De met de derde aanbieders van ICT-diensten gesloten contractuele overeenkomsten moeten de financiële entiteit voldoende toegangs-, inspectie- en auditrechten toekennen. Die rechten kunnen door eigen personeelsleden van de financiële entiteit of door derden (externe auditors) worden uitgeoefend.
Bij het uitoefenen van hun toegangs-, inspectie- en auditrechten ten aanzien van de derde aanbieder van ICT-diensten bepalen de financiële entiteiten op basis van een risicogebaseerde benadering vooraf de frequentie van de audits en inspecties alsook de te controleren gebieden, door algemeen aanvaarde auditnormen in acht te nemen en in overeenstemming met de instructies van de toezichthouder inzake het gebruik en de integratie van deze auditnormen.
Indien met derde aanbieders van ICT-diensten afgesloten contractuele overeenkomsten een hoog niveau van technische complexiteit inhouden, verifieert de financiële entiteit dat interne of externe auditors, of een pool van auditors, over passende vaardigheden en kennis beschikken om de desbetreffende audits en beoordelingen doeltreffend uit te voeren.