og avtaler.
b) Avtalen med leverandøren skal omfatte og regulere aktuelle sikkerhetskrav.
c) Krav til testing av leveransen skal avtalefestes.
d) Rett til å gjennomføre IKT-revisjon av leverandøren skal avtalefestes.
e) Avtalen skal sikre at leverandøren leverer sikkerhetsdokumentasjon og yter rask og nødvendig support i oppstartsfasen.
f) Ved testing med bruk av reelle data skal Normen følges som om systemet var i ordinær drift. Dette innebærer blant annet:
- Det må etableres avtale med databehandler.
- Avtaler med andre eksterne (leverandører, utviklere, etc) må regulere sikkerhetsforholdene rundt prosjektet.
- Taushetsplikten må ivaretas av alle parter i prosjektet.
- Bruk av testdata jf. Testing og testdata (faktaark 43)
