Un’entità finanziaria dovrebbe rimanere sempre responsabile del rispetto dei propri obblighi previsti dal presente regolamento. Le entità finanziarie dovrebbero svolgere il monitoraggio dei rischi emergenti a livello di fornitori terzi di servizi TIC secondo un approccio basato sulla proporzionalità, tenendo debitamente conto della natura, della portata, della complessità e della rilevanza delle loro dipendenza dai servizi TIC, della criticità o dell’importanza dei servizi, dei processi o delle funzioni oggetto degli accordi contrattuali e, in ultima analisi, sulla base di un’attenta valutazione di eventuali impatti sulla continuità e la qualità dei servizi finanziari a livello individuale e di gruppo, a seconda dei casi.