Regulation No. 49/2022 on Outsourcing

Official Gazette n° Special of 17/06/2022 249 AMABWIRIZA RUSANGE N° 49/2022 YO KU WA 02/06/2022 AGENGA KWIFASHISHA UNDI MUNTU MU MIRIMO UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere:Icyo aya mabwiriza rusange agamije Ingingo ya 2: Ibisobanuro by’amagambo Ingingo ya 3: Inzego z’imirimo cyangwa imirimo bidashobora gukoreshwa undi muntu UMUTWE WA II: IBISABWA BYEREKEYE UBUGENZUZI Ingingo ya 4: Ibigomba kubahirizwa mbere yo gukoresha undi muntu imirimo Ingingo ya 5: Inshingano z’inama y’ubutegetsi n’iz’ubuyobozi bukuru Ingingo ya 6: Gukoresha undi muntu ibikorwa by’igenzi REGULATION N° 49/2022 OF 02/06/2022 ON OUTSOURCING CHAPTER ONE: GENERAL PROVISIONS Article One: Purpose Article 2: Definition of terms Article 3: Functions or activities that cannot be outsourced CHAPTER II: REGULATORY REQUIREMENTS Article 4: Pre- outsourcing conditions Article 5: Responsibility of the Board and Senior Management Article 6: Outsourcing of material activities RÈGLEMENT Nº 49/2022 DU 02/06/2022 RÉGISSANT L’EXTERNALISATION CHAPITRE PREMIER: DISPOSITIONS GÉNÉRALES Article premier: Objet Article 2: Définition des termes Article 3: Fonctions ou activités qui ne peuvent pas être externalisées CHAPITRE II: EXIGENCES RÉGLEMENTAIRES Article 4: Les préconditions de l’externalisation Article 5: Responsabilité du Conseil d’administration et de la direction générale Article 6: L’externalisation des activités principales

Official Gazette n° Special of 17/06/2022 250 Ingingo ya 7: Imicungire y’ibyateza ikigo ingorane biturutse ku kwifashisha undi muntu mu mirimo yacyo Ingingo ya 8: Isuzuma ry’abatanga serivisi Ingingo ya 9: Amasezerano yo kwifashisha undi muntu mu gukora imirimo Ingingo ya 10: Amasezerano y’urwego rwa serivisi n’ibipimo by’imikorere Ingingo ya 11: Igongana ry'inyungu Ingingo ya 12: Ingamba zerekeye uko gusohoka mu masezereano bikorwa Article 13: Uburyo bw’igenzura bushyirwaho n’tanga serivisi Ingingo ya 14: Kugira ibanga n’umutekano w’amakuru atagenewe ruban Article 7: Outsourcing risk management Article 8: Due diligence and assessment of service providers Article 9: Outsourcing agreement Article 10: Service Level Agreements and performance metrics Article 11: Conflict of interest Article 12: Exit strategy Article 13: Control environment offered by the service provider Article 14: Confidentiality and security of non-public data Article 7: Gestion des risques de l’externalisation Article 8: Évaluation des prestataires de services Article 9: Accord de l’externalisation Article 10: Accords sur le niveau de service et paramètres de performance Article 11: Conflit d'intérêts Article 12: Stratégie de sortie Article 13: Environnement de contrôle offert par le prestataire de services Article 14: Confidentialité et sécurité d’ informations non publiques Ingingo ya 15: Imicungire y’ikomeza ry’imirimo Ingingo ya 16: Gukurikirana no kugenzura amasezerano yo kwifashisha undi muntu mu gukora imirimo Article 15: Business Continuity Management Article 16: Monitoring and control of outsourcing arrangements Article 15: Gestion de la continuité des activités Article 16: Suivi et contrôle des accords de l’externalisation

Official Gazette n° Special of 17/06/2022 251 Ingingo ya 17: Ubugenzuzi n’igenzura Ingingo ya 18: Kwifashisha undi muntu mu gukora imirimo hanze y’u Rwanda Ingingo ya 19: Kwifashisha undi muntu mu gukora imirimo uri mu itsinda ry’amasosiyete rimwe na ikigo kigenzurwa Ingingo ya 20: Ikoranabuhanga ryo gukoresha amakuru abitse mu buryo bw’iyakure UMUTWE WA III : IBISABWA MU GUKORESHA UNDI MUNTU IBIKORWA BY’INGENZI Ingingo ya 21: Gusaba uburenganzira bwo kwifashisha undi muntu mu gukora ibikorwa by’ingenzi Ingingo ya 22: Iyemezwa ryo kwifashisha undi muntu mu gukora ibikorwa by’ingenzi Ingingo ya 23: Icyemezo cy’Urwego rw’ubugenzuz Article 17: Audit and Inspection Article 18: Outsourcing outside Rwanda Article 19: Outsourcing within a Group Article 20: Cloud Computing CHAPTER III: REQUIREMENTS FOR OUTSOURCING MATERIAL ACTIVITIES Article 21: Application to outsource material activities Article 22: Approval for outsourcing of material activities Article 23: Supervisory Authority’s decision Article 17: Audit et inspection Article 18: L’externalisation en dehors du Rwanda Article 19: L’externalisation au sein d'un groupe Article 20: Informatique en nuage CHAPITRE III : EXIGENCES RELATIVES A L’EXTERNALISATION DES ACTIVITÉS PRINCIPALES Article 21: Demande pour l’externalisation des activités principales Article 22: Approbation d’externalisation des activités principales Article 23: Décision de l’Autorité de contrôle

Official Gazette n° Special of 17/06/2022 252 UMUTWE WA IV: INGINGO ZINYURANYE N’IZISOZA Ingingo ya 24: Uruhare rwa Urwego rw’Ubugenzuzi mu masezerano yo kwifashisha undi muntu mu gukora imirimo Ingingo ya 25: Ingero zerekeye gukoresha imirimo y’ikigo undi muntu Ingingo ya 26: Iyubahirizwa ry’ibisabwa Ingingo ya 27: Ikoreshwa ry’ayandi mategko Ingingo ya 28: Ibihano n’ibyemezo byo mu rwego rw’ ubutegetsi Ingingo ya 29: Ingingo z’inzibacyuho Ingingo ya 30: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Ingingo ya 31: Itegurwa, isuzumwa n’iyemezwa ry’aya mabwiriza rusange Ingingo ya 32: Igihe aya mabwiriza rusange atangirira gukurikizwa CHAPTER IV: MISCELLANEOUS AND FINAL PROVISIONS Article 24: Involvement of Supervisory Authority in outsourcing arrangements Article 25: Examples of outsourcing arrangements Article 26: Compliance landscape Article 27: Application of other laws Article 28: Penalties and administrative sanctions Article 29: Transitional provisions Article 30: Repealing provisions Article 31: Drafting, consideration and approval of this regulation Article 32: Commencement CHAPITRE IV: DISPOSITIONS DIVERSES ET FINALES Article 24: Implication de l’Autorité de Contrôle dans les contrats d’externalisation Article 25: Exemples de modalités d'externalisation Article 26: Conformité Article 27: Application d'autres lois Article 28: Pénalités et sanctions administratives Article 29: Dispositions transitoires Article 30: Disposition abrogatoire Article 31: Initiation, examen et approbation du présent règlement Article 32: Entrée en vigueur

Official Gazette n° Special of 17/06/2022 253 AMABWIRIZA RUSANGE N° 49/2022 YO KU WA 02/06/2022 AGENGA KWIFASHISHA UNDI MUNTU MU MIRIMO Ishingiye ku Itegeko N° 48/2017 ryo ku wa 23/09/2017 rigenga Urwego rw’Ubugenzuziy’u Rwanda nk’uko ryavuguruwe kugeza ubu, cyane cyane mu ngingo zaryo, iya 6 , iya 8, iya 9, iya 10 n’iya 15; Ishingiye ku Itegeko N° 47/2017 ryo ku wa 23/09/2017 rigena imitunganyirize y’imirimo y’amabanki, cyane cyane mu ngingo zaryo, iya 37 n’iya 117; Ishingiye ku Itegeko N° 030/2021 ryo ku wa 30/06/2021 rigenga imitunganyirize y’umurimo w’ubwishingizi cyane cyane mu ngingo yaryo ya 82; Ishingiye ku Itegeko N° 072/2021 ryo ku wa 05/11/2021 rigenga ibigo by’imari iciriritse byakira amafaranga abitswa, cyane cyane mu ngingo zaryo, iya 23 iya 24 n’iya 102; Ishingiye ku Itegeko N° 061/2021 ryo ku wa 14/10/2021 rigenga uburyo bwo kwishyurana, cyane cyane mu ngingo yaryo ya 30 ; REGULATION N° 49/2022 OF 02/06/2022 ON OUTSOURCING Pursuant to Law N° 48/2017 of 23/09/2017 governing the National Bank of Rwanda as amended to date, especially in its articles 6, 8, 9, 10 and 15; Pursuant to Law N° 47/2017 of 23/09/2017 governing the organization of banking, especially in its Articles 37 and 117; Pursuant to Law N° 030/2021 of 30/06/2021 governing the organisation of insurance business, especially in its article 82; Pursuant to Law N° 072/2021 of 05/11/2021 governing deposit-taking microfinance institutions, especially in its articles 23, 24 and 102; Pursuant to Law N° 061/2021 of 14/10/2021 governing the payment system, especially in its article 30; RÈGLEMENT 49/2022 DU 02/06/2022 RÉGISSANT L’EXTERNALISATION Vu la Loi N° 48/2017 du 23/09/2017 régissant la Banque Nationale du Rwanda telle que modifiée à ce jour, spécialement en ses articles 6, 8, 9 10 et 15; Vu la Loi N° 47/2017 du 23/09/2017 portant organisation de l’activité bancaire, spécialement en ses articles 37 et 117 ; Vu la Loi N° 030/2021 du 30/06/2021 régissant l’organisation d’activité d’assurance, spécialement 82 ; Vu Loi N° 072/2021 du 05/11/2021 régissant les institutions de microfinance de dépôt, spécialement en ses articles 23,24 et 102 ; Vu la Loi N° 061/2021 du 14/10/2021 régissant le système de paiement, spécialement en son article 30 ;

Official Gazette n° Special of 17/06/2022 254 Ishingiye ku Itegeko Nº 73/2018 ryo ku wa 31/08/2018 rigena uburyo bw’ihererekanyamakuru ku myenda cyane cyane mu ngingo iya 9, iya 13 n’iya 23; Ishingiye ku Itegeko N° 05/2015 ryo ku wa 30/03/2015 rigenga imitunganyirize y’ubwiteganyirize bwa pansiyo cyane cyane mu ngingo yaryo ya 3; Isubiye ku Mabwiriza Rusange N° 03/2018 yo ku wa 24/01/2018 agenga uburyo banki zifashisha undi muntu; Banki Nkuru y’u Rwanda, mu ngingo zikurikira yitwa « Urwego rw’Ubugenzuzi », ishyizeho amabwiriza rusange akurikira: UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere: Icyo aya mabwiriza rusange agamije Aya amabwiriza rusange agamije gushyiraho ibipimo by’ibanze ibigo bigenzurwa bigomba kubahiriza igihe gikoresha undi muntu ibikorwa byabyoby’ingenzi. Pursuant to Law Nº 73/2018 of 31/08/2018 governing credit reporting system, especially in its articles 9, 13 and 23; Pursuant to Law N° 05/2015 of 30/03/2015 governing the Organization of Pension Schemes, especially in its article 3; Having reviewed Regulation N° 03/2018 of 24/01/2018 on outsourcing; The National Bank of Rwanda hereinafter referred to as « Supervisory Authority Supervisory Authority »issues the following regulation: CHAPTER ONE: GENERAL PROVISIONS Article One: Purpose This regulation aims at establishing minimum prudent standards for regulated institutions that outsource their material activities to an external service provider. Vu la Loi Nº 73/2018 du 31/08/2018 régissant le système d’information sur les crédits, spécialement en ses articles 9,13 et 23 ; Vu la Loi N° 05/2015 du 30/03/2015 régissant l'organisation des régimes de pensions spécialement en son article 3 ; Revu le Règlement N° 03/2018 du 24/01/2018 régissant l’externalisation ; La Banque Nationale du Rwanda, ci-après dénommée «l’Autorité de contrôle», édicte le présent règlement : CHAPITRE PREMIER: DISPOSITIONS GÉNÉRALES Article premier: Objet Le présent règlement vise à fixer les normes minimales prudentes pour les institutions réglementées qui externalise leurs activités principales auprès d'un prestataire de services.

Official Gazette n° Special of 17/06/2022 255 Ingingo ya 2: Ibisobanuro by’amagambo Muri aya amabwiriza rusange amagambo akurikira asobanura: 1° ikigo kigenzurwa: ikigo kigenzurwa n’Urwego rw’ubugenzuzi; 2° kwifashisha undi muntu mu mirimo: guha akazi utanga serivisi wo hanze y’ikigo kigenzurwa kugira ngo akore ibikorwa cyangwa imirimo ijyanye na serivisi z’imaricyangwa indi mirimo ikigo kigenzurwa ubwacyo cyakagombye kuba cyikorera; 3° ibikorwa by’ingenzi: ni igikorwa cyangwa urwego rw’murimo: a. iyo bihungabanye, bishobora guteza ingaruka zigaragara ku mari shingiro, umutungo mvunjwafaranga , ibikorwa by’ubucuruzi, isura cyangwa se inyungu by’ikigo kigenzurwa; b. bijyanye n’amakuru atagenewe rubanda byatuma igihe haba hagize uyabona atabyemerewe cyangwa atangajwe, atakaye Article 2: Definition of terms In this regulation, the following terms mean: 1° regulated institution: any institution regulated and supervised by the Supervisory authority; 2° outsourcing: the engagement of a service provider from outside the regulated institution to carry out activities or processes related to the execution of financial services or other typical services that would otherwise be performed by the regulated institution itself; 3° material activities: those activities or functions which: a. if disturbed, may significantly affect the capital , liquidity , business operations, reputation or profitability of the regulated institution ; b. involves non-public data and, in the event of any unauthorized access or disclosure, loss or theft, may have a Article 2: Définition des termes Dans le présent règlement, les termes suivants signifient: 1° institution réglementée: toute institution règlementée et supervisée par l’Autorité de contrôle ; 2° externalisation: engagement d'un prestataire de services en dehors de l’institution réglementée pour mener des activités ou des processus liés à l'exécution de services financiers ou d'autres services typiques qui seraient autrement effectués par l’institution réglementée elle-même ; 3° activités principales: activités ou fonctions qui: a. si elle est perturbée, peut affecter de manière significative le capital minimal, liquidité, les opérations commerciales, la réputation ou la rentabilité d’une institution réglementée ; b. qui implique informations non publiques dont accès non autorisé ou divulgation, perte ou vol, peut causer

Official Gazette n° Special of 17/06/2022 256 cyangwa yibwe byagira ingaruka zikomeye ku baguzi b’ikigo kigenzurwa; 4° gukoresha undi muntu ibikorwa by’igenzi: gukoresha utari umukozi w’ikigo igikorwa cy’ingenzi; 5° utanga serivisi: umuntu ukorera ikigo kigenzurwa ibikorwa mu izina ryayo hakubiyemo abari mu itsinda rimwe n’ikigo kigenzurwa, amasosiyete afitanye isano n’ikigo kigenzurwayaba ari mu Rwanda cyangwa hanze yarwo; 6° kwifashisha undi muntu mu mirimo nawe akifashisha abandi: iyo utanga serivisi hakurikijwe amasezerano nawe akoresheje uwo murimo undi utanga serivisi; 7° serivisi zerekeye amakuru abitse mu buryo bw’iyakure: serivisi zitangwa hakoreshejwe ikoranabuhanga ryo gukoresha amakuru abitse mu buryo bw’iya kure akabera ikitegererezo mu kubika amakuru mu buryo butagira umupaka, bubereye ubukoresha, butuma umuntu abukoresha igihe bibaye ngombwa mu buryo bwa material impact on customers of a regulated institution; 4° material outsourcing: an outsourcing arrangement of a material activity; 5° service provider: a person that is undertaking the outsourced activity on behalf of the regulated institution and includes a member of the group to which the regulated institution belongs, related company whether located in Rwanda or outside; 6° sub-outsourcing: a situation where a service provider under an outsourcing arrangement further transfers an outsourced function to another service provider; 7° cloud services: services provided using cloud computing, that is, a model for enabling universal, convenient, on-demand network access to a shared pool of configurable computing resources (e.g. networks, servers, storage, applications and services) that can be rapidly provisioned and released with des conséquences materialles sur les clients d’une institution réglementée; 4° externalisation matérielle: arrangement de l’externalisation portant sur une activité principale; 5° prestataire de services: une personne qui exerce l'activité d’externalisée pour le compte de l’institution réglementée et qui comprend un membre du groupe auquel appartient une institution réglementée, société liée, qu'elle soit située au Rwanda ou à l'étranger. 6° sous-externalisation: situation dans laquelle un prestataire de services sous contrat d'externalisation transfère en outre une fonction externalisée à un autre prestataire de services; 7° services d'informatique en nuage: services fournis à l'aide d'informatique en nuage, c'est-à-dire un modèle permettant un accès réseau universel, pratique et à la demande à un pool partagé de ressources informatiques configurables (par exemple, réseaux, serveurs, stockage, applications et services) pouvant être rapidement approvisionné et relâché avec un effort

Official Gazette n° Special of 17/06/2022 257 mudasobwa busangiwe (urugero, umuyoboro, aho kubika amakuru, ububiko, apulikasiyo na serivisi) bishobora gutangwa cyangwa kurekurwa bigatuma habaho igikenewe kandi bigatwara imbaraga nkeya mu kubucunga cyangwa mu gukorana n’utanga serivisi; 8° amakuru atagenewe rubanda: amakuru yose atarashyizwe ahagaragara: a. yerekeye serivisi z’imari cyangwa ibarurishamibare rizerekeye; b. amakuru yerekeye umuntu ku giti cye nk’uko asobanurwa n’amategeko yihariye. Ingingo ya 3: Inzego z’imirimo cyangwa imirimo bidashobora gukoreshwa undi muntu Ikigo kigenzurwa ntigishobora gukoresha undi muntu mu gutanga serivisi z’imari Urwego rw’Ubugenzuzi rwagihereye uruhushya rwo gukora. minimal management effort or service provider interaction; 8° non-public data: all data that are not publicly available that are: a. related to product and services of a regulated institution or related statistics; b. personal data as defined by specific laws. Article 3: Functions or activities that cannot be outsourced A regulated institution shall not outsource the activities of providing financial services for which it obtained the license from the Supervisory authority. minimal de gestion ou une interaction avec le prestataire de services; 8° informations non publiques: toutes les données non accessibles au public qui sont: a. liées aux produits et services d'une institution réglementée ou aux statistiques connexes; b. données personnelles relative à un individus telles que définies par des lois spécifiques. Article 3: Fonctions ou activités qui ne peuvent pas être externalisées Une institution réglementée ne peut externaliser les activités de provisions des services financiers pour lesquels elle a été octroyé l’agrément par l’Autorité de contrôle.

