Dal momento che solo le entità finanziarie identificate ai fini dei test avanzati di resilienza digitale dovrebbero essere tenute a svolgere test di penetrazione basati su minacce, i processi amministrativi e i costi finanziari derivanti dallo svolgimento di tali test dovrebbero gravare soltanto su una piccola percentuale delle entità finanziarie.