Indipendentemente dall’essenzialità o dall’importanza della funzione supportata dai servizi TIC, gli accordi contrattuali dovrebbero, in particolare, contenere le descrizioni complete di funzioni e servizi, l’indicazione delle località in cui si esercitano tali funzioni e deve aver luogo il trattamento dei dati nonché le descrizioni dei livelli di servizio. Altri elementi essenziali per consentire il monitoraggio, da parte di un’entità finanziaria, dei rischi informatici derivanti da terzi sono: disposizioni contrattuali che specificano in che modo il fornitore terzo di servizi TIC garantisce l’accessibilità, la disponibilità, l’integrità, la sicurezza e la protezione dei dati personali; disposizioni che stabiliscono le pertinenti garanzie per consentire l’accesso, il ripristino e la restituzione dei dati in caso di insolvenza, risoluzione o cessazione dell’operatività del fornitore terzo di servizi TIC, nonché disposizioni che impongono al fornitore terzo di servizi TIC di prestare assistenza in caso di incidenti connessi alle TIC in relazione ai servizi forniti, senza costi supplementari oppure a un costo stabilito ex ante; disposizioni sull’obbligo per il fornitore terzo di servizi TIC di cooperare senza riserve con le autorità competenti e con le autorità di risoluzione dell’entità finanziaria; e disposizioni sui diritti di risoluzione e sui relativi termini minimi di preavviso per la risoluzione degli accordi contrattuali, conformemente alle attese delle autorità competenti e delle autorità di risoluzione.