Official Gazette n° Special of 17/06/2022 258 Gukoresha undi muntu mu mirimo ntibigomba gutuma inama y’ubutegetsi ndetse n’ubuyobozi bukuru byikuraho inshingano. Ikigo kigenzurwa ntigishobora gukoresha undi muntu inzego z’imirimo y’ubuyobozi z’ingenzi irimo: 1° igenamigambi ry’ikigo; 2° imitunganyirize y’imiterere y’ikigo; 3° ubuyobozi bw’ikigo; 4° n’inzego z’imirimo zifata ibyemezo nk’urushinzwe kureba uko amategeko yubahirizwa. UMUTWE WA II: IBISABWA BYEREKEYE UBUGENZUZI Ingingo ya 4: Ibigomba kubahirizwa mbere yo gukoresha undi muntu imirimo Ikigo kigenzurwa kigomba kubanza kumenya neza niba gukoresha undi muntu imirimo bitazahungabanya: 1° uburyo bw’imikorere busanzwe bukoreshwa, urugero, guha serivisi abaguzi n’abagenerwabikorwa Outsourcing must not lead to the delegation of responsibility of the board of directors and senior management. A regulated institution shall not outsource core management functions including: 1° corporate planning; 2° organization; 3° management and 4° decision making functions like determination of compliance with applicable laws. CHAPTER II: REGULATORY REQUIREMENTS Article 4: Pre- outsourcing conditions A regulated institution shall ensure that outsourcing does not jeopardize the: 1° regular operations, i.e. providing services to customers and beneficiaries in accordance with the L’externalisation ne doit pas conduire à la délégation de la responsabilité du conseil d’administration et de direction générale. Une institution réglementée ne peut pas externaliser les fonctions de gestion de base, notamment: 1° planification d'entreprise; 2° organisation; 3° gestion et 4° fonctions de prise de décision comme la détermination du respect des lois applicables. CHAPITRE II: EXIGENCES RÉGLEMENTAIRES Article 4: Les préconditions de l’externalisation Une institution réglementée doit s’assurer que l’externalisation ne compromet pas: 1° opérations régulières, par exemple, fourniture de services aux clients et aux

Official Gazette n° Special of 17/06/2022 259 nk’uko bisabwa n’amategeko,amabwiriza rusange n’ imigenzereze iboneye mu bucuruzi; 2° ubushobozi bw’ikigo bwo gucunga no kugenzura uburyo bw’imikorere ndetse n’ibikorwa by’ikigo; 3° imicuingire y’ibyateza ingorane y’ikigo kigenzurwa; 4° igenzura ry’ikigo kigenzurwa ry’imbere; 5° ubushobozi Urwego rw’Ubugenzuzi rufite bwo gukora igenzura. Ikigo kigenzurwa gikoresha gusa utanga serivisi ugaragaza ko afite ingamba zerekeye ubushobozi bw’umutekano, ubuhanga ndetse n’iz’uburyo bw’imiterere y’ikigo ku buryo kugira icyo akoresha amakuru yerekeye umuntu ku giti cye bikorwa hubahirijwe amategeko. Ikigo kigenzurwa kigomba kugaragariza Urwego rw’ubugenzuzi, binyuze mu masezerano yerekeye gukoresha undi muntu imirimo ko kizakomeza kubahiriza amabwiriza rusange y’ Urwego rw’ubugenzuzi ndetse n’amategeko ya Repubulika y’u Rwanda. existing laws, regulations, and best practice; 2° capability to manage and control operations and activities; 3° regulated institution’s risk management; 4° regulated institution’s internal control system; 5° Supervisory authority’s ability to perform supervision. Regulated institution shall only appoint a service provider providing sufficient guarantees to implement appropriate security, technical and organizational measures in such a manner that processing of person data will meet the requirements of the Law. The regulated institution shall demonstrate to the Supervisory Authority that, under the outsourcing arrangement, regulations from the Supervisory Authority and laws from the Republic of Rwanda will continue to be met. bénéficiaires conformément aux lois en vigueur, règlements et bonnes pratiques; 2° la capacité de gérer et de contrôler les opérations et activités; 3° la gestion des risques de l'institution réglementée ; 4° le système de contrôle interne de l'institution réglementée ; 5° capacité l’Autorité de contrôle d’effectuer des contrôles. Une institution réglementée ne nomme qu'un prestataire de services offrant des garanties suffisantes pour mettre en œuvre des mesures de sécurité, techniques et organisationnelles appropriées de manière à ce que le traitement des données personnelles réponde aux exigences de la loi. Une institution réglementée doit être en mesure de démontrer à l’Autorité de contrôle que, dans le cadre de l'accord d'externalisation, les règlements de et les lois de la République du Rwanda continueront d'être respectées.

Official Gazette n° Special of 17/06/2022 260 Ingingo ya 5: Inshingano z’inama y’ubutegetsi n’iz’ubuyobozi bukuru Inama y’ubutegetsi ndetse n’ubuyobozi bukuru ni bo bashinzwe ibyerekeye gukoresha imirimo abatari abakozi b’ikigo ndetse no gucunga ibyateza ingorane bishamikiye ku gukoresha imirimo abatari abakozi b’ikigo. Inama y’ubutegetsi cyangwa komite inama y’ubutegsti yabihereye ububasha ishinzwe: 1° kwemeza uburyo bwo gusuzuma ingorane ndetse n’uburemere bw’amasezerano ahari cyangwa ashobora kubaho yo kwifashisha undi muntu mu gukora imirimo hamwe na politiki zubahirizwa kuri ayo masezerano; 2° kugena ibyo ikigo kigenzurwa cyiyemeje gushoramo imari hagamijwe kugaragaza ubwoko n’urugero ibyateza ingorane bishamikiye kuri iryo shoramari biriho nk’uko bikubiye mu masezerano yo kwifashisha undi muntu mu mirimo; 3° kugaragaza abayobozi bakwiye bemeza amasezerano yo kwifashisha Article 5: Responsibility of the Board and Senior Management The Board and senior management are ultimately responsible for outsourcing arrangements and for managing risks inherent in such outsourcing relationships. The board, or a committee delegated by it, is responsible for: 1° approving a framework to evaluate the risks and materiality of all existing and prospective outsourcing arrangements and the policies that apply to such arrangements; 2° setting a suitable risk appetite to define the nature and extent of risks that the regulated institution is willing and able to assume from its outsourcing arrangements; 3° laying down appropriate approval authorities for outsourcing Article 5: Responsabilité du Conseil d’administration et de la direction générale Le Conseil d’administration et la direction générale sont en fin de compte responsables des opérations de l’externalisation et de la gestion des risques liés à ces relations de l’externalisation. Le Conseil d’administration, ou un comité délégué par ce dernier, est responsable de: 1° approuver un cadre pour évaluer les risques et l’importance de tous les arrangements de l’externalisation existants et futurs ainsi que les politiques qui s'appliquent à ces arrangements; 2° établir l’appétence pour le risque appropriée pour définir la nature et l'ampleur des risques qu’une institution réglementée est disposée et capable d'assumer dans le cadre de ses arrangements de l’externalisation; 3° mettre en place les autorités compétentes en matière d'approbation

Official Gazette n° Special of 17/06/2022 261 undi muntu mu mu mirimo hashingiwe ku ngamba n’ibyateza ingorane ikigo kigenzurwa gifite ubushake bwo kwirengera byashyizeho; 4° gusuzuma ubushobozi bw’ubuyobozi mu gutegura politiki n’uburyo bikwiye mu gucunga ingorane zaturuka ku kwifashisha undi muntu mu mirimo hashingiwe ku bwoko, urwego n’urusobe by’amasezerano yo kwifashisha undi muntu mu mirimo; 5° gukora ku buryo ubuyobozi bukuru bushyiraho inzego z’ubuyobozi zikwiye n’uburyo bwiza bw’imicungire y’ibyateza ingorane nk’urwego rw’ubuyobozi rusuzuma amagenzura kugira ngo bihure kandi bijyane n’uburyo bwagutse bw’uko ikigo kigenzurwa kibona ibyateza ingorane; na 6° gusuzuma ku buryo buhoraho ingamba n’amasezerano byerekeye kwifashisha undi muntu mu mirimo. Ubuyobozi bukuru bushinzwe: arrangements consistent with its established strategy and risk appetite; 4° assessing management competencies for developing sound and responsive outsourcing risk management policies and procedures that are commensurate with the nature, scope and complexity of the outsourcing arrangements; 5° ensuring that senior management establishes appropriate governance structures and processes for sound and prudent risk management, such as a management body that reviews controls for consistency and alignment with a comprehensive institution-wide view of risk; and 6° undertaking regular reviews of these outsourcing strategies and arrangements. Senior management is responsible for: des arrangements de l’externalisation conformément à la stratégie et à l’appétence pour le risque établies; 4° évaluer les compétences de la direction pour l'élaboration de politiques et de procédures de gestion du risque de l’externalisation cohérentes et appropriées qui correspondent à la nature, la portée et la complexité des arrangements de l’externalisation; 5° veiller à ce que la direction générale établisse des structures et des processus de gouvernance appropriés pour une gestion saine et prudente des risques, tels qu’un organe de gestion qui examine les contrôles en vue de la cohérence et de l'alignement avec une vision du risque à l’échelle de l’institution réglementée et 6° entreprendre les contrôles réguliers de ces stratégies et arrangements de l’externalisation. . La direction générale est responsable de:

Official Gazette n° Special of 17/06/2022 262 1° gusuzuma uburemere n’ingorane byaturuka ku masezerano yo kwifashisha undi muntu mu mirimo ahari n’ashobora kubaho hashingiwe ku byemejwe n’Inama y’Ubutegetsi; 2° gutegura politiki zinoze kwifashisha undi muntu mu mirimo zijyanye n’ubwoko, urwego n’urusobe by’amasezerano yo kwifashisha undi muntu mu mirimo no gukora ku buryo izo politiki n’uburyo bikoreshwa bishyirwa mu bikorwa neza n’abayobozi babishinzwe; 3° gusuzuma buri gihe niba politiki n’uburyo bukoreshwa bikora neza no kubivugurura igihe bikwiye kugira ngo bijyane n’impinduka ku miterere y’ibyateza ikigo kigenzurwa ingorane muri rusange; 4° Gukurikirana no gukomeza kugenzura neza ibyateza ingorane byose bijyanye n’amasezerano yo gukoresha undi muntu ibikorwa by’igenzi hasuzumwa buri gihe ingamba zo kufashisha undi muntu mu mirimo hitawe ku ngano y’amasezerano ; 1° evaluating the materiality and risks from all existing and prospective outsourcing arrangements, based on the framework approved by the board; 2° developing sound and prudent outsourcing policies and procedures that are commensurate with the nature, scope and complexity of the outsourcing arrangements as well as ensuring that such policies and procedures are implemented effectively by line managers; 3° reviewing regularly the effectiveness of, and appropriately adjusting, policies and procedures to reflect changes in the regulated institution’s overall risk profile and risk environment; 4° monitoring and maintaining effective control of all risks from its material outsourcing arrangements on an undertaking regular reviews of these outsourcing strategies and arrangements -wide basis; 1° évaluer l’importance et les risques de tous les arrangements de l’externalisation existants et potentiels suivant le cadre approuvé par le Conseil d'administration; 2° élaborer des politiques et des procédures de l’externalisation cohérentes et prudentes qui correspondent à la nature, la portée et la complexité des arrangements de l’externalisation et assurer leur mise en œuvre efficace par les supérieurs hiérarchiques; 3° examiner régulièrement l'efficacité des politiques et des procédures et les ajuster convenablement pour refléter globalement les changements dans le profil et l'environnement des risques de l’institution réglementée ; 4° surveiller et maintenir un contrôle efficace de tous les risques d’arrangements de l’externalisation matérielle à l'échelle de l'établissement;

Official Gazette n° Special of 17/06/2022 263 5° kugenzura ko hariho ubundi buryo bwakoreshwa hashingiwe ku ngorane ziriho n’izashoboka kandi bukageragezwa buri gihe; 6° gukora ku buryo habaho ubugenzuzi bukozwe mu bwigenge kugira ngo harebwe niba politiki n’uburyo bukoreshwa mu kwifashisha undi muntu mu mirimo byubahirizwa; 7° gukora ku buryo hafatwa ingamba zigamije gukosora amakosa kandi zigafatirwa igihe mu rwego rwo kubonera ibisubizo ibyavuye mu igenzura; 8° guha inama y’ubutegetsi amakuru yerekeye ingorane zavuka ziturutse ku masezerano yo gukoresha undi muntu ibikorwa by’igenzi kandi bigakorwa ku gihe. Ingingo ya 6: Gukoresha undi muntu ibikorwa by’igenzi Ikigo kigenzurwa kigena ibikorwa by’ingenzi bishobora kuba byakorwa n’undi muntu. 5° ensuring that contingency plans, based on realistic and probable disruptive scenarios, are in place and regularly tested; 6° ensuring that there is independent review and audit for compliance with outsourcing policies and procedures; 7° ensuring that appropriate and timely remedial actions are taken to address audit findings; 8° communicating information pertaining to risks arising from its material outsourcing arrangements to the board in a timely manner. Article 6: Outsourcing of material activities Regulated institution shall define the material activities to be outsourced. 5° s’assurer que les plans d'urgence, basés sur des scénarios réalistes et probables de perturbation, sont en place et régulièrement testés; 6° s'assurer qu'il existe un contrôle et un audit indépendants à des fins de vérification du respect des politiques et des procédures de l’externalisation; 7° veiller à ce que des mesures correctives appropriées et en temps opportun soient prises pour donner suite aux résultats de l’audit; 8° communiquer à temps au Conseil d'administration des informations relatives aux risques découlant de ses arrangements de l’externalisation matérielle. Article 6 : L’externalisation de l’activités principales Une institution réglementée définit les activités principales à externaliser.

Official Gazette n° Special of 17/06/2022 264 Mu rwego rwo gusuzuma niba igikorwa kigiye ari ingenzi ikigo kigenzurwa kigomba kwita ku bintu birimo ibikurikira: 1° akamaro k’umurimo ugiye gukoreshwa abandi batari abakozi b’ikigo (urugero uruhare rw’uwo murimo ku by’ikigo kigenzurwa cyinjiza n‘nyungu; 2° ingaruka zo gukoresha imirimo y’ikigo abatari abakozi bacyo ku nyungu, ubushobozi bwo kwishyura imyenda, amafaranga ahari, kubona imari bwite, n’imiterere y’ibyateza ingorane; 3° ingaruka ku isura y’ikigo kigenzurwa no ku gaciro k’izina ry’ubucuruzi, hamwe n’ubushobozi bwo gushyira mu bikorwa intego zacyo z’ubucuruzi, ingamba na gahunda byacyo, iyo utanga serivisi adashoboye kuyitanga cyangwa iyo amakuru yabonye atayagize ibanga cyangwa ngo yite ku mutekano wayo (urugero ni nko gushyira mu kagaamakuru y’imari atagenewe rubanda ; 4° ingaruka ku bakiriya b’ikigo kigenzurwa, iyo utanga serivisi In order to assess whether the activity is material, the regulated institution shall consider factors, such as: 1° importance of the business activity to be outsourced (e.g., in terms of contribution to income and profit of a regulated institution); 2° potential impact of the outsourcing on earnings, solvency, liquidity, funding and capital, and risk profile; 3° impact on the regulated institution’s reputation and brand value, and ability to achieve its business objectives, strategy and plans, should the service provider fail to perform the service or encounter a breach of confidentiality or security (e.g., compromise of non￾public data); 4° impact on the institution’s customers, should the service provider fail to Afin d'évaluer si l'activité est matérielle, l'institution réglementé prend en considération des facteurs tels que: 1° importance de l’activité commerciale à l’externalisée (exemple, en termes de sa contribution aux revenues et au bénéfice de l'institution réglementé ) 2° l’impact potentiel de l’externalisation sur les bénéfices, la solvabilité, la liquidité, le financement et le capital, ainsi que sur le profil de risque; 3° l’impact sur la réputation d’une institution réglementée et la valeur de la marque, ainsi que sa capacité à réaliser ses objectifs commerciaux, sa stratégie et ses plans si le prestataire de services ne parvient pas à effectuer le service ou s’il viole la confidentialité ou la sécurité (par exemple, compromission des données financières non publiques); 4° l’impact sur les clients d’une institution réglementée si le prestataire de services

Official Gazette n° Special of 17/06/2022 265 adashoboye kuyitanga cyangwa amakuru abonye ntayagire ibanga cyangwa ngo yite ku mutekano wayo; 5° ingaruka ku bagomba inshingano ikigo kigenzurwa , ku rwego rw’imari mu Rwanda igihe utanga serivisi yaba ananiwe gutanga serivisi; 6° amafaranga agenda ku gukoresha imirimo y’ikigo abatari abakozi bacyo ugereranyije n’akoreshwa kugira ngo ikigo kibashe gukora; 7° ingaruka zaterwa no kuba undi muntu wifashishijwe mu gukora mirimo yananirwa kuyikora; 8° ikigereranyo cy’ibyateza ingorane byakomoka ku kwifashisha muntu umwe mu gukora umurimo urenze umwe w’ikigo kigenzurwa; 9° ubushobozi bwo gukomeza gukora igenzura ry’imbere mu kigo rikwiye no kubahiriza amabwiriza mu gihe utanga serivisi yahuye n’ibibazo byo gukora ibikorwa. perform the service or encounter a breach of confidentiality or security; 5° impact on the institution’s counterparties and the Rwandan financial system , should the service provider fail to perform the service; 6° cost of the outsourcing as a proportion of total operating costs of the institution; 7° cost of outsourcing failure; 8° aggregate risk exposure to a particular service provider in cases where the regulated institution outsources various functions to the same service provider; 9° ability to maintain appropriate internal controls and meet regulatory requirements, if the service provider faces operational problems. ne parvient pas à effectuer le service ou viole la confidentialité ou la sécurité; 5° impact sur les contreparties de l’institution réglementée et système financier Rwandais, si le prestataire de services ne fournit pas le service; 6° le coût de l’externalisation par rapport au coût total opérationnel de l’institution réglementée 7° coût de l'échec de l’externalisation; 8° exposition globale aux risques à un prestataire de services particulier au cas où une institution réglementée externalise diverses fonctions au même prestataire de services; 9° capacité de maintenir les contrôles internes appropriés et de satisfaire aux exigences réglementaires, en cas de problèmes opérationnels rencontrés par le prestataire de services.

Official Gazette n° Special of 17/06/2022 266 Ikigo kigenzurwa gisuzuma ku buryo ngarukagiheuburyo bwo kwifashisha undi muntu mu gukora imirimo mu rwego rwo kugaragaza ibyateza ingorane bishya byatezwa no kwifashisha undi muntu mu gukora imirimo igihe harebwe uko zigenda zigaragara. Urugero ni nk’igihe utanga serivisi afite ibice by’imirimo byinshi ashinga abandi batanga serivisi cyangwa iyo akoze impinduka zikomeye zerekeye uburyo bukoreshwa, ibikorwa remezo cyangwa ubuyobozi. Uburemere bugomba gusuzumwa harebwa ikigo ubwacyo ndetse kinarebwa mu buryo bukomatanyije, bisobanura ko hagomba no kurebwa ikigo hamwe n’amashami yacyo ndetse n'amasosiyete icyo kigo kigenzura. Ingingo ya 7: Imicungire y’ibyateza ikigo ingorane biturutse ku kwifashisha undi muntu mu mirimo yacyo Inama y’ubutegetsi hamwe n’Ubuyobozi bukuru bigomba kumenya kandi bikumva ingorane zishobora guturuka ku kwifashisha abo hanze mu gukora imirimo y’ikigo. Ikigo kigenzurwa ishyiraho uburyo bwo gusuzuma ingorane bugomba kuba burimo ibikorwa bikurikira : A regulated institution shall undertake a periodic review of its outsourced processes to identify new outsourcing risks as they arise for example, when the service provider has further sub- outsourced work to other service providers or has undergone a significant change in processes, infrastructure, or management. Materiality shall be considered both at a regulated institution level and on a consolidated basis i.e. together with the institution’s branches and corporations/entities under its control. Article 7: Outsourcing risk management The board and senior management shall be aware of and understand the risks arising from outsourcing. The regulated institution shall establish a framework for risk evaluation which shall include the following activities Une institution réglementée procède à un examen périodique de ses processus sous-traités pour identifier de nouveaux risques de l’externalisation lorsqu’ils se présentent. C’est par exemple lorsque le prestataire de services a lui aussi sous-traité un travail auprès d'autres prestataires de services ou a subi un changement important dans les processus, l'infrastructure ou la gestion. L’importance doit être considérée à la fois au niveau de l'institution réglementée et sur une base consolidée, c'est-à-dire l'institution réglementée avec ses succursales et les sociétés/entités sous son contrôle. Article 7: Gestion des risques de l’externalisation Le Conseil d’administration et la direction générale doivent connaître et comprendre les risques découlant de l’externalisation. Une institution réglementée établit un cadre pour l'évaluation des risques qui doit inclure les activités suivantes:

Official Gazette n° Special of 17/06/2022 267 1° kugaragaza uruhare rwo kwifashisha abo hanze mu gukora imirimo y’ikigo mu ngamba no mu ntego rusange z’ibikorwa by’ubucuruzi bya ikigo kigenzurwa ; 2° kumenya mu buryo bwuzuye kandi mu bushishozi imiterere, urwego n’urusobe by’amasezerano yo kwifashisha undi muntu mu gukora imirimo mu rwego rwo kugaragaza no kugabanya ibyateza ingorane nyamukuru; 3° gusuzuma ubushobozi bw’utanga serivisi bwo gukorana ubwitonzi imirimo yifashisha undi muntu kandi yubahirize amatageko agenga ubugenzuzi nk’uko ikigo kigenzurwa kiba kibyitezweho, bigakorwa nk’aho imirimo yifashisha undi muntuyakozwe na ikigo kigenzurwa ubwayo; 4° gusuzuma ingaruka z’amasezerano yo gukoresha undi muntu ku miterere y’ibyateza ingorane zose ikigo kigenzurwa yagira, hakanasuzumwa niba ikigo kigenzurwa gifite abakozi bafite ubuhanga n’umutungo bihagije cyakoresha mu rwego rwo 1° identifying the role of outsourcing in the overall business strategy and objectives of the regulated institution ; 2° performing comprehensive due diligence on the nature, scope and complexity of the outsourcing arrangement to identify and mitigate key risks; 3° assessing the service provider’s ability to employ a high standard of care in performing the outsourced service and meet regulatory standards as expected of the regulated institution , as if the outsourcing arrangement is performed by the regulated institution itself; 4° analysing the impact of the outsourcing arrangement on the overall risk profile of the regulated institution , and whether there are adequate internal expertise and resources to mitigate the risks identified; 1° identifier le rôle de l’externalisation dans la stratégie commerciale globale et les objectifs d’une institution réglementée ; 2° effectuer toute vérification diligente et complète sur la nature, la portée et la complexité de l'arrangement de l’externalisation pour identifier et atténuer les principaux risques; 3° évaluer la capacité du prestataire de services à déployer un niveau d’attention élevé dans l'exécution du service sous-traité et à remplir les obligations qui pèsent sur une institution réglementée en vertu des normes réglementaires comme si l'arrangement de l’externalisation était effectué par une institution réglementée elle-même; 4° analyser l'impact de l'arrangement de l’externalisation sur le profil de risque global d’une institution réglementée et voir s'il existe une expertise et des ressources internes adéquates pour atténuer les risques identifiés;

