Anche se il diritto dell’Unione in materia di servizi finanziari contiene talune norme generali in materia di esternalizzazione, il monitoraggio della dimensione contrattuale non è sempre saldamente radicato nel diritto dell’Unione. In assenza di norme dell’Unione che si applichino in maniera chiara e mirata alle disposizioni contrattuali stipulate con fornitori terzi di servizi TIC, la fonte esterna dei rischi informatici rimane una questione non adeguatamente affrontata. È pertanto necessario stabilire alcuni principi fondamentali che indirizzino la gestione, da parte delle entità finanziarie, dei rischi informatici derivanti da terzi, che sono di particolare importanza quando le entità finanziarie ricorrono a fornitori terzi di servizi TIC a supporto delle loro funzioni essenziali o importanti. Tali principi dovrebbero essere accompagnati da una serie di diritti contrattuali di base concernenti vari elementi dell’esecuzione e della risoluzione degli accordi contrattuali, al fine di fornire alcune garanzie minime per rafforzare la capacità delle entità finanziarie di monitorare efficacemente tutti i rischi informatici che insorgano a livello di fornitori di servizi terzi. Tali principi sono complementari alla normativa settoriale applicabile all’esternalizzazione.