I dagens digitaliserte samfunn vil bortfall av IKT-tjenester som oftest påvirke hele eller store deler av virksomheten. Settes virksomhetskritiske tjenester ut til en tredjepart, kan det øke risikoen for både tilsiktede og utilsiktede hendelser som for eksempel bortfall av tjeneste eller tap/endring av data. 

Beslutningen om tjenesteutsetting bør ikke utelukkende tas av virksomhetens IKT-miljø alene. Valg av leverandørmodell og tjenesteutsetting av IKT-tjenester er en viktig strategisk del av virksomhetsstyringen. Virksomhetens leder bør sørge for en godt forankret prosess for alle berørte parter i virksomheten. Når en beslutning om tjenesteutsetting tas, bør den baseres på risikovurderinger som beskriver tjenesteutsettingens påvirkning på hele virksomheten, herunder leveranseevne, IKT-portefølje, økonomi og behov for kompetanse. 

NSM anbefaler at avtaler om tjenesteutsetting av IKT-tjenester og endringer i slike avtaler skal behandles av øverste ledelse.

I mange tilfeller vil dette være styret i en virksomhet. Styret skal forelegges planer for tjenesteutsettingen, med risikovurdering. Dersom tjenesteutsettingen påvirker virksomhetskritiske leveranser, anbefaler NSM at private virksomheter behandler og vedtar tjenesteutsettingen i styret, eller for offentlige virksomheter; at beslutningen om tjenesteutsetting godkjennes av overordnet fagdepartement.