Official Gazette n° Special of 17/06/2022 268 kugabanya ibyateza ingorane zagaragajwe; 5° gusuzuma ukwicucika kw’ibyateza ingorane kwatezwa no kwifashisha undi muntu mu gukora imirimo irenze umwe bikozwe n’utanga serivisi umwe na/cyangea kwisfashisha undi muntu mu gukora imirimo y’ingenzi kwaterwa n’umubare mukeya wabatanga serivisi; 6° gusuzuma inyungu zo kwifashisha undi muntu mu gukora imirimo ugereranyije n’ingorane zavuka; 7° gushyiraho umurongo utanga serivisi atagomba kurenga igihe na we akoresha imirimo undi utari we. Isuzuma ry’ingorane ryagombye gukorwa igihe ikigo kigenzurwa iteganya gusinya amasezerano yo kwifashisha undi muntu hamwe n’usanzwe utanga serivisi cyangwa utanga serivisi mushya, kandi rikongera gukorwa ku buryo ngarukagihe, nka kimwe mu bigize amasuzuma y’iyemezwa, itegenya rya gahunda ihamye, imicungire y’ibyateza ingorane cyangwa uburyo bw’igenzura by’amasezerano yo kwifashisha undi muntu mu gukora imirimo ya ikigo kigenzurwa. 5° analysing the concentration risk posed by multiple outsourcings to the same service provider and/or the concentration risk posed by outsourcing critical or important functions to a limited number of service providers. 6° analysing the benefits of outsourcing against the risks that may arise; 7° establish a threshold (a limit) that a service provider must not exceed while sub outsourcing. The risk evaluations shall be performed when the regulated institution is planning to enter into an outsourcing arrangement with an existing or a new service provider, and also re- performed periodically on existing outsourcing arrangements, as part of the approval, strategic planning, risk management or internal control reviews of the outsourcing arrangements of the regulated institution . 5° analyser le risque de concentration posé par des externalisations multiples chez le même prestataire et / ou le risque de concentration posé par l'externalisation de fonctions critiques ou importantes à un nombre limité de prestataires. 6° analyser les bénéfices de l’externalisation par rapport aux risques qui peuvent survenir ; 7° établir un seuil (une limite) qu'une prestataire de service ne doit pas dépasser lors de la sous-sous-traitance. L’évaluations des risques doivent être effectuées lorsqu’une institution réglementée envisage de conclure un arrangement de l’externalisation avec un prestataire de services existant ou nouveau. Elles doivent être également renouvelées périodiquement pour les arrangements de l’externalisation existants dans le cadre de l'approbation, de la planification stratégique, de la gestion du risque ou des examens de contrôle interne des arrangements

Official Gazette n° Special of 17/06/2022 269 Ingingo ya 8: Isuzuma ry’abatanga serivisi Mu gusuzuma, kongera kuganira cyangwa kuvugurura amasezerano yo gukoresha undi muntu mu gukora imirimo, ikigo kigenzurwa igomba gukoresha ubushishozi bukwiye mu gusuzuma ingorane zaturuka ku masezerano yo kwifashisha undi muntu. Ikigo kigenzurwa gisuzuma utanga serivisi mu ngingo zose zishoboka harimo: 1° ubushobozi bwe mu gukoresha ubwitonzi bwo ku rwego rwo hejuru mu gushyira mu bikorwa amasezerano yo kwifashisha undi muntu ku buryo bikorwa nk’aho byakozwe n’ikigo kigenzurwa ubwayo mu kuzuza inshingano zayo nk’ikigo kigenzurwa; 2° amagenzura y’ibikoresho n’umutekano mu by’ikoranabuhanga hamwe n’ubushobozi bw’ikoranabuhaga utanga serivisi afite mu kubahiriza inshingano ziri Article 8: Due diligence and assessment of service providers In considering, renegotiating or renewing an outsourcing arrangement, the regulated institution shall subject the service provider to appropriate due diligence processes to assess the risks associated with the outsourcing arrangements. The regulated institution shall assess all relevant aspects of the service provider, including: 1° its capability to employ a high standard of care in the performance of the outsourcing arrangement as if the service is performed by the regulated institution itself to meet its obligations as a regulated institution; 2° the physical and IT security controls the service provider has in place as well as capability of the technology service provider to comply with de l’externalisation d’une institution réglementée. Article 8: Évaluation des prestataires de services Lors de l'examen, de la renégociation ou du renouvellement d'un arrangement de l’externalisation, une institution réglementée doit soumettre le prestataire de services à des procédures appropriées de diligence raisonnable pour évaluer les risques associés aux arrangements de l’externalisation. Une institution réglementée évalue tous les aspects pertinents du prestataire de services y compris: 1° capacité à déployer un niveau d’attention élevé dans l'exécution de l’arrangement de l’externalisation comme si le service était effectué par une institution réglementée elle-même pour remplir ses obligations en tant qu'institution réglementée ; 2° les contrôles de sécurité physique et informatique que le prestataire de services a mis en place ainsi que la capacité du prestataire de services

Official Gazette n° Special of 17/06/2022 270 mu masezerano yo kwifashisha undi muntu mu mu mirimo; 3° isura y’ibikorwa n’ubushobozi mu by’imari by’utanga serivisi, harimo ibipimo ngenderwaho by’imyitwarire ikwiye kandi mbonezamurimo utanga serivisi afite, hamwe n’ubushobozi bwe mu kubahiriza inshingano ziri mu masezerano yo kwifashisha undi muntu mu gukora akazi. Ubushishozi bukwiye bugomba kubamo isuzuma ry'amakuru yose yerekeye utanga serivisi harimo: 1° ubunararibonye n’ubushobozi mu gushyira mu bikorwa no gushyigikira amasezerano yo kwifashisha undi muntu mu gihe amasezerano azamara; 2° kuba ahagaze neza mu birebana n’imari n’ubushobozi bwo gutanga serivisi yiyemeje kabone n’iyo haba hari ibibazo; 3° imiyoborere y’ikigo, isura ikigo gifite, umuco gifite, kuba cyubahiriza amategeko n’imanza obligations in the outsourcing agreement; 3° the business reputation and financial strength of the service provider, including the ethical and professional standards held by the service provider, and its ability to meet obligations under the outsourcing arrangement. The due diligence shall involve an evaluation of all relevant information about the service provider including: 1° experience and capability to implement and support the outsourcing arrangement over the contracted period; 2° financial soundness and ability to service commitments even under adverse conditions; 3° corporate governance, business reputation and culture, compliance, and pending or potential litigation; technologiques à se conformer aux obligations du contrat d'externalisation 3° la réputation de l'entreprise et de la solidité financière du prestataire de services, y compris les normes éthiques et professionnelles du prestataire de services et sa capacité à respecter les obligations de l’arrangement de l’externalisation; La diligence raisonnable doit impliquer une évaluation de toutes les informations pertinentes concernant le prestataire de services. 1° expérience et la capacité de mettre en œuvre et de soutenir l’arrangement de l’externalisation pendant la période contractuelle; 2° a solidité financière et la capacité d’honorer les engagements, même dans des conditions défavorables; 3° la gouvernance d'entreprise, la réputation et la culture d’entreprise, la

Official Gazette n° Special of 17/06/2022 271 gifite cyangwa gishobora guhura na zo; 4° umutekano n’uburyo bw’igenzura by’imbere mu kigo, abo ikigo gikorera ubugenzuzi, umwuka gutanga amakuru n’ikurikirana bikorwa bikorwamo; 5° uburyo n’ubushobozi mu micungire y'ibyateza ingorane, harimo imicungire y’ingorane zaturuka ku ikoranabuhanga n’imicungire y’ikomeza ry’imirimo hashingiwe ku masezerano yo kwifashisha undi muntu mu gukora imirimo; 6° uburyo bwo gusubukura imirimo nyuma y’amage n’amakuru ku isubukura ry’imirimo nyuma y’amage; 7° ibikorwa remezo bitekanye; 8° kuba acungira ku guha amasezerano abandi bamukorera akazi no kuba ashobora gukorana nabo neza; 9° kuba afite ubwishingizi; 10°uko hanze y'ikigo hitwaye (nk’ibijyanye na politiki, imibereho 4° security and internal controls, audit coverage, reporting and monitoring environment; 5° risk management framework and capabilities, including technology risk management and business continuity management in respect of the outsourcing arrangement; 6° disaster recovery arrangements and disaster recovery track record; 7° secure infrastructure facilities; 8° reliance on and success in dealing with sub-contractors; 9° insurance coverage; 10°external environment (such as the political, economic, social, conformité et les procès en cours ou potentiels; 4° a sécurité et les contrôles internes, la couverture de l'audit, l'environnement de transmission des rapports et de suivi; 5° le cadre et les capacités de gestion des risques, y compris la gestion des risques technologiques et la gestion de la continuité d’’activité dans le cadre de l’arrangement de l’externalisation; 6° les arrangements en matière de reprise d’activités après sinistre et antécédents en matière de reprise après sinistre; 7° les infrastructures sécurisées; 8° la dépendance sur les sous-traitants et le succès dans les relations avec eux; 9° la couverture d'assurance; 10°l’environnement externe (comme l'environnement politique, économique,

Official Gazette n° Special of 17/06/2022 272 myiza, ikoranabuhanga n’amategeko by’akarere utanga serivisi akoreramo); 11°ubushobozi bwo kubahiriza amategeko n’amabwiriza rusange n’uko ikigo gihagaze mu birebana n’iyubahirizwa ry’amaregeko n’amabwiriza rusange biriho. Ikigo kigenzurwa igomba kugenzura ko abakozi b’utanga serivisi bashyira mu bikorwa igice icyo ari cyo cyose cy’amasezerano yo kwifashisha undi muntu mu gukora imirimo basuzumwe kugira ngo harebwe ko bujuje ibisabwa na politiki za ikigo kigenzurwa mu gutanga akazi ku bijyanye n’umurimo bari gukora, kandi ko ibyo basabwa bihuje n’ibigenderwaho byubahirizwa ku bakozi bayo basanzwe. Ibi bikurikira ni bimwe mu ngero z’ibyitabwaho muri iri suzuma: 1° kureba niba batarigeze bahabwa ibihano byo mu rwego rw’imyitwarire cyangwa baciribwa imanza kubera byaha; 2° kureba niba batarahamwe n’icyaha (by’umwihariko ikijyanye n’uburiganya, gutanga amakuru atari yo cyangwa kubura ubunyangamugayo); technological and legal environment of the jurisdiction in which the service provider operates); 11°ability to comply with applicable laws and regulations and track record in relation to its compliance with applicable laws and regulations. The regulated institution must ensure that the employees of the service provider undertaking any part of the outsourcing arrangement have been assessed to meet the regulated institution ’s hiring policies for the role they are performing, consistent with the criteria applicable to its own employees including: 1° whether they have been the subject of any proceedings of a disciplinary or criminal nature; 2° whether they have been convicted of any offence (in particular, that associated with a finding of fraud, misrepresentation or dishonesty); social, technologique et juridique du ressort où le prestataire de services opère); 11°la capacité de se conformer aux lois et règlements en vigueur et le bilan en rapport avec sa conformité aux lois et règlements en vigueur. Une institution réglementée doit s’assurer que les employés du prestataire de services qui réalisent une telle partie de l’arrangement de l’externalisation ont été évalués selon les politiques de recrutement d’une institution réglementée pour le rôle qu'ils exercent et conformément aux critères applicables à ses propres employés. Quelques exemples non exhaustifs de ce qui doit être considéré dans cette évaluation sont repris ci-après: 1° s’ils ont fait l'objet d’une mesure disciplinaire ou poursuites pénales; 2° s’ils ont été reconnus coupables d'une infraction (en particulier, celle en rapport avec la fraude, les fausses déclarations ou la malhonnêteté);

Official Gazette n° Special of 17/06/2022 273 3° niba baremeye kuryozwa indishyi ku byerekeye uburiganya cyangwa gutanga amakuru atari yo; 4° no kuba bahagaze neza mu byerekeye imari. Hagombye kubaho gusura aho utanga serivisi akorera, igihe binashoboka hakanakorwa amagenzura akozwe n’abantu bigenga hakanashakishwa n’amakuru ku buryo utanga serivisi ahagaze ku isoko kugira ngo byunganire isuzuma rikorwa na ikigo kigenzurwa . Gusura aho utanga serivisi akorera bigomba gukorwa n’abantu bafite ubumenyi n’ubushobozi bisabwa mu gukora isuzuma. Ikinku cyose kibi cyagaragara muri iri suzuma kigomba kwitabwaho hashingiwe ku buremere n’ingaruka gifite ku masezerano yo kwifashisha undi muntu mu gukora imirimo. Ubushishozi bukwiye bukoreshwa mu isuzuma bugomba gukorerwa inyandiko bukongera kandi gukorwa nibura rimwe mu mwaka mu rwego rw’ikurikiranabikorwa n’igenzura ry’amasezerano yo kwifashisha undi muntu mu gukora imirimo. Ikigo kigenzurwa igomba kugenzura ko amakuru 3° whether they have accepted civil liability for fraud or misrepresentation; 4° whether they are financially sound. Onsite visits to the service provider, and where possible, independent reviews and market feedback on the service provider, shall also be obtained to supplement the regulated institution’s assessment. Onsite visits shall be conducted by persons who possess the requisite knowledge and skills to conduct the assessment. Any adverse findings from this assessment shall be considered in light of their relevance and impact to the outsourcing arrangement. The due diligence undertaken during the assessment process shall be documented and re-performed at least annually as part of the monitoring and control processes of outsourcing arrangements. The regulated institution must ensure that the information used for due diligence evaluation is 3° s'ils ont reconnu la responsabilité civile pour fraude ou fausse déclaration; et 4° s’ils sont financièrement solides. Des visites sur terrain auprès du prestataire de services et, le cas échéant, des évaluations indépendantes du prestataire de services et sa perception par le marché devraient également être obtenues pour compléter l'évaluation d’une institution réglementée. Les visites sur terrain doivent être menées par des personnes possédant les connaissances et les compétences requises pour effectuer l'évaluation. Les résultats négatifs de cette évaluation doivent être traités compte tenu de leur pertinence et de leur impact sur l’arrangement de l’externalisation. La diligence raisonnable entreprise au cours du processus d'évaluation doit être documentée et renouvelée au moins une fois par an dans le cadre des processus de suivi et de contrôle des arrangements de l’externalisation. Une institution réglementée doit s’assurer que l'information utilisée pour l'évaluation de la

Official Gazette n° Special of 17/06/2022 274 yatanzwe mu isuzuma ry’ubushobozi bukwiye ajyanye n'igihe ku buryo buhagije. Ikigo kigenzurwa kandi igomba guha agaciro amakuru yavuye mu isuzuma ry’ubushobozi bukwiye kugira ngo igene igihe izajya ikorera ubugenzuzi utanga serivisi ndetse n’urwego rw’ubwo bugenzuzi. Ingingo ya 9: Amasezerano yo kwifashisha undi muntu mu gukora imirimo Ingingo z’amasezerano zerekeye imikoranire, inshingano, uburenganzira n’ibyitezwe ku mpande zigiranye amasezerano yo kwifashisha undi muntu mu gukora imirimo zigomba gusobanurwa neza mu masezerano yanditse. Amasezerano yo kwifashisha undi muntu mu gukora imirimo agomba gusobanura neza inshingano z’impande zigiranye amasezerano kandi hagashyirwamo ingingo zikwiye zerekeye indishyi. Ikigo kigenzurwa igomba gukora ku buryo buri masezerano yo kwifashisha undi muntu mu gukora imirimo avuga ku ngorane zagaragajwe mu gihe cyo gusuzuma ingorane n’ubushobozi bukwiye. sufficiently current. The regulated institution shall also consider the findings from the due diligence evaluation to determine the frequency and scope of audit on the service provider. Article 9: Outsourcing agreement Contractual terms and conditions governing relationships, obligations, responsibilities, rights and expectations of the contracting parties in the outsourcing arrangement shall be carefully and properly defined in written agreements. Outsourcing agreement shall clearly define the roles and responsibilities of the parties to the contract and include suitable indemnification clauses. The regulated institution shall ensure that every outsourcing agreement addresses the risks identified at the risk evaluation and due diligence stages. diligence raisonnable est suffisamment à jour. Une institution réglementée doit également tenir compte des résultats de l'évaluation de la diligence raisonnable pour déterminer la fréquence et l’étendue de l'audit concernant le prestataire de services. Article 9: Accord de l’externalisation Les termes du contrat régissant les relations, les obligations, les responsabilités, les droits et les attentes des parties contractantes dans l’arrangement de l’externalisation doivent être soigneusement et correctement précisés dans les accords écrits. L'accord de l’externalisation doit définir clairement les rôles et les responsabilités des parties contractantes et inclure des clauses d'indemnisation appropriées. Une institution réglementée doit veiller à ce que chaque accord de l’externalisation traite les risques identifiés au niveau des étapes d’évaluation des risques et de diligence raisonnable.

Official Gazette n° Special of 17/06/2022 275 Buri masezerano yo kwifashisha undi muntu mu gukora imirimo agomba kuba ashobora kongera kuganirwaho ku gihe kandi akaba yavugururwa kugira ngo ikigo kigenzurwa ishobore kuyagenzura bikwiye no kugira ngo ibe yafata ibyemezo bikwiye mu rwego rwo kubahiriza inshingano zayo zo kubahiriza amategeko n’amabwiriza. Yagombye kuba nibura akubiyemo ingingo zivuga ku bintu bikurikira byerekeye kwifashisha undi muntu mu gukora imirimo: 1° gusobanura ibirebwa n’amasezerano yo kwifashisha undi muntu mu gukora imirimo, serivisi zigomba gutangwa, ubwoko bw’imikoranire hagati ya ikigo kigenzurwa n’utanga serivisi, ingingo zerekeye kugira ibanga n’umutekano, hamwe n’ibikurikizwa kugira ngo utanga serivisi agirane n’abandi bantu amasezerano y’akazi arebana n’izo serivisi; 2° ibipimo ngenderwaho byerekeye imikorere, ibikorwa, uburyo bw’igenzura hamwe n’imicungire y’ibyateza ingorane; Each outsourcing agreement shall allow for timely renegotiation and renewal to enable the regulated institution to retain an appropriate level of control over the outsourcing arrangement and the right to intervene with appropriate measures to meet its legal and regulatory obligations. The outsourcing agreement shall at least, have provisions to address the following aspects of outsourcing: 1° specification of the scope of the outsourcing arrangement, the services to be supplied, the nature of the relationship between the regulated institution and the service provider, confidentiality and security terms, and procedures governing the sub outsourcing of services; 2° performance, operational, internal control and risk management standards; Chaque accord de l’externalisation doit permettre une renégociation et un renouvellement en temps opportun pour permettre à une institution réglementée de garder un niveau de contrôle approprié sur l'arrangement de l’externalisation et le droit d'utiliser des mesures appropriées pour respecter ses obligations légales et réglementaires. Accord de l’externalisation doit au moins comprendre des dispositions pour traiter les aspects suivants de l’externalisation: 1° la spécification de l’étendue de l'arrangement de l’externalisation, les services à fournir, la nature de la relation entre une institution réglementée et le prestataire de services, les conditions de confidentialité et de sécurité, ainsi que les procédures régissant l’externalisation des services; 2° les normes de performance, de fonctionnement, de contrôle interne et de gestion des risques;

Official Gazette n° Special of 17/06/2022 276 3° ibisabwa byerekeye kugira ibanga n’umutekano nk’uko biteganyijwe muri aya mabwiriza rusange; 4° ibisabwa byerekeye imicungire y’ikomeza ry’imirimo nk’uko biteganyijwe muri aya mabwiriza rusange; 5° uburyo bwo gukurikirana no kugenzura ibikorwa byeguriwe undi muntu nk’uko biteganyijwe muri aya mabwiriza rusange; 6° ubugenzuzi bw’imari n’ubugenzuzi bw’imikorere nk’uko biteganyijwe muri aya mabwiriza rusange; 7° kugaragaza ko ikigo kigenzurwa n’ Urwego rw’ubugenzuzi n’ikigo kigenzurwa bihabwa cyangwa bigera ku makuru afitwe n’utanga serivisi; 8° gukora imenyekanisha iyo hari ibintu bitari byiza bitangiye kugaragara: Ikigo kigenzurwa igomba kugaragaza mu masezerano yayo yo kwifashisha undi muntu mu gukora imirimo ubwoko bw’ibikorwa utanga serivisi agomba gutangira raporo kuri ikigo kigenzurwa n’igihe agomba kuyitangira kugira ngo ikigo 3° confidentiality and security requirements as provided in this regulation; 4° business continuity management requirement as provided in this regulation; 5° a process of monitoring and oversight of the outsourced activities as provided this regulation; 6° audit and inspection as provided in this regulation; 7° specification that the regulated institution and the Supervisory Authority shall have access to data from the service provider; 8° notification of adverse developments: The regulated institution shall specify in its outsourcing agreement the type of events and the circumstances under which the service provider should report to the regulated institution in order for the regulated institution to take prompt risk mitigation measures and notify 3° exigences de confidentialité de sécurité comme prévues par le présent règlement; 4° la gestion de la continuité d’activité comme prévues par le présent règlement; 5° un processus de suivi et de contrôle des activités externalisé; 6° audits et inspection comme prévues par le présent règlement; 7° la spécification selon laquelle une institution réglementée et la Banque Centrale auront accès aux données du prestataire de services; 8° notification des développements défavorables: une institution réglementée devrait préciser dans son accord de l’externalisation le type d'événements et de circonstances dans lesquels le prestataire de services devrait notifier à une institution réglementée afin qu’elle prenne rapidement des mesures d'atténuation

