Poiché le entità finanziarie di maggiori dimensioni potrebbero disporre di maggiori risorse e possono destinare rapidamente fondi allo sviluppo di strutture di governance e all’elaborazione di varie strategie aziendali, è opportuno imporre l’introduzione di meccanismi di governance più complessi solo alle entità finanziarie che non sono microimprese ai sensi del presente regolamento. Tali entità sono meglio attrezzate, in particolare per istituire funzioni aziendali per la supervisione degli accordi con i fornitori terzi di servizi TIC o per affrontare la gestione delle crisi, per organizzare la loro gestione dei rischi informatici secondo il modello delle tre linee di difesa o ancora per stabilire un modello interno di controllo e gestione del rischio e sottoporre ad audit interni il proprio quadro per la gestione dei rischi informatici.