Per far fronte alla complessità delle varie fonti di rischi informatici, tenendo conto nel contempo della molteplicità e della diversità dei fornitori di soluzioni tecnologiche che consentono un’agevole fornitura di servizi finanziari, il presente regolamento dovrebbe applicarsi a un’ampia gamma di fornitori terzi di servizi TIC, compresi i fornitori di servizi di cloud computing, software, servizi di analisi dei dati e i fornitori di servizi di centri di elaborazione dati. Analogamente, poiché le entità finanziarie dovrebbero individuare e gestire in modo efficace e coerente tutti i tipi di rischio, anche nel contesto dei servizi TIC acquisiti all’interno di un gruppo finanziario, è opportuno chiarire che le imprese appartenenti a un gruppo finanziario e che forniscono servizi TIC prevalentemente alla loro impresa madre o a imprese figlie o succursali della loro impresa madre, nonché le entità finanziarie che forniscono servizi TIC ad altre entità finanziarie, dovrebbero essere considerate anch’esse fornitori terzi di servizi TIC ai sensi del presente regolamento. Infine, alla luce dell’evoluzione del mercato dei servizi di pagamento, sempre più dipendente da soluzioni tecniche complesse, e in vista delle tipologie emergenti di servizi di pagamento e di soluzioni connesse ai pagamenti, anche i partecipanti all’ecosistema dei servizi di pagamento, che prestano attività di trattamento dei pagamenti o gestiscono infrastrutture di pagamento, dovrebbero essere considerati fornitori terzi di servizi TIC ai sensi del presente regolamento, ad eccezione delle banche centrali quando gestiscono sistemi di pagamento o di regolamento titoli e delle autorità pubbliche quando forniscono servizi connessi alle TIC nel contesto dell’espletamento di funzioni di Stato.