Official Gazette n° Special of 17/06/2022 277 kigenzurwa ifate ingamba zikwiye zo kugabanya ingaruka mbi no kugira ngo imenyeshe Urwego rw’ubugenzuzi ibyerekeye ibyo bikorwa; 9° gukemura impaka: Ikigo kigenzurwa ishyira mu masezerano yayo yo kwifashisha undi muntu mu gukora imirimo uburyo bwo gukemura ibibazo, ibigize kutubahiriza ibisabwa, indishyi, uburyo bwo gukosora ibitarakozwe neza n’inzira buri ruhande mu masezerano rwanyuramo mu gihe havutse ikibazo. Ikigo kigenzurwa igomba gukora ku buryo uburenganzira bwayo buvugwa mu masezerano bwubahirizwa igihe utanga serivisi atuhabirije amasezerano ; 10°gusesa amasezerano igihe atubahirijwe cyangwa utanga serivisi agasezererwa mbere y’igihe cyateganyijwe: ikigo kigenzurwa ifite uburenganzira bwo gusesa amasezerano yo kwifashisha undi muntu mu gukora imirimo iyo habayeho kutubahiriza inshingano; Supervisory Authority of such developments; 9° dispute resolution: The regulated institution shall specify in its outsourcing agreement the dispute resolution process, events of default, and the indemnities, remedies and recourse of the respective parties in the agreement. The regulated institution shall ensure that its contractual rights can be exercised in the event of a breach of the outsourcing agreement by the service provider; 10°default termination and early exit: a regulated institution shall have the right to terminate the outsourcing agreement in the event of default, or under circumstances where: des risques et informe l’autorité de contrôle de ces développements ; 9° règlement des litiges: l’institution règlementée doit préciser dans son accord de l’externalisation le processus de résolution des litiges, les cas de défaillance ainsi que les indemnités, réparations et recours des parties respectives à l’accord. Une institution réglementée doit s'assurer que ses droits contractuels peuvent être exercés en cas d’inexécution de l'accord de l’externalisation par le prestataire de services; 10°résiliation pour inexécution et anticipée: une institution réglementée a le droit de résilier le contrat d'externalisation en cas de défaut ou dans les cas où:

Official Gazette n° Special of 17/06/2022 278 a) habaye impinduka mu miterere y’imigabane y’utanga serivisi; b) utanga serivisi ananiowe kwishyura abo afitiye imyenda cyangwa asheshwe; c) utanga serivisi ashyizwe mu icungwa cyangwa icyemezo cy’urukiko gitegetse uko ayoborwa haba mu Rwanda cyangwa u mahanga; d) habayeho kutubahiriza ibyerekeye umutekano cyangwa ibanga; e) harabayeho gugabanuka gukabije k’ubushobozi bw’utanga serivisi bwerekeye kubahiriza ibikubiye mu masezerano; 11°ikomeza ry’imirimo: Amasezerano agomba kuba arimo ingingo z’ubundi buryo bwakoreshwa, uko bugeragezwa, kugira ngo habeho ugukomeza kw’ibikorwa by’ubucuruzi. a) the service provider undergoes a change in ownership; b) the service provider becomes insolvent or goes into liquidation; c) the service provider goes into receivership or judicial management whether in Rwanda or elsewhere; d) there has been a breach of security or confidentiality; e) there is a demonstrable deterioration in the ability of the service provider to perform the contracted service; 11°business continuity: The contract shall contain clauses for contingency plans and testing thereof to maintain business continuity. a) le fournisseur de services subit un changement de propriétaire; b) le prestataire de services devient insolvable ou est mis en liquidation; c) le prestataire de services entre en redressement judiciaire ou en gestion judiciaire que ce soit au Rwanda ou ailleurs; d) il y a eu violation de la sécurité ou de la confidentialité; e) il y a une détérioration démontrable de la capacité du fournisseur de services à exécuter le service contracté; 11°continuité des activités: le contrat doit contenir des clauses sur les plans d'urgence et leurs tests pour maintenir la continuité de l'activité commerciale;

Official Gazette n° Special of 17/06/2022 279 12°kwifashisha undi muntu mu mirimo nawe akifashisha abandi : Ikigo kigenzurwa igomba kugumana ubushobozi bwo gukururikirana no kugenzura amasezerano yayo yo kwifashisha undi muntu mu gukora imirimo igihe utanga serivisi akoresheje uwapatanishijwe igice cy’imirimo. Amasezerano yo kwifashisha undi muntu mu gukora imirimo agomba kuba arimo ingingo zisobanura amabwiriza agenga kwifashisha undi muntu mu mirimo nawe akifashisha abandi n’aho uburenganzira bwo gupatanisha igice cy’imirimo bugarukira. Ikigo kigomba gushyira mu masezerano ingingo zigaragaza uburyozwe bw’utanga serivisi ku byerekeye imikorere n’imicungire y’ibyateza ingorane ku wo yapatanishije no ku byerekeye kuba uwo yapatanishije yubahiriza ibikubiye mu masezerano hagati y’utanga serivisi n’ikigo, harimo imikorere ishishoza isobanuye muri aya mabwiriza. Ikigo kigenzurwa igomba gukora ku buryo gupatanisha igice icyo ari cyo cyose cy’ibikorwa bikubiye mu masezerano yo kwifashisha undi muntu mu gukora imirimo yagira 12°sub-outsourcing: The regulated institution shall retain the ability to monitor and control its outsourcing arrangements when a service provider uses a sub-outsourcing. An outsourcing agreement shall contain clauses setting out the rules and limitations on sub - outsourcing. A regulated institution shall include clauses making the service provider contractually liable for the performance and risk management practices of its sub-outsourcing arrangements and for the sub￾outsourcing’s compliance with the provisions in its agreement with the service provider, including the prudent practices set out in this regulation. The regulated institution must ensure that the sub- outsourcing of any part of material outsourcing arrangements is subject to the institution’s prior approval; 12°sous-externalisation: Une institution réglementée conserve la capacité de suivre et de contrôler ses arrangements de l’externalisation lorsqu'un prestataire de services utilise un sous-traitant. Un accord de l’externalisation doit contenir des stipulations relatives aux règles et limites de l’externalisation. Un établissement doit inclure des clauses qui rendent le prestataire de services contractuellement responsable de l’exécution du contrat et des pratiques de gestion des risques de son sous￾traitant et du respect par le sous-traitant des stipulations dans son accord avec le prestataire de services, y compris les pratiques prudentes énoncées dans ce règlement . Une institution réglementée doit veiller à ce que l’externalisation de toute partie des arrangements de l’externalisation substantielle soit soumise à l'approbation préalable d’une institution réglementée ;

Official Gazette n° Special of 17/06/2022 280 ingaruka zikomeye bigomba kubanza kwemezwa na ikigo kigenzurwa ; 13°amategeko yubahirizwa: Amasezerano agomba kuba arimo ingingo zo guhitamo amategeko ayagenga, ingingo zigenga amasezerano, n’izerekeye inkiko zifite ububasha ziteganya ifatwa ry’ibyemezo igihe habayeho amakimbirane hagati y’impande zagiranye amasezerano hashingiwe ku mategeko y’igihugu runaka; 14°nyir’amakuru: amasezerano agenga uburyo bw’imikoranire avuga ku buryo bwumvikana ko nyir’amakuru ari ikigo kigenzurwa. Amakuru agumanwa kugirango hasohozwe umugambi ayo makuru agomba agukureshwa uretse igihe amategeko yaba abiteganya ukundi. Ikigo kigenzurwa ndetse n’utanga serivisi bagomba kumenya icyo amategeko y’igihugu amakuru azabikwamo ku byerekeye nyir’amakuru; 15°ibanga ry’amakuru: amasezerano agenga imikoranire agomba kuba akubieymo ingingo yerekeye uko amakuru agomba kugirwa ibanga. 13°applicable laws: Agreements shall include choice-of-law provisions, agreement covenants and jurisdictional covenants that provide for adjudication of disputes between the parties under the laws of a specific jurisdiction; 14°data ownership: The agreement shall clearly state that the regulated institution retains the ownership of data. The data shall be retained to satisfy the purpose for which it is processed except where the law provides otherwise. The regulated institution and the service provider shall understand how data ownership rights are affected by different laws of countries, which will host the data; 15°confidentiality: the agreement shall include confidentiality provisions. 13°lois applicables: les accords devraient inclure des stipulations sur le choix de la loi applicable, les clauses relatives à l'accord et clauses attributives de juridiction qui prévoient la résolution des différends entre les parties en vertu des lois d'un pays spécifique ; 14°propriété des données: L'accord doit clairement stipuler que l'institution réglementée conserve la propriété des données. Les données sont conservées pour répondre à la finalité pour laquelle elles sont traitées, sauf disposition contraire de la loi. L'institution réglementée et le fournisseur de services doivent comprendre comment les droits de propriété des données sont affectés par les différentes lois des pays qui hébergeront les données ; 15°confidentialité: l'accord doit comporter des dispositions de confidentialité.

Official Gazette n° Special of 17/06/2022 281 Ikigo kigenzurwa igomba gutegura buri masezerano ku buryo yatanga ibisubizo byavuka bitewe n’ingorane z’igihugu no ku mbogamizi zavuka mu gukora igenzura no mu gucunga amasezerano yo kwifashisha undi muntu mu gukora imirimo yagiranye n’utanga serivisi utari uwo mu Rwanda. Ingingo ya 10: Amasezerano y’urwego rwa serivisi n’ibipimo by’imikorere Ikigo kigenzurwa ishyira amasezerano y’urwego rwa serivisi (SLA) mu masezerano yo kwifashisha undi muntu mu gukora imirimo mu rwego rwo kwemeranya no gushyiraho uburyozwe ku nshingano ku byitezwe ku mikorere. Amasezerano y’urwego rwa serivisi agomba gusobanura neza ibishingirwaho mu gupima ireme n'ingano y'inzego za serivisi. Ikigo kigenzurwa igomba gutegura ibi bikurikira mu rwego rwo gushyiraho gahunda nziza y’ubugenzuzi: 1° politiki yemewe isobanura gahunda y’amasezerano y’urwego rwa serivisi; 2° uburyo bwo gukurikirana amasezerano y’urwego rwa serivisi; The regulated institution shall tailor each agreement to address issues arising from country risks and potential obstacles in exercising oversight and management of the outsourcing arrangements made with a service provider outside Rwanda. Article 10: Service Level Agreements and performance metrics The regulated institution shall include Service Level Agreements (SLAs) in the outsourcing contracts to agree and establish accountability for performance expectations. SLAs must clearly formalize the performance criteria to measure the quality and quantity of service levels. The regulated institution shall develop the following towards establishing an effective oversight program: 1° formal policy that defines the SLA program; 2° SLA monitoring process; Une institution réglementée doit adapter chaque accord pour résoudre les problèmes découlant des risques du pays et des obstacles potentiels dans le contrôle et la gestion des accords de l’externalisation conclus avec un prestataire de services en dehors du Rwanda. Article 10: Accords sur le niveau de service et paramètres de performance Une institution réglementée inclut les accords sur le niveau de service (SLA) dans les contrats de l’externalisation pour accepter et établir la responsabilité concernant les attentes en matière de rendement. Les SLA doivent formaliser clairement les critères de performance pour mesurer la qualité et la quantité des niveaux de service. Une institution réglementée doit développer ce qui suit pour établir un programme de supervision efficace: 1° une politique formelle qui définit le programme SLA; 2° le processus de suivi des SLA;

Official Gazette n° Special of 17/06/2022 282 3° inzira ziyambazwa igihe habayeho kwica amasezerano ; 4° uburyo bwo kuzamuka ku rundi rwego; 5° uburyo bwo gukemura impaka; 6° uburyo uwo ari we wese mu bagiranye amasezerano ashobora gusesa amasezerano; 7° Isubukurabikorwa n’ikomeza ryabyo; 8° gucunga amakuru; 9° kwiyemeza kuboneka kwa serivisi; 10°ibihano n’ukubura kw’amafaranga atangwa mu nguzanyo; 11°uburyozwe. Ku bikorwa by’ikoranabuhanga byifashisha undi muntu, ibipimo byihariye bishobora gusobanurwa hagendewe ku iboneka rya serivisi, ugukomeza kw'imirimo n'umutekano w'igikorwa, mu rwego rwo gupima imirimo yakozwe n’ikigo cyo hanze ya ikigo kigenzurwa cyagurishije serivisi. 3° recourse in case of non-performance; 4° escalation process; 5° dispute resolution process; 6° conditions in which the contract may be terminated by either party 7° Disaster Recovery (DR) and Business Continuity; 8° data management; 9° service availability commitment; 10°penalties and credit outage calculation; 11°indemnity. For outsourced technology operations, specific metrics may be defined around the service availability, business continuity and transaction security, in order to measure services rendered by the external vendor organization. 3° les recours en cas de non-exécution; 4° le processus d'escalade; 5° le processus de règlement des différends; 6° les conditions dans lesquelles le contrat peut être résilié par l'une ou l'autre partie; 7° reprise après sinistre continuité des activités; 8° gestion des données; 9° engagement de disponibilité de service; 10°calcul des pénalités et durée des pannes 11°indemnité. Pour les opérations technologiques sous￾traitées, des indicateurs spécifiques peuvent être définis en fonction de la disponibilité du service, de la continuité d’activité et de la sécurité des opérations afin de mesurer les services rendus par l'organisation fournisseur externe.

Official Gazette n° Special of 17/06/2022 283 Ikigo kigenzurwa isobanura imikorere yitezwe, mu bihe bisanzwe no mu bihe bidasanzwe. Ikigo kigenzurwa igomba gushyiraho ingingo zigaragaza igihe hagomba kugira igikorwa no gukosora ibitameze neza mu gihe utanga serivisi atanze serivisi yo ku rwego rwo hasi. Ingingo ya 11: Igongana ry'inyungu Ikigo kigenzurwa bigomba kumenya, gusuzuma no gucunga igongana ry’inyungu ku bijyanye no gukoresha imirimo y’ikigo abatari abakozi bacyo. Iyo gukoresha imirimo y’ikigo abatari abakozi bacyo bituma habaho igongana ry’inyungu rikabije, ikigo kigenzurwa gifata ingamba zikwiye zerekeye gucunga iryo gongana. Ingingo ya 12: Ingamba zerekeye uko gusohoka mu masezereano bikorwa Ibigo by'imari bigomba kugira ingamba zanditse zivuga kurangiza amasezerano yo gukoresha imirimo y’ikigo abatari abakozi bacyo byagira ingaruka zikomeye zijyanye na politiki yo gukoresha imirimo y’ikigo abatari abakozi bacyo ndetse na gahunda The regulated institution shall define performance expectations, under both normal and contingency circumstances. The regulated institution shall put in place provisions for timely and orderly intervention and rectification in the event of substandard performance by the service provider. Article 11: Conflict of interest A regulated institution shall identify, assess and manage conflicts of interests with regard to the outsourcing arrangements. Where outsourcing creates material conflicts of interests, the regulated institution needs to take appropriate measures to manage those conflicts of interest. Article 12: Exit strategy Regulated institutions shall have a documented exit strategy in the material outsourcing arrangements that is in line with their outsourcing policy and business continuity plans, taking into account at least the possibility of: Une institution réglementée définit les attentes en matière de rendement dans des circonstances normales et de contingence. Une institution réglementée doit prévoir des dispositions pour une intervention et une rectification rapide et ordonnée en cas de performance de qualité inférieure par le prestataire de services. Article 11: Conflit d'intérêts Une institution réglementée identifie, évalue et gère les conflits d'intérêts en ce qui concerne leurs accords d'externalisation. Lorsque l'externalisation crée des conflits d'intérêts importants, une institution réglementée doit prendre des mesures appropriées pour gérer ces conflits d'intérêts. Article 12: Stratégie de sortie Les établissements financiers disposent d'une stratégie de sortie documentée dans les accords d'externalisation importants qui est conforme à leur politique d'externalisation et à leurs plans de continuité des activités, en tenant compte au moins de la possibilité:

Official Gazette n° Special of 17/06/2022 284 y’ikomeza ry’imirimo hitabwa kuri ibi bikurikira: 1° irangizwa ry’amasezerano yerekeye gukoresha imirimo y’ikigo abatari abakozi bacyo; 2° kunanirwa gukora ibyo basabwa k’utanga serivisi; 3° kwangirika k’ubwiza bw’urwego rw’umurimo cyangwa guhagarara gushoboka cyangwa kwarangije kubaho kw’ibikorwa by’ubucuruzi bitewe no gukora mu buryo budakwiye cyangwa kunanirwa gukora uko bikwiye; 4° ibyateza ingorane bikomeye byavuka mu gukomeza gukoresha urwego rw’umurimo mu buryo budakwiye; 5° Ibigo by'imari bigomba kumenya niba bifite ubushobozi bwo kuva mu masezerano yo gukoresha imirimo abatari abakozi bacyo ariko bitabangamiye mu buryo butari ngombwa ibikorwa by’ubucuruzi kandi bitabangamiye ikomeza ry’imiromo ndetse n’ubwiza bwa serivisi baha abaguzi. Kugirango ibi 1° the termination of outsourcing arrangements; 2° the failure of the service provider; 3° the deterioration of the quality of the function provided and actual or potential business disruptions caused by the inappropriate or failed provision of the function; 4° material risks arising for the appropriate and continuous application of the function; 5° regulated institution shall ensure that they are able to exit outsourcing arrangements without undue disruption to their business activities and without any detriment to the continuity and quality of its provision of services to clients. To achieve this, the regulated institution shall: 1° la résiliation des accords d'externalisation; 2° la défaillance du fournisseur de services; 3° la détérioration de la qualité de la fonction fournie et les perturbations commerciales réelles ou potentielles causées par la fourniture inappropriée ou défaillante de la fonction; 4° les risques importants découlant de l'application appropriée et continue de la fonction ; 5° Les établissements financiers veillent à ce qu'ils soient en mesure de sortir des accords d'externalisation sans perturbation indue de leurs activités commerciales et sans porter préjudice à la continuité et à la qualité de ses prestations de services aux clients. Pour y parvenir, une institution réglementée doit:

Official Gazette n° Special of 17/06/2022 285 bigerweho, ikigo kigenzurwa kigomba: a. kugerageza gahunda zabo zo gusohoka (urugero nko gukora isesengura ry’ibyagenda ku isohoka mu masezerano, ingaruka z’isohoka, icyo bivuze ku mutungo no ku gihe mu kwimura imirimo imirimo ikorwa n’abatari abakozi b’ikigo bishyikirizwa undi utanga serivisi; b. kugaragaza ibindi bisubizo kandi hagashyirwaho gahunda y’inzibacyuho kugirango ifashe ikigo kigenzurwa gukuraho urwego rw’umurimo rushnzwe gukoresha imirimo y’ikigo abatari bakozi bacyo ndetse n’amakuru afitwe n’utanga serivisi kugirango byohererezwe undi utanga serivisi usimbura uwambere cyangwa kugarurwa mu kigo cy’imari; c. gufata izindi ngamba zituma habaho habaho ikomeza ryo a. test their exit plans (e.g. by carrying out an analysis of the potential costs, impacts, resources and timing implications of transferring an outsourced service to an alternative provider); b. identify alternative solutions and develop transition plans to enable the regulated institution to remove outsourced functions and data from the service provider and transfer them to alternative providers or back to the regulated institution; c. take other measures that ensure the continuous a. tester leurs plans de sortie (par exemple en effectuant une analyse des coûts potentiels, des impacts, des ressources et des implications temporelles du transfert d'un service externalisé à un fournisseur alternatif); b. identifier des solutions alternatives et élaborer des plans de transition pour permettre à une institution réglementée de supprimer les fonctions et données externalisées du prestataire de services et de les transférer à des prestataires alternatifs ou de les retourner une institution réglementée ; c. prendre d'autres mesures qui assurent la fourniture continue

