Les entreprises assujetties s'assurent, dans leurs relations avec leurs prestataires externes, que ces derniers :
a) S'engagent sur un niveau de qualité répondant à un fonctionnement normal du service et, en cas d'incident, conduisant à recourir aux mécanismes de secours mentionnés au c ;
b) Assurent la protection des informations confidentielles ayant trait à l'entreprise assujettie et à ses clients ;
c) Mettent en œuvre des mécanismes de secours en cas de difficulté grave affectant la continuité du service. A défaut, les entreprises assujetties s'assurent que leur plan d'urgence et de poursuite d'activité tient compte de l'impossibilité pour le prestataire externe d'assurer sa prestation ;
d) Ne peuvent imposer une modification substantielle de la prestation qu'ils assurent sans l'accord préalable de l'entreprise assujettie ;
e) Se conforment aux procédures définies par l'entreprise assujettie concernant l'organisation et la mise en œuvre du contrôle des services qu'ils fournissent ;
f) Leur permettent, chaque fois que cela est nécessaire, l'accès, le cas échéant, sur place, à toute information sur les services mis à leur disposition, dans le respect des réglementations relatives à la communication d'informations ;
g) Les informent de tout événement susceptible d'avoir un impact sensible sur leur capacité à exercer les tâches externalisées de manière efficace et conforme à la législation en vigueur et aux exigences réglementaires ;
h) Acceptent que l'Autorité de contrôle prudentiel et de résolution ou toute autre autorité étrangère équivalente au sens des articles L. 632-7, L. 632-12 et L. 632-13 du code monétaire et financier ait accès aux informations sur les activités externalisées nécessaires à l'exercice de sa mission, y compris sur place.