(43) Аналогично, от финансовите субекти, които се квалифицират като микропредприятия или за които се прилага опростената рамка за управление на риска в областта на ИКТ съгласно настоящия регламент, не следва да се изисква да определят функция за наблюдение на споразуменията им за използване на услуги в областта на ИКТ, сключени с трети страни доставчици на услуги в областта на ИКТ, нито да определят член на висшето ръководство, който да отговаря за упражняването на надзор върху свързаното с тези доставчици излагане на риск и съответната документация, нито да възлагат отговорността за управление и надзор на риска в областта на ИКТ на контролна функция и да гарантират подходящо равнище на независимост на тази контролна функция, за да се избегнат конфликти на интереси, нито да документират и преразглеждат поне веднъж годишно рамката за управление на риска в областта на ИКТ, нито да подлагат на периодичен вътрешен одит рамката за управление на риска в областта на ИКТ, нито да извършват обстойни оценки след съществени промени в инфраструктурата и процесите на своите мрежови и информационни системи, нито редовно да анализират риска при традиционните системи на ИКТ, нито да подлагат изпълнението на плановете за реакция и възстановяване на ИКТ на независими вътрешни одитни прегледи, нито да разполагат с функция за управление на кризи, да включат в тестването на непрекъснатостта на дейността и на плановете за реакция и възстановяване сценарии за преминаване от първичната инфраструктура на ИКТ към възпроизвеждащите я системи, нито да представят на компетентните органи, при поискване от тяхна страна, прогноза на съвкупните годишни разходи и загуби в резултат на съществени инциденти с ИКТ, нито да поддържат допълнителен капацитет в областта на ИКТ, нито да уведомяват националните компетентни органи за въведените промени в резултат на преглед на възникнали инциденти с ИКТ, нито постоянно да следят съответното технологично развитие, да създадат всеобхватна програма за тестване на оперативната устойчивост на цифровите технологии като неразделна част от рамката за управление на риска в областта на ИКТ, предвидена в настоящия регламент, или да приемат и подлагат на редовен преглед стратегия за риска в областта на ИКТ, пораждан от трета страна. Наред с това, от микропредприятията следва да се изисква само да оценяват необходимостта от поддържане на посочения допълнителен капацитет в областта на ИКТ въз основа на рисковия им профил. Микропредприятията следва да се ползват от по-гъвкав режим по отношение на програмите за тестване на оперативната устойчивост на цифровите технологии. Когато обмислят вида и честотата на тестванията, които трябва да бъдат осъществени, те следва да постигнат точен баланс между целта за поддържане на висока оперативна устойчивост на цифровите технологии, наличните ресурси и общия им рисков профил. Микропредприятията и финансовите субекти, които се подчиняват на опростената рамка за управление на риска в областта на ИКТ съгласно настоящия регламент, следва да бъдат освободени от изискването да извършват обстойно тестване на инструментите, системите и процесите на ИКТ чрез тестване за проникване (TLPT), тъй като само финансовите субекти, отговарящи на критериите, определени в настоящия регламент, следва да бъдат задължавани да извършват такова тестване. Предвид ограничените им възможности микропредприятията следва да могат да се договарят с третата страна доставчик на услуги в областта на ИКТ, че правата на достъп, проверка и одит на финансовия субект се делегират на независима трета страна, която се определя от третата страна доставчик на услуги в областта на ИКТ, при условие че финансовият субект може да поиска във всеки един момент от съответната независима трета страна цялата относима информация и гаранции относно резултатите от дейността на третата страна доставчик на услуги в областта на ИКТ.