Official Gazette n° Special of 17/06/2022 286 gutanga serivisi z’ingenzi cyangwa ibikorwa by’ubucuruzi mu buryo bugenzuwe kandi bwageragejwe mu buryo buhagije hitabwa ku ku ngorane zavuka bitewe n’aho amakuru aherereye kandi hagafatwa ingamba zikenewe kugirango ibikorwa bikomeze mu gihe cy’inzibacyuho. Ingingo ya 13: Uburyo bw’igenzura bushyirwaho n’tanga serivisi Ikigo kigenzurwa cy’imari kigomba gusuzuma ko uburyo bw’igenzura bwashyizweho n’utanga serivisi bukomeye. Hagomba kureba ko utanga serivisi yita kuri ibi bikurikira: 1° umutekano w’amakuru ndetse n’ubukangurambaga ku bakozi; 2° igenzura hagamijwe ko abakozi b’utanga serivisi, bagera ku amakuru y’imari atagenewe rubanda mu buryo buboneye kuburyo amakuru provision of the critical or important function or business activity in a controlled and sufficiently tested manner, taking into account the challenges that may arise because of the location of data and taking the necessary measures to ensure business continuity during the transition phase. Article 13: Control environment offered by the service provider The regulated institution shall evaluate the adequacy of internal controls environment offered by the service provider. Due consideration shall be given to the implementation of following by the service provider: 1° information security policies and employee awareness; 2° controls for logical access to non￾public financial data by service provider staff, so that information may be accessed on a need-to-know basis only; de la fonction critique ou importante ou de l'activité commerciale d'une manière contrôlée et suffisamment testée, en tenant compte des défis pouvant survenir du fait de la localisation des données et en prenant les mesures nécessaires pour assurer la continuité des activités pendant la phase de transition. Article 13: Environnement de contrôle offert par le prestataire de services Une institution réglementée doit évaluer la pertinence de l'environnement des contrôles internes offert par le prestataire de services. Le prestataire de services doit accorder une attention particulière à la mise en œuvre de ce qui suit: 1° les politiques de sécurité de l'information et de sensibilisation des employés; 2° les contrôles en vue de l'accès logique aux informations financières non publiques par le personnel du prestataire de services de sorte que l'information

Official Gazette n° Special of 17/06/2022 287 agerwaho gusa n’abayakeneye mu nshingano zabo; 3° umutekano w’ibidukukije ndetse n'umutekano wabyo; 4° umutekano w’umuyoboro wa interineti; 5° uburyo buzwi bwerekeranye no gukurikirana no gucunga impinduka ziba muri gahunda; 6° uburyo n’inzira byo gutanga raporo zerekeye ikibazo n’icungwa ryabyo; 7° uburyo bwihariye utanga serivisi akoresheje uburyo bwo kubika amakuru bw’iaya kure; 8° uburyo bukoreshwa mu gucunga amakuru y’imari; 9° gushyira mu byiciro amakuru ndetse n’uburyo bw’igenzura bukoreshwa mu kuyakoresha. 3° environmental security controls; 4° network security controls; 5° formal process for tracking and monitoring program changes; 6° process for incident reporting and problem management; 7° special control considerations for service providers using cloud computing as part of service; 8° control considerations for handling of financial data; 9° data classification and controls for handling data. puisse être consultée en cas de nécessité absolue seulement; 3° les contrôles de sécurité physique et environnementale; 4° les contrôles de sécurité du réseau; 5° le processus formel de suivi et de surveillance des changements de programme; 6° le processus de déclaration des incidents et de gestion des problèmes; 7° les considérations de contrôle spécial pour les prestataires de services utilisant l’informatique en nuage dans le cadre du service; 8° les considérations de contrôle pour le traitement des informations sur les clients; 9° la classification des données et contrôles pour le traitement des données.

Official Gazette n° Special of 17/06/2022 288 Ingingo ya 14: Kugira ibanga n’umutekano w’amakuru atagenewe rubanda Ikigo kigenzurwa igomba kwizera ko politiki z’umutekano, imikorere n’amagenzura by’utanga serivisi bizatuma ikigo kigenzurwa irinda ibanga n’umutekano by’amakuru y’abakiriya. Ikigo kigenzurwa igomba kugira icyo ikora hakiri kare mu kugaragaza no kugena mu masezerano yo kwifashisha undi muntu mu gukora imirimo ibisabwa byerekeye kugira ibanga, umutekano no kuboneka kw’ amakuru. Ikigo kigenzurwa igomba gukora ibi bikurikira mu rwego rwo kurinda amabanga n'umutekano w'amakuru atagenewe rubanda : 1° kugaragaza inshingano z’impande zigirana amasezerano mu kwifashisha undi muntu mu gukora imirimo kugira ngo yizere ko politiki n’ibikorwa by’umutekano biri ku rwego rushimishije kandi bikora neza, harimo n’ibihe bisobanuye aho buri ruhande rufite uburenganzira bwo guhindura ibisabwa bijyanye n’umutekano. Amasezerano yo kwifashisha undi muntu mu gukora Article 14: Confidentiality and security of non-public data The regulated institution shall satisfy itself that the service provider’s security policies, procedures and controls will enable the regulated institution to protect the confidentiality and security of non-public data. The regulated institution must be proactive in identifying and specifying requirements for confidentiality, integrity and availability in the outsourcing arrangement. The regulated institution must take the following steps to protect the confidentiality and security of non￾public data: 1° State the responsibilities of contracting parties in the outsourcing agreement to ensure the adequacy and effectiveness of security policies and practices, including the circumstances under which each party has the right to change security requirements. The outsourcing agreement shall also address: Article 14: Confidentialité et sécurité d’informations non publiques Une institution réglementée doit s'assurer que les politiques, les procédures et les contrôles de sécurité du prestataire de services permettront à une institution réglementée de protéger la confidentialité et la sécurité des informations sur les clients. Une institution réglementée doit être proactive pour identifier et spécifier les exigences de confidentialité, d'intégrité et de disponibilité dans l’arrangement de l’externalisation. Une institution réglementée doit prendre les mesures suivantes pour protéger la confidentialité et la sécurité des informations non publiques: 1° Indiquer les responsabilités des parties contractantes dans l'accord de l’externalisation pour assurer l'adéquation et l'efficacité des politiques et pratiques de sécurité, y compris les circonstances dans lesquelles chaque partie a le droit de modifier les exigences de sécurité. L'accord de l’externalisation doit également répondre à:

Official Gazette n° Special of 17/06/2022 289 imirimo agomba no gusubiza ibibazo bikurikira: a. ikibazo cy’uruhande rwaryozwa ibihombo igihe habayeho kutubahiriza kubika ibanga, umutekano w’amakuru y’abakiriya n’inshingano z’utanga serivisi zo kumenyesha ikigo kigenzurwa ; b. ikibazo cy’uko utanga serivisi agera ku makuru n’uko ayatangaza. amakuru atagenewe rubanda agomba gukoreshwa n’utanga serivisi hamwe n’abakozi be mu bijyanye gusa na serivisi yemerewe gutanga ivugwa mu masezerano; 2° kugaragariza utanga serivisi amakuru atagenewe rubanda kugirango abashe gukora inshingano ze gusa; 3° gukora ku buryo utanga serivisi ashobora kurinda amabanga yerekeye amakuru, inyandiko n’imitungo by’abakiriya, cyane cyane mu bihe utanga serivisi yasinye amasezerano menshi yo guha abakiriya batandukanye serivisi a. the issue of the party liable for losses in the event of a breach of confidentiality, security of personal data and the service provider’s obligation to inform the institution; b. the issue of access to and disclosure of information by the service provider. Non-public data shall be used by the service provider and its staff strictly for the purpose of the contracted service; 2° disclose non-public data to the service provider only on a need-to- know basis; 3° ensure the service provider is able to protect the confidentiality of non￾public data, documents, records, and assets, particularly where multi￾tenancy arrangements are present at the service provider; a. la question de la partie responsable pour les dommages en cas de violation de la confidentialité, de la sécurité des informations sur les clients et de l'obligation du prestataire de services d'informer une institution réglementée ; et b. la question d'accès à l’information et de divulgation de l'information par le prestataire de services. Les informations non publiques sur les clients doivent être utilisées par le prestataire de services et son personnel strictement aux fins du service contracté; 2° divulguer les informations non publiques aux prestataires de services selon le principe du besoin d'en connaître; 3° s’assurer que le prestataire de services est capable de protéger la confidentialité des informations non publique, des documents, des dossiers et des biens des clients, en particulier lorsque le prestataire de services a conclu des arrangements d’hébergement multi￾client;

Official Gazette n° Special of 17/06/2022 290 akoresheje porogaramu ya mudasobwa bahuriyeho; 4° gusuzuma no gukurikirana uko umutekano wubahirizwa n’ibikorwa byo kugenzura utanga serivisi ku buryo buhoraho, harimo gushyiraho ubugenzuzi no kubona za raporo z’inzobere ku kuba uburyo bwo kugira ibanga n’umutekano w’amakuru atagenewe rubanda bikwiye no kuba ibikorwa by’utanga serivisi byubahiriza amategeko n’amabwiriza, no gusaba utanga serivisi kumenyesha ikigo kigenzurwa igihe habayeho ukutubahiriza kugira ibanga ku byerekeye amakuru y’abakiriya. Abagiranye amasezerano bagomba kugirana amasezerano yerekeye kudashyira amakuru hanze. 4° review and monitor the security practices and control processes of the service provider on a regular basis, including commissioning audits or obtaining periodic expert reports on confidentiality, adequacy of security of non-public data, compliance in respect of the operations of the service provider, and requiring the service provider to disclose to the institution breaches of confidentiality in relation to non -public information. Contracting parties shall sign a non-disclosure agreement. 4° examiner et suivre régulièrement les pratiques de sécurité et les processus de contrôle du prestataire de services, y compris le recours aux audits ou l'obtention de rapports périodiques d'experts sur la confidentialité, la convenance de la sécurité des informations non publiques et la conformité relative aux opérations du prestataire de services ainsi que l’exigence au prestataire de services de divulguer à une institution réglementée des manquements à l’obligation de confidentialité en relation avec les informations sur les clients. Les parties contractantes doivent signer un accord de non-divulgation. Ingingo ya 15: Imicungire y’ikomeza ry’imirimo Ikigo kigenzurwa kigomba gukora ku buryo amasezerano yo kwifashisha undi muntu mu gukora imirimo adahungabanya ugukomeza kw’ibikorwa byayo by’ubucuruzi. Ikigo kigenzurwa kigomba kugira imikorere Article 15: Business Continuity Management A regulated institution shall ensure that its business continuity is not compromised by outsourcing arrangements. The institution shall adopt the sound practices and standards contained in the Business Continuity Article 15: Gestion de la continuité des activités Une institution réglementée doit s’assurer que la continuité de son activité n’est pas compromise par des arrangements de l’externalisation. Une institution réglementée doit adopter les bonnes pratiques et les normes

Official Gazette n° Special of 17/06/2022 291 n’ibipimo byiza biri mu amabwiriza rusange agenga imicungire y’ikomeza ry’imirimo (BCM) ashyirwaho na Urwego rw’Ubugenzuzimu gusuzuma ingaruka kwifashisha undi muntu mu gukora imirimo byagira ku miterere y’ibyayiteza ingorane no ku mikorere myiza y’imicungire y’ikomeza ry’imirimo. Ku bijyanye n’amabwiriza rusange agenga micungire y’ikomeza ry’imirimo, ikigo gifata ingamba zo gusuzuma no gukora ku buryo yizera ko ingorane zaturuka ku mikoranire iturutse ku masezerano yo kwifashisha undi muntu mu gukora imirimo zacungwa neza ku buryo ingaruka zayo zagabanuka ku buryo ikigo kigumana ubunyangamugayo n’ubushobozi bwo gukora ibikorwa byacyo by'ubucuruzi mu gihe serivisi igize ibibazo cyangwa igahagarara, cyangwa se habayeho guseza amasezerano yo kwifashisha undi muntu mu gukora imirimo ku buryo butari bwitezwe cyangwa ikigo gitanga serivisi kiramutse gisheshwe. Igomba gufata ingamba zirimo izikurikira: Management (BCM) regulation issued by Supervisory Authority, in evaluating the impact of outsourcing on its risk profile and for effective BCM. In line with the BCM regulation, the institution shall take steps to evaluate and satisfy itself that the interdependency risk arising from the outsourcing arrangement can be adequately mitigated such that the institution remains able to conduct its business with integrity and competence in the event of a service disruption or failure, unexpected termination of the outsourcing arrangement or liquidation of the service provider. These shall include taking the following steps: contenues dans le règlement sur la gestion de la continuité des activités («BCM») édicté par l’Autorité de contrôle lors de l’évaluation de l'impact de l’externalisation sur son profil de risque et en vue d’une gestion de la continuité des activités efficace. Conformément au règlement BCM, une institution réglementée doit prendre des mesures pour évaluer et s'assurer que le risque d’interdépendance découlant de l’arrangement de l’externalisation peut être atténué de façon adéquate de sorte que l'établissement reste capable de mener ses activités avec intégrité et compétence en cas d'une perturbation de service ou d'une panne, ou d'une résiliation inattendue de l’arrangement de l’externalisation ou de la liquidation du prestataire de services. Ces mesures doivent inclure les étapes suivantes:

Official Gazette n° Special of 17/06/2022 292 1° Kwemeza ko utanga serivisi afite gahunda ziboneye zo gukomeza ibikorwa by’ubucuruzi zijyanye n’ubwoko, urwego n’urusobe rw’amasezerano yo kwifashisha undi muntu. Amasezerano yo kwifashisha undi muntu mu gukora imirimo yagombye kuba arimo ibisabwa na gahunda yo gukomeza ibikorwa by’ubucuruzi, intego z’igihe cyo kugarura ibintu mu buryo (RTO), intego zitabwaho mu kugarura ibintu mu buryo (RPO) hamwe n’ubushobozi bwo gusubukura ibikorwa ; 2° Kumenya hakiri kare uko utanga serivisi yiteguye gukurikiza gahunda y’ikomeza ry’imirimo y’ubucuruzi, cyangwa akagira uruhare mu kuyigerageza, igihe bishoboka. Banki igomba gukora ku buryo utanga serivisi agerageza buri gihe gahunda ze z’ugukomeza kw’ibikorwa by’ubucuruzi kandi amagerageza akemeza intego z’igihe cyo gusubiza ibintu mu buryo, ibigomba kwitabwaho mu gusubiza 1° Determine that the service provider has in place satisfactory business continuity plans (BCP) that are commensurate with the nature, scope and complexity of the outsourcing arrangement. Outsourcing agreements shall contain BCP requirements on the service provider, in particular, recovery time objectives (RTO), recovery point objectives (RPO), and resumption operating capacities; 2° Proactively seek assurance on the state of BCP preparedness of the service provider, or participate in joint testing, where possible. The institution shall ensure the service provider regularly tests its BCP plans and that the tests validate the feasibility of the RTO, RPO and resumption operating capacities. Such tests would serve to familiarise the institution and the service provider with the recovery processes as well as improve the 1° Vérifier si le prestataire de services a mis en place des plans satisfaisants de continuité des activités (« BCP ») qui correspondent à la nature, la portée et la complexité de l’arrangement de l’externalisation. Les accords de l’externalisation doivent contenir des exigences BCP à l’égard du prestataire de services, en particulier les objectifs de délai de reprise (RTO), les objectifs de point de reprise informatique (RPO) et les capacités de reprise; 2° S’assurer de manière proactive de l'état de préparation du BCP du prestataire de services ou participer à des tests conjoints dans la mesure du possible. Une institution réglementée s’assure que le prestataire de services teste régulièrement ses plans BCP et que les tests valident la faisabilité du RTO, celle du RPO et les capacités de reprise. De tels tests serviraient à familiariser une institution réglementée et le prestataire de services avec les processus de reprise

Official Gazette n° Special of 17/06/2022 293 ibintu mu buryo hamwe n’ubushobozi bwo gusubukura ibikorwa. Ayo masuzuma afite intego zo kumenyereza ikigo kigenzurwa hamwe n’utanga serivisi uburyo bwo kugarura ibintu mu buryo hamwe no kunoza imikoranire hagati y’impande zirebwa. Ikigo kigenzurwa gisaba utanga serivisi kukimenyesha igerageza iryo ari ryo ryose abona ko ryagira ingaruka ku mikorere y’utanga serivisi. Ikigo kigenzurwa kandi gisaba utanga serivisi kuyimenyesha impinduka zose zikomeye muri gahunda ye y’ikomeza ry’ibikorwa by’ubucuruzi zagira ingaruka zikomeye kuri serivisi itangwa ku kigo cy’imari; 3° Gukora ku buryo habaho gahunda n’uburyo byo guhangana n’ibihe bitari byiza cyangwa gusesa amasezerano yo kwifashisha undi muntu mu gukora imirimo ku buryo ikigo kigenzurwa cyashobora gukomeza ibikorwa byacyo by’ubucuruzi kandi inyandiko zose, amakuru ku bikorwa hamwe coordination between the parties involved. The regulated institution shall require the service provider to notify it of any test finding that may affect the service provider’s performance. The institution shall also require the service provider to notify it of any substantial changes in the service provider’s BCP plans and of any adverse development that could substantially impact the service provided to the institution; 3° Ensure that there are plans and procedures in place to address adverse conditions or termination of the outsourcing arrangement such that the institution will be able to continue business operations and that all documents, records of transactions and information previously given to the service provider should be ainsi qu’à améliorer la coordination entre les parties impliquées. Une institution réglementée doit exiger que le prestataire de services l'informe de tout résultat de test susceptible d'affecter le rendement du prestataire de services. Une institution réglementée doit demander également au prestataire de services de l'informer de tout changement important dans les plans BCP du prestataire de services et de tout développement défavorable susceptible d'avoir un impact important sur le service fourni à l'établissement; 3° S’assurer qu'il existe des plans et des procédures pour gérer les conditions défavorables ou la résiliation de l’arrangement de l’externalisation afin qu’une institution réglementée puisse continuer ses activités commerciales et que tous les documents, registres des opérations et informations précédemment donnés au prestataire de

Official Gazette n° Special of 17/06/2022 294 n’amakuru utanga serivisi yahawe mbere byahita byakwa utanga serivisi cyangwa bigasibwa, bigasenywa cyangwa bagakora ku buryo bidashobora gukoreshwa. Ku birebana no kwizera imikorere kandi myiza ya gahunda yo gukomeza ibikorwa by’ubucuruzi, ikigo kigomba gushyiraho kandi kikanakora buri gihe isuzuma ryuzuye kandi rifite intego rya gahunda yo gukomeza ibikorwa by’ubucuruzi rijyanye n’ubwoko, urwego hamwe n’urusobe rw’amasezerano yo kwifashisha undi muntu mu gukora imirimo. Kugira ngo amasuzuma abe yuzuye kandi afite intego, ikigo kigenzurwa kigomba gukora ku buryo utanga serivisi agira uruhare mu kwemeza gahunda yacyo y’ikomeza ry’ibikorwa by’ubucuruzi hamwe no gusuzuma ko abakozi bayo bazi iyo gahunda no kuba biteguye kuyikoresha. Ikindi ni uko ikigo kigenzurwa kigomba kugira uruhare muri gahunda zo gukomeza ibikorwa z’abatanga serivisi no mu buryo basohoka mu ngorane bahura na zo. promptly removed from the possession of the service provider or deleted, destroyed or rendered unusable. For assurance on the functionality and effectiveness of its BCP plan, a regulated institution shall design and carry out regular, complete and meaningful BCP testing that is commensurate with the nature, scope and complexity of the outsourcing arrangement. For tests to be complete and meaningful, the institution must involve the service provider in the validation of its BCP and assessment of the awareness and preparedness of its own staff. Similarly, the regulated institution shall take part in its service providers’ BCP and disaster recovery exercises. services soient rapidement retirés de la possession du prestataire de service ou supprimés, détruits ou rendus inutilisables. Pour une assurance sur la fonctionnalité et l'efficacité de son plan BCP, institution réglementée doit concevoir et réaliser des tests BCP réguliers, complets et significatifs qui correspondent à la nature, la portée et la complexité de l’arrangement de l’externalisation. Pour que les tests soient complets et significatifs, une institution réglementée doit impliquer le prestataire de services dans la validation de son BCP et l'évaluation de la sensibilisation et de la préparation de son propre personnel. De même, l'établissement doit participer aux exercices de ses prestataires de services en rapport avec le BCP et la reprise après sinistre.

Official Gazette n° Special of 17/06/2022 295 Ikigo kigenzurwa kigomba kwita ku bihe bibi bishoboka muri gahunda zayo zo gukomeza ibikorwa by’ubucuruzi. Zimwe mu ngero z’ibyo bihe ni ukutabone k’utanga serivisi bitewe n’iseswa ritari ryitezwe ry’amasezerano yo kwifashisha undi muntu mu gukora imirimo, iseswa ry’ikigo cy’utanga serivisi n’amahungabana ashobora kugira ingaruka ikomeye ku kigo cyangwa ku utanga serivisi. Iyo gucungira ku kigo mu rwego rw’imari biri ku kigero cyo hejuru, ikigo kigenzurwa gikora ku buryo kigumana igipimo cyo hejuru cyo kuba cyiteguye gukomeza ibikorwa by’ubucuruzi. Kugaragaza ubundi buryo bwiza bwakoreshwa mu gusubukura ibikorwa hatabayeho gukoresha ibiciro by’umurengera na byo ni ingenzi mu kugabanya ingorane zituruka ku kuba hari uwo ucungiraho. The regulated institution shall consider worst￾case scenarios in its business continuity plans. Some examples of these scenarios are unavailability of service provider due to unexpected termination of the outsourcing agreement, liquidation of the service provider and wide-area disruptions that result in collateral impact on both the institution and the service provider. Where the interdependency on an institution in the financial system is high, the institution should maintain a higher state of business continuity preparedness. The identification of viable alternatives for resuming operations without incurring prohibitive costs is also essential to mitigate interdependency risk. Une institution réglementée considère les pires scénarios dans ses plans de continuité d'activités. Quelques exemples de ces scénarios sont l'indisponibilité du prestataire de services suite à la résiliation inattendue de l'accord de l’externalisation, à la liquidation du prestataire de services et à des perturbations de grande envergure qui ont un impact collatéral tant sur l'établissement que sur le prestataire de services. Lorsque l’interdépendance vis-à-vis un établissement dans le système financier est élevée, l'établissement doit maintenir une préparation plus élevée de la continuité des activités. L'identification d’alternatives viables pour reprendre les opérations sans s’exposer aux coûts prohibitifs est également essentielle pour atténuer les risques d’interdépendance. Ingingo ya 16: Gukurikirana no kugenzura amasezerano yo kwifashisha undi muntu mu gukora imirimo Ikigo kigenzurwa gishyiraho uburyo bw’imicungire no kugenzura amasezerano yacyo yo kwifashisha undi muntu mu gukora Article 16: Monitoring and control of outsourcing arrangements The regulated institution shall establish a structure for the management and control of its outsourcing arrangements. Such a structure Article 16: Suivi et contrôle des accords de l’externalisation Une institution réglementée doit établir une structure pour la gestion et le contrôle de ses accords de l’externalisation. Une telle structure

Official Gazette n° Special of 17/06/2022 296 imirimo. Ubwo buryo buzagenda buhinduka bitewe n’ubwoko hamwe n’urwego rw’ingorane by’amasezerano yo kwifashisha undi muntu mu gukora imirimo. Kubera ko imikoranire n’ubwuzuzanye bishingiye ku masezerano yo kwifashisha undi muntu mu gukora imirimo bigenda byiyongera hashingiwe ku buremere no ku rusobe, hagomba gushyirwaho uburyo butejenjetse bw’imicungire y’ibyateza ingorane. Ikigo kigenzurwa kigomba gushyiraho ingamba zikurikira kugira ngo habeho ikurikiranabikorwa n’igenzura bikora neza by’amasezerano ayo ari yo yose yo kwifashisha undi muntu mu gukora imirimo yagira ingaruka zikomeye: 1° Kugira igitabo cyandikwamo amasezerano yo kwifashisha undi muntu mu gukora imirimo yagira ingaruka zikomeye ku kigo no gukora ku buryo icyo gitabo kiboneka igihe cyose kugira ngo will vary depending on the nature and extent of risks in the outsourcing arrangements. As relationships and interdependencies in respect of outsourcing arrangements increase in materiality and complexity, a more rigorous risk management approach shall be adopted. The institution must be more proactive in its relationship with the service provider (e.g., having frequent meetings) to ensure that performance, operational, internal control and risk management standards are upheld. The regulated institution shall put in place all the following measures for effective monitoring and control of any material outsourcing arrangement: 1° Maintain a register of all material outsourcing arrangements and ensure that the register is readily accessible for review by the board and senior management of the institution. The register shall be updated promptly and variera en fonction de la nature et de l'étendue des risques dans les arrangements de l’externalisation. Au fur et à mesure que les relations et les interdépendances en ce qui concerne les arrangements de l’externalisation augmentent en importance et en complexité, une approche de gestion des risques plus rigoureuse doit être adoptée. Une institution réglementée doit être plus proactive dans ses relations avec le prestataire de services (par exemple, avoir des réunions fréquentes) pour s'assurer que les normes de performance, de fonctionnement, de contrôle interne et de gestion des risques sont respectées. Une institution réglementée doit mettre en place toutes les mesures suivantes pour un suivi et un contrôle efficace de tout arrangement de l’externalisation substantielle: 1° Tenir un registre de tous les arrangements de l’externalisation substantielle et veiller à ce que le registre soit facilement accessible pour examen par le Conseil d'administration et la direction générale d’une institution

Official Gazette n° Special of 17/06/2022 297 gisuzumwe n’Inama y’Ubutegetsi hamwe n’ubuyobozi bukuru bw’ikigo kigenzurwa . Amakuru ari muri icyo gitabo agomba guhita asanishwa n'igihe kandi akaba arebwa n'igenzura hamwe n'amasuzuma y’imiyoborere bikorwa n’Inama y'Ubutegetsi hamwe n’ ubuyobozi bukuru bw’ikigo kigenzurwa ; 2° Gushyiraho amatsinda y’imicungire y’amasezerano yo kwifashisha undi muntu mu gukora imirimo afite ibintu byinshi yitaho bakora imirimo itandukanye y’imicungire y’ibyateza ingorane hamwe n’igenzura bwite harimo abanyamategeko, abashinzwe iyubahiriza ry’amategeko n’amabwiriza, n’abashinzwe imari kugira ngo ibibazo byose bya tekiniki hamwe n’ibisabwa mu rwego rw’amategeko n’amabwiriza byubahirizwe. Ikigo kigenzurwa kigomba guha amatsinda y’imicungire y’amasezerano yo kwifashisha undi muntu uburyo buhagije mu bijyanye n’igihe form part of the oversight and governance reviews undertaken by the board and senior management of the institution; 2° Establish multi-disciplinary outsourcing management groups with members from different risk and internal control functions including legal, compliance and finance, to ensure that all relevant technical issues and legal and regulatory requirements are met. The institution shall allocate sufficient resources, in terms of both time and skilled manpower, to the management groups to enable its staff to adequately plan and oversee the entire outsourcing lifecycle; réglementée. Le registre doit être rapidement mis à jour et faire partie des examens de contrôle et de gouvernance entrepris par le Conseil d’administration et la direction générale d’une institution réglementée ; 2° Établir des groupes multidisciplinaires de gestion de l’externalisation ayant des membres en provenance de différentes fonctions de risque et de contrôle interne, y compris la fonction juridique, la fonction de conformité et la fonction finance, pour s'assurer que toutes les questions techniques pertinentes sont traitées et que les exigences légales et réglementaires sont respectées. Une institution réglementée doit allouer des ressources suffisantes, en termes de temps et de main-d’œuvre qualifiée, aux groupes de gestion pour permettre à son personnel de planifier et de superviser adéquatement tout le cycle de vie de l’externalisation;

Official Gazette n° Special of 17/06/2022 298 n’abakozi bafite ubushobozi kugira ngo abakozi bayo bashobore guteganya no kugenzura uko bikwiye ibintu byose birebana no kwifashisha undi muntu mu gukora imirimo; 3° Gushyiraho amatsinda yo kugenzura imicungire yo kwifashisha undi muntu mu gukora imirimo mu rwego rwo gukurikirana no kugenzura imirimo yifashisha undi muntu ku buryo buhoraho. Hagomba kuba hariho politiki n’ibikurikizwa mu gukurikirana uko serivisi itangwa hamwe no kugira ibanga amakuru w’amakuru atagenewe rubanda mu rwego rwo kugenzura uko ibipimo bya serivisi yemeranyweho byubahirizwa no kugira ngo ibikorwa by’ikigo kigenzurwa bitange umusaruro. Iryo kurikiranabikorwa ryagombye gukorwa buri gihe rikanemezwa binyuze mu gusuzuma raporo bikorwa n’abagenzuzi b’utanga serivisi cyangwa abagenzuzi bashyirwaho n’ikigo; 3° Establish outsourcing management control groups to monitor and control the outsourced service on an ongoing basis. There must be policies and procedures to monitor service delivery and the confidentiality and security of non-public data, For the purpose of gauging ongoing compliance with agreed service levels and the viability of the institution’s operations. Such monitoring shall be regular and validated through the review of reports by auditors of the service provider or audits commissioned by the institution; 3° Établir des groupes de contrôle de gestion de l’externalisation pour suivre et contrôler continuellement le service sous-traité. Il doit y avoir des politiques et des procédures pour faire le suivi de la prestation des services, de la confidentialité et de la sécurité des informations non publiques afin de mesurer la conformité continue avec les niveaux de service convenus et la viabilité des opérations d’une institution réglementée. Un tel suivi doit être régulier et validé par l'examen des rapports par les auditeurs du prestataire de services ou les audits ordonnés par l'établissement;

Official Gazette n° Special of 17/06/2022 299 4° Amasuzuma ngarukagihe, nibura rimwe mu mwaka, ku masezerano yose yo kwifashisha undi muntu mu gukora imirimo yagira ingaruka zikomeye ku kigo. Ibi ni ukugira ngo politiki n’ibikurikizwa mu micungire y’ingorane z’ikigo zaturuka ku kwifashisha undi muntu mu gukora imirimo hamwe n'aya amabwiriza rusange bishyirwe mu bikorwa neza. Aya masuzuma agomba kwemeza ko imicungire y’ingorane z’ikigo hamwe n’imicungire y’uburyo bukoresha ikoranabuhanga byashyizweho n’ikigo kigenzurwa bikora neza (nk’urugero gusuzuma ko uburyo butanga umusaruro bukoreshwa hamwe n’ibipimo bikoreshwa mu gusuzuma imikorere n’umutekano w’utanga serivisi) no kugaragaza ibibazo byose mu buryo ikigo kigenzurwa gikoresha mu gukora igenzura ; 5° Politiki zo gutanga raporo n’ibikurikizwa: Raporo ku ikurikiranabikorwa n’igenzura ry’ibikorwa by’ikigo kigenzurwa 4° Periodic reviews, at least on an annual basis, on all material outsourcing arrangements. This is to ensure that the institution’s outsourcing risk management policies and procedures, and this regulation, are effectively implemented. Such reviews shall ascertain the adequacy of internal risk management and management information systems established by the institution (e.g., assessing the effectiveness of processes and metrics used to evaluate the performance and security of the service provider) and highlight any deficiency in the regulated institution ’s systems of control; 5° Reporting: Reports on the monitoring and control activities of the institution shall be reviewed by its senior management and provided to the 4° Examens périodiques, au moins annuellement, de tous les accords de l’externalisation substantielle. Il s'agit de veiller à ce que les politiques et procédures de gestion des risques de l’externalisation de l'établissement ainsi que ce règlement soient effectivement mis en œuvre. Ces examens doivent confirmer l'adéquation des systèmes de gestion interne des risques et des systèmes d'information établis par une institution réglementée (par exemple, l’évaluation de l'efficacité des processus et des indicateurs utilisés pour évaluer le rendement et la sécurité du prestataire de services) et mettre en évidence toute lacune dans les systèmes de contrôle d’une institution réglementée ; 5° Politiques et procédures de transmission des rapports : les rapports sur les activités de suivi et de contrôle d’une institution réglementée doivent être

Official Gazette n° Special of 17/06/2022 300 zigomba gusuzumwa n’ubuyobozi bukuru kandi zigatangwaho amakuru ku Nama y’Ubutegetsi. Ikigo kigenzurwa kigomba gukora ku buryo ibipimo by’ikurikiranabikorwa hamwe n’amakuru ku mikorere bitavangwa n’ibyabandi bakiriya b’utanga serivisi. Ikigo kigenzurwa kigomba kandi gukora ku buryo ikibazo cyose cyavuka cyerekeye amasezerano yo kwifashisha undi muntu mu gukora imirimo gishyikirizwa n’ubuyobozi bukuru bw’ikigo kigenzurwa hamwe n’utanga serivisi cyangwa Inama y’Ubutegetsi y’ikigo kigenzurwa, iyo cyagaragaye, hakiri kare. Iyo havutse ikibazo, ikigo kigenzurwa kigomba gufata ingamba mu buryo bwihuse mu rwego rwo kongera gusuzuma imikorere ishingiye ku kwifashisha undi muntu mu gukora imirimo kugira ngo habeho ivugururwa cyangwa iseswa ry’amasezerano ; hamwe; board for information. The regulated institution must ensure that monitoring metrics and performance data are not aggregated with those belonging to other customers of the service provider. The regulated institution shall also ensure that any adverse development arising in any outsourcing arrangement is brought to the attention of the senior management of the institution and service provider, or to the institution’s board, where warranted, on a timely basis. When adverse development occurs, prompt actions must be taken by the institution to review the outsourcing relationship for modification or termination of the agreement; examinés par sa direction générale et transmis au Conseil d’administration pour information. Une institution réglementée doit s'assurer que les indicateurs de suivi et les données de performance ne sont pas regroupés avec ceux appartenant à d'autres clients du prestataire de services. Une institution réglementée doit également veiller à ce que tout développement défavorable découlant d'un accord de l’externalisation soit, si cela est nécessaire, porté en temps opportun à l'attention de la direction générale d’une institution réglementée et du prestataire de services, ou au Conseil d'administration d’une institution réglementée . En cas de développement défavorable, des mesures rapides doivent être prises par une institution réglementée pour examiner la relation de l’externalisation en vue de modifier ou de résilier l’accord;

Official Gazette n° Special of 17/06/2022 301 6° Gukora amasuzuma y’ishyirwa mu bikorwa by’amasezerano mashya yo kwifashisha undi muntu mu gukora imirimo cyangwa igihe hakozwe ivugururwa ry’amasezerano yo kwifashisha undi muntu mu gukora imirimo. Iyo amasezerano yo kwifashisha undi muntu mu gukora imirimo akorewe ivugururwa rikomeye, hagomba gukorwa isuzumwa ryimbitse ry’amasezerano yo kwifashisha undi muntu mu gukora imirimo. Ingingo ya 17: Ubugenzuzi n’igenzura Amasezerano y’ikigo kigenzurwa yo kwifashisha undi muntu mu gukora imirimo ntagomba kubangamira ubushobozi bwa ikigo kigenzurwa bwo gucunga neza ibikorwa byayo by’ubucuruzi cyangwa ngo abangamire Urwego rw’ubugenzuzi mu gukora imirimo yayo y’ubugenzuzi no gushyira mu bikorwa intego zayo. Ikigo kigenzurwa kigomba gushyira mu masezerano yayo yo kwifashisha undi muntu mu gukora imirimo ku masezerano yo 6° Perform comprehensive pre and post￾implementation reviews of new outsourcing arrangements or when amendments are made to the outsourcing arrangements. If an outsourcing arrangement is materially amended, a comprehensive due diligence of the outsourcing arrangement must also be conducted. Article 17: Audit and Inspection The regulated institution’s outsourcing arrangements must not interfere with the ability of the institution to effectively manage its business activities or impede Supervisory authority in carrying out its supervisory functions and objectives. The regulated institution shall include, in all its outsourcing agreements for material outsourcing arrangements, clauses that: 6° Effectuer des examens complets des nouveaux arrangements de l’externalisation avant et après la mise en œuvre ou lorsque des modifications sont apportées aux arrangements de l’externalisation. Si un accord de l’externalisation est modifié de façon significative, un examen intégral de l’arrangement de l’externalisation doit également être effectué. Article 17: Audit et inspection Les accords de l’externalisation d’une institution réglementée ne doivent pas entraver la capacité d’une institution réglementée de gérer efficacement ses activités commerciales ou empêcher l’Autorité de contrôle à s'acquitter de ses fonctions de supervision et à réaliser ses objectifs. Une institution réglementée doit inclure dans tous ses accords de l’externalisation concernant

Official Gazette n° Special of 17/06/2022 302 kwifashisha undi muntu mu gukora imirimo yagira ingaruka zikomeye ingingo: 1° zemerera ikigo kigenzurwa gukorera ubugenzuzi utanga serivisi n’abo yapatanishije, bikozwe n’abagenzuzi b’imbere mu kigo cyangwa abaturutse hanze yacyo, abakozi bashyirwaho n’ikigo kigenzurwa ; no kugira ngo ibone kopi za raporo iyo ari yo yose n’ibyagaragajwe ku byerekeye utanga serivisi, abandi utanga serivisi nawe yifashishije zaba izakozwe n’umugenzuzi w’imbere cyangwa wigenga b’utanga serivisi cyangwa ab’umuntu utanga serivisi nawe yifashishije cyangwa bikozwe n’abakozi bashyizweho n’utanga serivisi hashingiwe ku masezerano agenga kwifashisha undi muntu mu gukora imirimo ; 2° zituma Urwego rw’Ubugenzuzi cyangwa umukozi uwo ari we wese washyizweho n’Urwego rw’Ubugenzuzi, iyo ari ngombwa cyangwa bikwiye, bagira 1° allow the regulated institution to conduct audits on the service provider and its sub- outsourcing, whether by its internal or external auditors, or by agents appointed by the institution; and to obtain copies of any report and finding made on the service provider and its sub-outsourcing, whether produced by the service provider’s or its sub-outsourcing internal or external auditors, or by agents appointed by the service provider in relation to the outsourcing arrangement; 2° allow Supervisory Authority, or any agent appointed by Supervisory Authority, where necessary or expedient, to exercise the contractual rights of the institution to: les arrangements de l’externalisation substantielle des clauses qui: 1° permettent à une institution réglementée de mener des audits auprès du prestataire de services et de ses sous￾traitants, que ce soit par les auditeurs internes ou externes, ou par des agents nommés par une institution réglementée ; et d'obtenir des copies de tout rapport et observation faits sur le prestataire de services et ses sous-traitants en rapport avec l’arrangement de l’externalisation, qu'ils soient produits par les auditeurs internes ou externes du prestataire de services ou de ses sous-traitants, ou par des agents nommés par le prestataire de services et son sous-traitant; 2° permettent à l’Autorité de Contrôle, ou à tout agent nommé par l’Autorité de Contrôle, si nécessaire ou opportun, d'exercer les droits contractuels de l'établissement à:

Official Gazette n° Special of 17/06/2022 303 uburenganzira bushingiye ku masezerano y’ikigo bwo: a. kugera ku utanga serivisi no kubo nawe yifashishije no kubona amakuru n’inyandiko z’ibikorwa, hamwe n'amakuru y’ikigo kigenzurwa yahawe, abitse cyangwa yigwaho n'utanga serivisi hamwe n'abo yifashishije; b. kugera kuri raporo yose hamwe n’ibyagaragajwe ku byerekeye amasezerano yo kwifashisha undi muntu mu gukora imirimo bireba utanga serivisi hamwe n’abo yapatanishije, byaba byaragaragajwe n’abagenzuzi b’imbere cyangwa baturuka hanze b’utanga serivisi cyangwa abo yapatanishije cyangwa abakozi bashyirwaho n’utanga serivisi hamwe n’abo yapatanishije. a. access and inspect the service provider and its sub￾outsourcing, and obtain records and documents, of transactions, and information of the institution given to, stored at or processed by the service provider and its sub￾outsourcing; b. access any report and finding made on the service provider and its sub-outsourcing, whether produced by the service provider’s and its sub￾outsourcing’ internal or external auditors, or by agents appointed by the service provider and its sub￾outsourcing, in relation to the outsourcing arrangement. a. accéder au prestataire de services et ses sous-traitants, les inspecter et obtenir les registres et les documents des opérations et des informations d’une institution réglementée que le prestataire de services et ses sous-traitants reçoivent, stockent ou traitent; b. accéder à tout rapport et observation faits sur le prestataire de services et ses sous-traitants en rapport avec l’arrangement de l’externalisation, qu'ils soient produits par les auditeurs internes ou externes du prestataire de services et de ses sous-traitants, ou par des agents nommés par le prestataire de services et ses sous-traitants.

Official Gazette n° Special of 17/06/2022 304 Amasezerano yo kwifashisha undi muntu mu gukora imirimo yagira ingaruka ikomeye ku kigo agomba gushyirwamo ingingo zisaba utanga serivisi kubahiriza vuba hashoboka icyo Urwego rw’ubugenzuzi rusaba cyose utanga serivisi cyangwa abo nawe yifashishije, igihe basabwe gutanga raporo izo ari zo zose ku Urwego rw’ubugenzuzi ku mutekano no ku mwuka w’igenzura ry’utanga serivisi ndetse n’abo nawe yifashishije ku byerekeye amasezerano yo kwifashisha undi muntu mu gukora imirimo. Ikigo kigenzurwa gikora ku buryo ibyo byitezwe byubahirizwa mu masezerano yayo yo kwifashisha undi muntu mu gukora imirimo bigirana n’utanga serivisi ndetse n’undi uwo ari we wese utanga serivisi akoresha mu masezerano yo kwifashisha undi muntu mu gukora imirimo, harimo abatanga serivise zigamije gukomeza imirimo nyuma y’amage ndetse n’abatanga serivisi z’ingoboka. Urwego rw’ubugenzuzi iha ikigo kigenzurwa integuza yumvikana y’uko ishaka gushyira mu bikorwa uburenganzira bwayo bwo gukora igenzura kandi ishyikiriza ikigo ibyavuye mu igenzura igihe ibona ari ngombwa. Outsourcing agreements for material outsourcing arrangements shall also include clauses that require the service provider to comply, as soon as possible, with any request from Supervisory authority , to the service provider or its sub-outsourcing, to submit any reports on the security and control environment of the service provider and its sub-outsourcing to Supervisory Authority , in relation to the outsourcing arrangement. The regulated institution shall ensure that these expectations are met in its outsourcing arrangements with the service provider as well as any sub-outsourcing that the service provider may engage in the outsourcing arrangement, including any disaster recovery and backup service providers. The Supervisory Authority will provide the institution reasonable notice of its intent to exercise its inspection rights and share its findings with the institution where appropriate. Les accords de l’externalisation pour les arrangements de l’externalisation substantielle doivent également inclure des clauses qui exigent le prestataire de services à se conformer, dès que possible, à toute demande de l’Autorité de contrôle ou d’une institution réglementée adressée au prestataire de services ou à ses sous-traitants de soumettre à l’Autorité de contrôle des rapports sur l'environnement de sécurité et de contrôle du prestataire de services et de ses sous-traitants, en rapport avec l’arrangement de l’externalisation. Une institution réglementée doit veiller à ce que ces attentes soient satisfaites dans ses arrangements de l’externalisation avec le prestataire de services ainsi que tout sous￾traitant que le prestataire de services peut engager dans l’arrangement de l’externalisation, y compris les fournisseurs de services en cas de reprise après sinistre ou de secours. L’Autorité de contrôle signifiera à une institution réglementée dans un délai raisonnable son intention d'exercer ses droits d'inspection et, le cas échéant, de partager ses constatations avec l'établissement.

Official Gazette n° Special of 17/06/2022 305 Ikigo kigenzurwa gikora ku buryo hakorwa ubugenzuzi bwigenga na/cyangwa amasuzuma akozwe n’inzobere ku masezerano yayo yose yo kwifashisha undi muntu mu gukora imirimo. Mu kugena igihe ubugenzuzi cyangwa isuzuma rikozwe n’inzobere bikorerwa, ikigo kigenzurwa igendera ku bwoko ndetse n’urwego rw’ingorane hamwe n’ingaruka ikigo kigenzurwa cyahura nazo biturutse ku masezerano yo kwifashisha undi muntu mu gukora imirimo. Ibirebwa n’amagenzura ndetse n’amasuzuma akorwa n’inzobere bigomba kuba birimo isuzuma ry’umutekano n’umwuka w’igenzura by’abatanga serivisi ndetse n’abo bapatanishije, uburyo bw'imicungire y'ibibazo byavuka (igihe habayeho ukutubahiriza amasezerano ku buryo bukomeye, ibibazo serivisi yagira cyangwa ibindi bibazo’by’ingenzi) hamwe n’uko ikigo kigenzurwa yubahiriza aya mabwiriza rusange ku byerekeye amasezerano yo kwifashisha undi muntu mu gukora imirimo. Ubugenzuzi bwigenga na/cyangwa isuzuma rikorwa n’inzobere ku utanga serivisi no ku bo yapatanisjije bishobora gukorwa The regulated institution shall ensure that independent audits and/or expert assessments of all its outsourcing arrangements are conducted. In determining the frequency of audit and expert assessment, the institution shall consider the nature and extent of risk and impact to the institution from the outsourcing arrangements. The scope of the audits and expert assessments shall include an assessment of the service providers’ and its sub-outsourcing’ security and control environment, incident management process (for material breaches, service disruptions or other material issues) and the institution’s observance of this regulation in relation to the outsourcing arrangement. The independent audit and/or expert assessment on the service provider and its sub-outsourcing may be performed by the Une institution réglementée doit veiller à ce que des audits indépendants et/ou des évaluations d'experts de tous ses arrangements de l’externalisation soient menées. Pour déterminer la fréquence de l’audit et de l'évaluation d’experts, une institution réglementée doit tenir en compte la nature et l'étendue des risques ainsi que l'impact des arrangements de l’externalisation sur une institution réglementée. La portée des audits et des évaluations d'experts doit inclure une évaluation de l'environnement de sécurité et de contrôle du prestataire de services et de ses sous-traitants, le processus de gestion des incidents (pour les violations graves, les interruptions de service ou d'autres problèmes sérieux) et le respect par une institution réglementée de ce règlement en rapport avec l’arrangement de l’externalisation. L'audit indépendant et/ou l'évaluation d’experts du prestataire de services et de ses sous-traitants peuvent être effectués par les auditeurs internes

Official Gazette n° Special of 17/06/2022 306 n’abagenzuzi b’ikigo kigenzurwa bemewe b’imbere mu kigo cyangwa baturuka hanze yacyo, abagenzuzi baturuka hanze y’ikigo b’utanga serivisi cyangwa abakozi bashyirwaho nikigo kigenzurwa . Abo bantu bashyirwaho bagomba kuba bafite ubumenyi n’ubushobozi bisabwa kugira ngo bakore uwo murimo, kandi bakaba badafite aho bahuriye n'itsinda cyangwa urwego rushyira mu bikorwa amasezerano yo kwifashisha undi muntu mu gukora imirimo. Ubuyobozi bukuru bugomba gukora ku buryo hafatwa ingamba zigamije gukosora amakosa kandi zigafatirwa igihe mu rwego rwo kubonera ibisubizo ibyavuye mu magenzura. Ikigo kigenzurwa hamwe n’abatanga serivisi bagombye kugira uburyo bakoresha butuma hizerwa ko ibikorwa bigamije gukosora amakosa byakozwe neza. Ibikorwa byakozwe n’utanga serivisi mu rwego rwo kubonera ibisubizo ibyagaragajwe n'ubugenzuzi bigomba kwemezwa n’ikigo kigenzurwa mbere yo gusozwa. Iyo ari ngombwa, abantu babifitiye ubumenyi n’ubushobozi bagombye kugira uruhare mu kwemeza ko umutekano n’ingamba z’igenzura byafashwe bikora neza. institution’s qualified internal or external auditors, the service provider’s external auditors or by agents appointed by the institution. The appointed persons must possess the requisite knowledge and skills to perform the engagement, and be independent of the unit or function performing the outsourcing arrangement. Senior management shall ensure that appropriate and timely remedial actions are taken to address the audit findings. The regulated institution and the service providers shall have adequate processes in place to ensure that remedial actions are satisfactorily completed. Actions taken by the service provider to address the audit findings shall be appropriately validated by the regulated institution before closure. Where necessary, the relevant persons who possess the requisite knowledge and skills shall be involved to validate the effectiveness of the security and control measures taken. ou externes qualifiés d’une institution réglementée, les auditeurs externes du prestataire de services ou les agents nommés par une institution réglementée . Les personnes nommées doivent posséder les connaissances et les compétences requises pour effectuer la tâche et être indépendantes de l'unité ou de la fonction qui exécute l'arrangement de l’externalisation. La haute direction générale doit veiller à ce que des mesures correctives appropriées et opportunes soient prises pour donner suite aux résultats de l’audit. Les banques et les prestataires de services doivent avoir des processus adéquats pour s'assurer que les mesures correctives sont exécutées de manière satisfaisante. Les mesures prises par le prestataire de services pour prendre en considération les résultats de l’audit doivent être validées de manière appropriée par une institution réglementée avant d’y mettre fin. Le cas échéant, les personnes qualifiées qui possèdent les connaissances et les compétences nécessaires devraient être impliquées pour valider l'efficacité des mesures de sécurité et de contrôle prises.

Official Gazette n° Special of 17/06/2022 307 Ingingo hamwe n’ibibazo by’ingenzi bigomba kumenyeshwa ubuyobozi bukuru bw’ikigo kigenzurwa hamwe n’utanga serivisi cyangwa Inama y’Ubutegetsi y’ikigo kigenzurwa kandi, iyo ari ngombwa, bigakorwa ku gihe. Ikigo kigenzurwa kigomba gufata ingamba zo kongera gusuzuma amasezerano yo kwifashisha undi muntu mu gukora imirimo igihe ingorane yagaragaye idashobora kwihanganirwa n’ikigo kigenzurwa. Ikigo kigenzurwa kigomba gushyikiriza Urwego rw’Ubugenzuzi kopi za raporo y’ubugenzuzi buri gihembwe. Ikigo kigenzurwa kandi, iyo kibisabwe, kigomba guha Urwego rw’Ubugenzuzi izindi raporo cyangwa amakuru ku kigo cyangwa ku utanga serivisi ku birebana n’amasezerano yo kwifashisha undi muntu mu gukora imirimo. Ingingo ya 18: Kwifashisha undi muntu mu gukora imirimo hanze y’u Rwanda Ishyirwaho ry’utanga serivisi wo mu mahanga, cyangwa amasezerano yo kwifashisha undi muntu mu gukora imirimo Significant issues and concerns must be brought to the attention of the senior management of the institution and service provider, or to the institution’s board, where warranted, on a timely basis. Actions shall be taken by the institution to review the outsourcing arrangement if the risk posed is no longer within the institution’s risk tolerance. Copies of audit reports shall be submitted by the institution to Supervisory Authority on quarterly basis. The regulated institution shall also, upon request, provide Supervisory Authority with other reports or information on the institution and service provider that is related to the outsourcing arrangement. Article 18: Outsourcing outside Rwanda The engagement of a service provider in a foreign country, or an outsourcing arrangement whereby the outsourced function Des questions et des préoccupations importantes doivent, si cela est nécessaire, être portées en temps opportun à l'attention de la direction générale d’une institution réglementée et du prestataire de services ou du Conseil d'administration d’une institution réglementée . Les mesures doivent être prises par une institution réglementée pour réviser l’arrangement de l’externalisation si le risque posé dépasse la tolérance au risque d’une institution réglementée . L’établissement doit transmettre les copies des rapports d’audit à l’Autorité de contrôle concernant les rendements soumis trimestriellement. Une institution réglementée doit, sur demande, donner à l’Autorité de contrôle d'autres rapports ou informations sur l'établissement et le prestataire de services qui sont liés à l’arrangement de l’externalisation. Article 18: L’externalisation en dehors du Rwanda L'engagement d'un prestataire de services dans un pays étranger ou un arrangement de l’externalisation selon lequel la fonction sous-

Official Gazette n° Special of 17/06/2022 308 aho umurimo ukorwa n’undi muntuukorerwa mu gihugu cy’amahanga bishobora gutuma ikigo gihura n’ingorane zerekeyeigihugu – imiterere y’ubukungu, imibereho myiza na politiki n’ibiba mu gihugu cy’ amahanga bishobora kugira ingaruka mbi ku ikigo kigenzurwa . Iyo miterere n’ibiba muri icyo gihugu bishobora gutuma utanga serivisi adashyira mu bikorwa ibikubiye mu masezerano yagiranye n’ikigo. Mu micungire y’ibyateza ingorane bijyanye n’ayo masezerano yo kwifashisha undi muntu mu gukora imirimo, ikigo kigenzurwa kizirikana mu bushishozi bwacyo no ku mu buryo buhoraho: 1° politiki za Leta; 2° imiterere ya politiki, imibereho myiza n’ubukungu; 3° impinduka zigenda zikorwa zerekeye amategeko n’amabwiriza mu gihugu cy’amahanga; 4° ubushobozi bw’ikigo kigenzurwa mu gukurikirana neza utanga serivisi no gushyira mu bikorwa gahunda zacyo is performed in a foreign country, may expose an institution to country risk - economic, social and political conditions and events in a foreign country that may adversely affect the regulated institution. Such conditions and events could prevent the service provider from carrying out the terms of its agreement with the institution. In its risk management of such outsourcing arrangements, the institution shall take into account, as part of its due diligence, and on a continuous basis: 1° government policies; 2° political, social, economic conditions; 3° legal and regulatory developments in the foreign country; 4° the institution’s ability to effectively monitor the service provider, and traitée est exercée dans un pays étranger peut exposer un établissement au risque pays - conditions et événements économiques, sociaux et politiques dans un pays étranger qui peuvent avoir un impact défavorable sur une institution réglementée. De tels conditions et événements pourraient empêcher le prestataire de services de se conformer aux termes de son accord avec l'établissement. Dans sa gestion des risques relative à de tels arrangements de l’externalisation, une institution réglementée doit prendre en considération, dans le cadre de sa diligence raisonnable, et de façon continue: 1° les politiques gouvernementales; 2° les conditions politiques, sociales et économiques; 3° l’évolution juridique et réglementaire dans le pays étranger; 4° la capacité d’une institution réglementée à faire efficacement le suivi du prestataire de services et à exécuter ses

Official Gazette n° Special of 17/06/2022 309 z’imicungire y’ugukomeza kw’ibikorwa by’ubucuruzi hamwe n’uburyo bwo kurangizanya imirimo. Ikigo kigenzurwa kigomba kumenya ibigomba gukorwa mu gusohoka mu ngorane byashyizweho n’utanga serivisi ndetse n’aho bigomba gukorerwa ku byerekeye amasezerano yo kwifashisha undi muntu mu gukora imirimo. Kubera ko amakuru ashobora kuba yakwimurirwa ahandi hantu ho mu bindi bihugu, ingorane zerekeye uburyo bwo kuyatwara, bwaba ubufatika cyangwa ari mu buryo bw’ikoranabuhanga, bigomba kwitabwaho. Amasezerano yo kwifashisha undi muntu mu gukora imirimo ashobora kugira ingaruka zikomeye ku kigo ikigo kigirana n’abatanga serivisi bo mu mahanga yagombye gukorwa mu buryo bitabangamira Urwego rw’Ubugenzuzi mu mirimo yarwo yo gukurikirana ibikorwa by'ubucuruzi by’ikigo kigenzurwa biri mu Rwanda (nk'urugero hakoreshwa ibitabo, konti n'inyandiko) ku gihe.By'umwihariko: execute its business continuity management plans and exit strategy. The regulated institution must also be aware of the disaster recovery arrangements and locations established by the service provider in relation to the outsourcing arrangement. As information and data could be moved to primary or backup sites located in foreign countries, the risks associated with the medium of transport, be it physical or electronic, shall be considered. Material outsourcing arrangements with service providers located outside Rwanda must be conducted in a manner so as not to hinder Supervisory Authority ’s efforts to supervise the Rwanda business activities of the institution (i.e., from its books, accounts and documents) in a timely manner, in particular: plans de gestion de la continuité des activités et sa stratégie de sortie. Une institution réglementée doit également connaître les arrangements et endroits de reprise après sinistre établis par le prestataire de services en rapport avec l'arrangement de l’externalisation. Comme les informations et les données pourraient être déplacées vers des sites primaires ou de secours situés dans des pays étrangers, les risques associés au moyen de transport, qu'il soit physique ou électronique, doivent être tenus en compte. Les arrangements de l’externalisation matérielle avec les fournisseurs de services situés à l'extérieur du Rwanda doivent être conclus de manière à ne pas entraver les efforts de l’Autorité de Contrôle de superviser en temps opportun les activités commerciales d’une institution réglementée au Rwanda (c.-à￾d. ses livres, comptes et documents). En particulier:

Official Gazette n° Special of 17/06/2022 310 1° Ikigo kigenzurwa kigomba nk'ihame kugirana amasezerano yo kwifashisha undi muntu mu gukora imirimo gusa n’abatanga serivisi bakorera mu bihugu byubahiriza ingingo n'amasezerano byerekeye kugira ibanga; 2° Ikigo kigenzurwa ntikigomba kugirana amasezerano n’abatanga serivisi bakorera mu bihugu aho Urwego rw’Ubugenzuzi cyangwa abakozi bashyirwaho na yo ngo bakore mu mwanya wayo bibangamirwa n’amategeko cyangwa inzego zaho z’ubutegetsi. Ikigo kigenzurwa kigomba nibura kwiyemeza kongera kubona amakuru atanzwe n’utanga serivisi igihe Urwego rw’Ubugenzuziisabye ayo makuru. 3° Ikigo kigenzurwa kigomba kuba ariyo gifite ibyemezo by’ikoranabuhanga bikoreshawa 1° The institution shall, in principle, enter into outsourcing arrangements only with service providers operating in jurisdictions that generally uphold confidentiality clauses and agreements; 2° A regulated institution shall not enter into outsourcing arrangements with service providers in jurisdictions where prompt access to information by Supervisory Authority or agents appointed by Supervisory Authority to act on its behalf, at the service provider, may be impeded by legal or administrative restrictions. A regulated institution must at least commit to retrieve information readily from the service provider should Supervisory Authority request for such information; 3° The regulated institution shall ensure that all licenses of any system or application are maintained and are in the names of the regulated institution; 1° Une institution réglementée doit, en principe, conclure des accords de l’externalisation uniquement avec des prestataires de services opérant dans des pays qui respectent généralement des clauses et des accords de confidentialité; 2° Une institution réglementée ne doit pas conclure des arrangements de l’externalisation avec les prestataires de services dans les pays où un accès rapide à l'information par l’Autorité de contrôle ou les agents nommés par l’Autorité de Contrôle pour agir en son nom auprès du prestataire de services peut être entravé par des restrictions légales ou administratives. Une institution réglementée doit au moins s'engager à obtenir facilement les informations auprès du prestataire de services si l’Autorité de Contrôle les demande. 3° Une institution réglementée doit notifier l’Autorité de Contrôle si une autorité étrangère cherche à accéder à ses informations sur le client ou s’il existe

Official Gazette n° Special of 17/06/2022 311 ndetse bikiba biri no mu mazina yacyo; 4° Ikigo kigenzurwa kigomba kugaragaza ko amakuru yacyo cyangwa ikoranabuhanga rishobora kuva k’utanga serivisi mu buryo bworoshye kandi ko ikoranabuhanga rishobora gutandukanwa n’irisanzwe rikoreshwa mu buryo buhuje. 5° Ikigo kigenzurwa kigomba kugararagaza ko gukoresha undi muntu imirimo wo hanze y’u Rwanda bitabangamira ingama zo kuzahura no guseza ikigo; Ikigo kigenzurwa kimenyesha Urwego rw’Ubugenzuziiyo ikigo cy’ikinyamahangaa gishaka amakuru atagenwe rubanda cyangwa iyo bituma ikigo kigenzurwa cyangwa Urwego rw’Ubugenzuzibihura n’imbogamizi cyangwa byangirwa kubona amakuru. 4° The regulated institution shall demonstrate that any information or systems can be easily transferred or separated from a centralized system even in case where outsourced services are performed by a group; 5° a regulated institution shall also demonstrate that outsourcing outside Rwanda guarantee the continuation of service provision in case a regulated institution is put into resolution or under liquidation; The regulated institution shall notify Supervisory Authority if any overseas authority seeks access to its non-public data or if a situation were to arise where the rights of access of the institution and Supervisory Authority have been restricted or denied. une situation où les droits d'accès d’une institution réglementée et de l’Autorité de contrôle ont été restreints ou refusés; 4° L'institution réglementée doit démontrer que toute information ou tout système peut être facilement transféré ou séparé d'un système centralisé, même dans le cas où des services externalisés sont fournis par un groupe; 5° L’institution réglementée doit également démontrer que l'externalisation hors du Rwanda garantit la poursuite de la prestation de services en cas de mise en résolution ou de liquidation d'un établissement réglementé; Une institution réglementée notifie à la L’Autorité de Contrôle si une autorité étrangère demander avoir l’accès aux données non publiques ou si ça peut créer une situation où les droits d’accès de l’institution réglementée et de l ’Autorité de Contrôle ont été restreints ou refusés.

Official Gazette n° Special of 17/06/2022 312 Ingingo ya 19: Kwifashisha undi muntu mu gukora imirimo uri mu itsinda ry’amasosiyete rimwe na ikigo kigenzurwa Aya mabwiriza rusange akoreshwa mu masezerano yo kwifashisha undi muntu mu gukora imirimo hagati y’abakora imirimo n’ikigo kigenzurwa bahuriye mu itsinda rimwe ry’amasosiye. Ibyitezwe bishobora kwitabwaho muri politiki n’ibikurikizwa mu micungire y’ibyateza ingorane byo ku rwego rw’itsinda. Biteganijwe ko ikigo cyimari gitanga, mugihe bisabwe, amakuru yerekana imiterere ninzira inama y’ubutegetsi n’ubuyobozi bukuru byacyo basohoza uruhare rwabo mu gucunga no kugenzura ibyago ku rwego rw’itsinda. Isuzuma rikwiye utanga serivisi wo mu itsinda asabwa gukora rishobora kuba gusuzuma ibyerekeye ireme ry’ubushobozi bw’utanga serivisi mu guhangana n’ingorane zihariye z’ikigo kigenzurwa, cyane cyane izerekeye imicungire y’ugukomeza kw’ibikorwa by’ubucuruzi, ikurikiranabikorwa n’igenzura, ubugenzuzi, harimo no kwemeza uburenganzira bwa Article 19: Outsourcing within a Group This Regulation is applicable to outsourcing arrangements with parties within the group. The expectations may be addressed within group-wide risk management policies and procedures. A regulated institution is expected to provide, when requested, information demonstrating the structure and processes by which its board and senior management discharge their role in the oversight and management of outsourcing risks on a group-wide basis. Due diligence on an intra-group service provider may take the form of evaluating qualitative aspects of the service provider’s ability to address risks specific to the institution, particularly those relating to business continuity management, monitoring and control, audit and inspection, including confirmation on the right of access to be provided to Supervisory authority, to retain Article 19: L’externalisation au sein d'un groupe Le présent règlement s'applique aux arrangements de l’externalisation entre les parties au sein du groupe. Les attentes peuvent être considérées dans les politiques et les procédures de gestion des risques à l'échelle du groupe. Une institution réglementée est censée fournir, sur demande, des informations démontrant la structure et les processus par lesquels son conseil d'administration et sa direction générale s'acquittent de leur rôle de surveillance et de gestion des risques d'externalisation à l'échelle du groupe. La diligence raisonnable sur un prestataire de services intragroupe peut prendre la forme d'une évaluation des aspects qualitatifs de la capacité du prestataire de services à répondre aux risques propres à une institution réglementée, en particulier ceux liés à la gestion de la continuité des activités, au suivi et contrôle, à l’audit et à l’inspection, y compris la confirmation sur le droit d'accès devant être accordé à l’Autorité de

Official Gazette n° Special of 17/06/2022 313 Urwego rw’Ubugenzuzi bwo gukingurirwa imiryango no gukomeza kugenzura mu buryo bukwiye ku kigo, no kubahiriza ibipimo ngenderwaho byo mu gihugu bikubiye mu mabwiriza. Inshingano za buri shami mu masezerano yo kwifashisha undi muntu mu gukora imirimo zigomba kuba zanditse mu masezerano y’urwego rwa serivisi cyangwa mu nyandiko bifite agaciro kamwe. Gukoresha imirimo y’ikigo abatari abakozi bacyo mu itsinda mu mahanga buigomba kubahiriza ibisabwa byerekeye gukoresha abatari abakozi b’ikigo mu mahanga nk’uko biteganywa n’aya mabwiriza rusange. Urwego rw’ubugenzuzi rushobora gushyiraho amabwiriza agenga serivisi zisangiwe. Ingingo ya 20: Ikoranabuhanga ryo gukoresha amakuru abitse mu buryo bw’iyakure Urwego rw’Ubugenzuziiha agaciro serivisi zerekeye amakuru abitse mu buryo bw’iyakure zitangwa n’abatanga serivisi effective supervision over the institution, and compliance with local regulatory standards. The respective roles and responsibilities of each office in the outsourcing arrangement shall be documented in writing in a service level agreement or an equivalent document. Outsourcing within the group outside Rwanda shall follow the requirements of outsourcing outside Rwanda as provided for by this Regulation The Supervisory Authority may issue a directive governing the shared services arrangements. Article 20: Cloud Computing The Supervisory Authority considers cloud services operated by service providers as a form of outsourcing and recognizes that contrôle , la confirmation sur le droit de conserver une supervision efficace d’une institution réglementée et la conformité aux normes réglementaires locales. Les rôles et les responsabilités respectifs de chaque bureau dans l’arrangement de l’externalisation doivent être documentés par écrit dans un accord sur le niveau du service ou un document équivalent. L'externalisation au sein du groupe en dehors du Rwanda doit respecter les exigences de l'externalisation hors du Rwanda telles que prévues par le présent règlement. L'Autorité de contrôle peut émettre une directive régissant les accords de services partagés. Article 20: Informatique en nuage L’Autorité de Contrôle considère les services d’informatique en nuage fournis par les prestataires de services comme une forme de

Official Gazette n° Special of 17/06/2022 314 nk’uburyo bwo kwifashisha undi muntu mu gukora imirimo kandi yemera ko ikigo kigenzurwa gishobora kubyaza umusaruro izo serivisi mu kunoza ibikorwa byazo n’ireme rya za serivisi ari nako zibona inyungu z'ibikorwa remezo byujuje ubuziranenge, bitekanye kandi bishobora guhindura ingano yabyo bikoreshwa muri serivisi zerekeye amakuru abitse mu buryo bw’iyakure. Muri uru rwego, abatanga serivisi zerekeye amakuru abitse mu buryo bw’iyakure batoranyijwe n’ikigo kigenzurwa bagomba kuba barashyize mu bikorwa serivisi z'isuzuma rikomeye ry’umwirondoro, kugenzura uburyo bwo kubona amakuru, tekiniki zo gusimbuza amakuru akwiye kwitonderwa cyane uturango no kurinda amakuru kutavogerwa mu rwego rwo kubahiriza ibisabwa n’ikigo kigenzurwa. Ikigo kigenzurwa kigomba gukora isuzuma rikwiye kandi kigashyira mu bikorwa imikorere myiza y’imiyoborere n’imicungire y’ibyateza ingorane bisobanuye muri aya mabwiriza rusange igihe gitanga akazi ku bayihaserivisi zerekeye amakuru abitse mu buryo bw’iyakure. regulated institutions may leverage on such a service to enhance their operations and service efficiency while reaping the benefits of Cloud services’ scalable, standardized and secured infrastructure. In this regard, Cloud services providers selected by a regulated institution must have implemented strong authentication, access controls, and tokenization techniques and data encryption security to meet institution’s requirements. The encryption key should be retained by the regulated institution ; The regulated institution shall perform the necessary due diligence and apply sound governance and risk management practices articulated in this regulation when subscribing to Cloud services. l’externalisation et reconnaît que les banques peuvent tirer parti d’un tel service afin d'améliorer leurs opérations et leur efficacité tout en profitant des avantages de l'infrastructure modulable, standardisée et sécurisée des services d’informatique en nuage. À cet égard, les prestataires de services d’informatique sélectionnés par les banques doivent avoir mis en œuvre une authentification forte, des contrôles d'accès, des techniques de tokenisation et une sécurité de cryptage des données pour répondre aux exigences des banques. Une institution réglementée doit effectuer une vérification préalable nécessaire et appliquer les pratiques de bonne gouvernance et de gestion des risques mentionnées dans le présent règlement lors de l'abonnement aux services d’informatique en nuage.

Official Gazette n° Special of 17/06/2022 315 Ikigo kigenzurwa kigomba kumenya ibintu byihariye biranga serivisi zerekeye amakuru abitse mu buryo bw’iyakure, nko kuba rikoreshwa ku bigo byinshi bikoresha porogaramu ya mudasobwa imwe, uburyo bwo kubika amakuru butuma yose abonekera icya rimwe n’uburyo yakoreshwa nuwo ari we wese ahantu hatandukanye. Kubera iyo mpamvu, ikigo kigenzurwa kigomba gufata ingamba zifatika zo kwirinda ingorane zerekeye kubona amakuru, kuyagira ibanga, ubwizerwe bwayo, ubutavogerwa bwayo, kongera kuboneka kw’amakuru igihe habayeho ikibazo, kubahiriza amategeko n’amabwiriza, hamwe n’ubugenzuzi. By’umwihariko, ikigo kigenzurwa kigomba gukora ku buryo utanga serivisi agira ubushobozi bwo kugaragaza neza no gutandukanya amakuru atagenewe rubanda hakoreshejwe amagenzura afatika mu kwinjira ahari ibikoresho by’ikoranabuhanga bibitse amakuru cyangwa amagenzura mu kwinjira muri porogramu ziyabitse. Utanga serivisi agomba kuba afite uburyo bukomeye bw’imicungire y’amakuru atagenewe rubanda mu rwego rwo kurinda The regulated institution shall be aware of cloud services’ typical characteristics such as multi-tenancy, data commingling and the higher propensity for processing to be carried out in multiple locations. Hence, regulated institution must take active steps to address the risks associated with data access, confidentiality, integrity, sovereignty, recoverability, regulatory compliance and auditing. In particular, the institution shall ensure that the service provider possesses the ability to clearly identify and segregate non public data using strong physical or logical controls. The service provider shall have in place robust access controls to protect non public data and such access controls should survive Une institution réglementée doit connaître les caractéristiques typiques des services d’informatique en nuage tels que l’hébergement multiclient, le mélange de données et une propension élevée au traitement à effectuer dans plusieurs endroits. Par conséquent, les banques doivent prendre des mesures actives pour faire face aux risques liés à l'accès aux données, à leur confidentialité, à leur intégrité, à leur souveraineté, à leur recouvrabilité, à leur conformité réglementaire et à l'audit. En particulier, une institution réglementée doit s'assurer que le prestataire de services est capable d’identifier et de séparer clairement informations non-publiques en utilisant des contrôles d’accès physiques ou d’accès logiques solides. Le prestataire de services doit disposer de contrôles d'accès robustes pour protéger les informations non-publiques et ces contrôles

Official Gazette n° Special of 17/06/2022 316 amakuru y’abakiriya kandi gucunga uko abantu babona amakuru bigomba gukomeza na nyuma y’amasezerano ya serivisi zerekeye amakuru abitse mu buryo bw’iyakure. Ikigo kigenzurwa ni cyo kiba gishinzwe ku rwego rwa mbere kandi kikaba cyabazwa igenzura rya serivisi zerekeye amakuru abitse mu buryo bw’iyakure kandi kikanacunga ingorane zaturuka ku ikoreshwa ry’iryo koranabuhanga, nk’uko bikorwa ku bundi bwoko bw’amasezerano yo kwifashisha undi muntu mu gukora imirimo. Uburyo bushingiye ku ngorane zavuka bugomba gufatwa n'ibigo mu kurinda ko igipimo cy’ikurikiranabikorwa n’amagenzura kijyanye n’uburemere bw’ingorane zaturuka kuri serivisi zerekeye amakuru abitse mu buryo bw’iyakure. Urwego rw’Ubugenzuziishobora gushyiraho ibisabwa byihariye byerekeye kubika amakuru mu buryo w’iyakure. the tenure of the contract of the cloud services. The regulated institution shall be ultimately responsible and accountable for maintaining oversight of Cloud services and managing the attendant risks of adopting Cloud services, as in any other form of outsourcing arrangements. A risk-based approach shall be taken by regulated institution to ensure that the level of oversight and controls are commensurate with the materiality of the risks posed by the Cloud services. The Supervisory Authority may issue specific requirement for cloud computing services. d'accès doivent aller au-delà de la durée du contrat des services d’informatique en nuage. Une institution réglementée est en dernier ressort responsable du maintien de la supervision des services d’informatique en nuage et de la gestion des risques liés à l'adoption des services d’informatique en nuage, comme dans toute autre forme d'arrangements de l’externalisation. Les établissements doivent adopter une approche axée sur les risques pour s'assurer que le niveau de supervision et les contrôles correspondent à l'importance des risques posés par les services d’informatique en nuage. L ’Autorité de contrôle peut émettre des exigences spécifiques pour les services d’informatique en nuage.

Official Gazette n° Special of 17/06/2022 317 UMUTWE WA III : IBASABWA MU GUKORESHA UNDI MUNTU IBIKORWA BY’INGENZI Ingingo ya 21: Gusaba uburenganzira bwo kwifashisha undi muntu mu gukora ibikorwa by’ingenzi Ikigo kigenzurwa cyifuza kwifashisha undi muntu mu gukora ibikorwa byacyo by’ingenzi kigomba kubanza kubihererwa uburenganzira n’Urwego rw’Ubugenzuzi. Gukora amasezerano yo kwifashisha undi muntu mu gukora imirimo, kuyavugurura cyangwa kuyongerera igihe bisaba kubanza kubyemererwa na Urwego rw’Ubugenzuzi. Ikigo kigenzurwa gitanga ifishi yujuje neza mu gusaba uburenganzira bwo kwifashisha undi muntu mu gukora imirimo y’ingenzi. Dosiye isaba uburenganzira igomba kuba irimo inyandiko n’amakuru bisobanuye aha hasi: 1° inyandiko y’umushinga w’amasezerano yo kwifashisha undi CHAPTER III: REQUIREMENTS FOR OUTSOURCING MATERIAL ACTIVITIES Article 21: Application to outsource material activities A regulated institution that intends to outsource material activities shall obtain approval from the Supervisory authority. A prior approval of the Supervisory Authority is necessary to contract, modify or extend a material outsourcing arrangement. The regulated institution shall submit a duly filled application form to outsource a material activity. The application shall include documents and information specified hereafter: 1° outsourcing contract draft, containing the elements defined in this CHAPITRE III : EXIGENCES RELATIVES À L’EXTERNALISATION DES ACTIVITÉS PRINCIPALES Article 21: Demande pour l’externalisation des activités principales Une institution réglementée souhaitant externaliser ses activités principales doit préalablement obtenir une approbation de l’Autorité de contrôle. Une approbation préalable de l ’Autorité de contrôle est nécessaire pour contracter, modifier ou prolonger un arrangement de l’externalisation matérielle. Une institution réglementée soumet un formulaire de demande dûment rempli pour l’externaliser une activité principale. La demande doit inclure les documents et les informations ci-après spécifiés: 1° le projet de contrat de l’externalisation, contenant les éléments définis dans ce

Official Gazette n° Special of 17/06/2022 318 muntu mu gukora imirimo, irimo ingingo zisobanuye muri aya mabwiriza rusange ikigo kigenzurwa cyifuza kugirana n’utanga serivisi; 2° inyandiko yemeza ko amasezerano yo kwifashisha undi muntu mu gukora imirimo yemejwe hashingiwe kuri politiki z’ikigo zo kwifashisha undi muntu mu gukora imirimo; 3° amakuru arambuye ku bikorwa bizifashisha undi muntu mu gukora imirimo ndetse n’impamvu yo kwifashisha undi muntu mu gukora iyo mirimo; 4° urutonde rw’abantu bafitanye isano n’ikigo kigenzurwa, banafitanye isano n’utanga serivisi hamwe n’ibisobanuro by’isano bafitanye; 5° raporo z’ubugenzuzi z’utanga serivisi mu mwaka wabanjirije uwo; regulation, which the regulated institution intends to conclude with the service provider; 2° a statement certifying that the outsourcing arrangement has been approved in accordance with the regulated institution ’s outsourcing policies; 3° details of the activities to be outsourced as well as the rationale for the outsourcing; 4° list of persons related to the institution, who are at the same time related to the service provider, and a description of the manner in which they are related; 5° service provider’s audited reports for the previous calendar year; règlement, qu’une institution réglementée a l'intention de conclure avec le prestataire de services; 2° une déclaration attestant que l'accord de l’externalisation a été approuvé conformément aux politiques de l’externalisation d’une institution réglementée ; 3° les détails des activités à l’externaliser ainsi que la justification de l’externalisation; 4° la liste des personnes liées à une institution réglementée qui sont en même temps liées au prestataire de services et une description de la manière dont elles sont liées; 5° les rapports d'audit du prestataire de services pour l'année civile précédente;

Official Gazette n° Special of 17/06/2022 319 6° inyandiko igaragaza ko utanga serivisi afite uburambe mu gukora iyo mirimo yo kwifashisha undi muntu mu gukora imirimo; 7° inyandiko igaragaza ko utanga serivisi afite imari ihagaze neza; 8° ibisobanuro by’inshingano z’amashami cyangwa abakozi bashinzwe kugenzura no gucunga imikoranire ishingiye ku masezerano hamwe n’utanga serivisi; 9° isesengura ry’ingorane z’ingenzi zaturuka ku masezerano yo kwifashisha undi muntu mu gukora imirimo hamwe n’ingamba zo kugabanya ubukana bw’ingorane mu rwego rwo guhangana na zo ; 10°ingamba z’ikigo kigenzurwa zo kwikura mu bibazo; 11°ibisobanuro mu buryo burambuye by’ibisubizo mu rwego rwa tekiniki n’imikorere byatuma habaho 6° proof of the service provider’s former experience related to the activities subject of outsourcing; 7° proof of the financial soundness of the service provider; 8° description of the obligations and responsibilities of the departments or employees in charge of the supervision and managing the contractual relationship with the service provider; 9° an analysis of the key risks involved in the outsourcing arrangement and the risk mitigation strategies to address these risks; 10° the institution exit strategy; 11°detailed description of technical and organizational solutions enabling safe and good quality performance of the activities planned to be outsourced, 6° la preuve de l'expérience antérieure du prestataire de services en rapport avec les activités faisant l'objet de l’externalisation; 7° la preuve de la solidité financière du prestataire de services; 8° la description des obligations et des responsabilités des départements ou des employés chargés de la supervision et de la gestion des relations contractuelles avec le prestataire de services; 9° une analyse des principaux risques associés à l’arrangement de l’externalisation et des stratégies d'atténuation des risques pour faire face à ces risques; 10° la stratégie de sortie d’une institution réglementée ; 11°une description détaillée des solutions techniques et organisationnelles permettant une exécution sûre et de

Official Gazette n° Special of 17/06/2022 320 imikorere myiza kandi itekanye y’ibikorwa biteganyijwe kwifashisha undi muntu mu gukora imirimo, harimo igisobanuro cy'uburyo bwo kurinda amabanga, ukuboneka n'umwimerere w'amakuru; 12°Inyandiko y’ikigo kigenzurwa igaragaza ko ubuyobozi butagamije inyungu iziguye cyangwa itaziguye bafite mu bikorwa by’utanga serivisi, kereka iyo utanga serivisi afitanye isano n’uwayitanze mbere; 13°Andi makuru yafasha Urwego rw’Ubugenzuzi gusesengura ubusabe. Ingingo ya 22: Iyemezwa ryo kwifashisha undi muntu mu gukora ibikorwa by’ingenzi Iyo Urwego rw’ubugenzuzi rumaze kubona dosiye isaba uburenganzira bwo kwifashisha undi muntu mu gukora ibikorwa by’ingenzi ikubiyemo n’inyandiko zitanga ibisobanuro, mu gihe cy’iminsi icumi y’akazi (10), Urwego rw’Ubugenzuzi yoherereza including a description of the manner of protection of confidentiality, availability and integrity of data; 12°the institution statement that the management do not have direct or indirect interest with the service provider, except in the case of parent related service provider is it a parent company; 13°Any information deemed necessary for the Supervisory Authority to assess the application. Article 22: Approval for outsourcing of material activities Upon receipt of an application to outsource material activities and supporting documents, the Supervisory authority shall, within (10) ten working days, send the applicant a letter of acknowledgment or a letter of deficiency as the case may be. bonne qualité des activités planifiées pour être sous-traitées, y compris une description de la manière de protéger la confidentialité, la disponibilité et l'intégrité des données; 12°une déclaration bancaire selon laquelle la direction n'a pas d'intérêt direct ou indirect avec le prestataire de services, sauf dans le cas d'un prestataire lié aux parents; 13°toute autre information qui peut assister l ’Autorité de contrôle dans l’examen de la demande. Article 22: Approbation d’externalisation des activités principales Lors de la réception d'une demande de l’externalisation d'activités principales et des pièces justificatives, l’Autorité de contrôle doit, dans un délai de dix jours ouvrables (10), envoyer au demandeur un accusé de réception ou une lettre de défaillance selon le cas.

Official Gazette n° Special of 17/06/2022 321 uwatanze dosiye isaba uburenganzira ibaruwa imumenyesha ko yakiriwe cyangwa ibaruwa igaragaza ibiburamo bitewe n’uko bimeze. Ibaruwa yemeza ko dosiye isaba uburenganzira yakiriwe ifatwa nk’icyemezo ko inyandiko zatanzwe zuzuye kandi ko nta yandi makuru asabwa kugira ngo dosiye isaba uburenganzira isuzumwe. Ibaruwa igaragaza ibibura igomba kugaragaza ibibura mu dosiye isaba uburenganzira kandi igomba gutanga umunsi ntarengwa wo gukosora ibibura no gutanga andi makuru Urwego rw’ubugenzuzi yabona ko ari ngombwa. Nta kindi cyemezo gifatwa na Urwego rw’ubugenzuzi kereka iyo ibibura bikosowe mu gihe cyagenwe, kandi Urwego rw’ubugenzuzi ikanyurwa n’amakuru yakiriye. A letter of acknowledgement shall constitute official notice that the documents submitted were deemed complete and that no further information is required for processing the analysis of the application. A letter of deficiency shall outline deficiencies in the application and shall provide a deadline for rectification of the deficiencies and for providing additional information that may be deemed necessary by the Supervisory authority. No further action shall be taken by the Supervisory authority unless the deficiencies are rectified within the period prescribed, and the Supervisory authority is satisfied about the information received. L’accusé de réception constitue un avis officiel selon lequel les documents soumis ont été jugés complets et qu'aucune autre information n'est nécessaire pour analyser la demande. Une lettre de défaillance doit préciser les irrégularités dans la demande et donner un délai pour y remédier et fournir des informations supplémentaires que l’Autorité de Contrôle peut juger nécessaires. Aucune autre action ne sera entreprise par l’Autorité de contrôle à moins que les irrégularités ne soient rectifiées dans le délai prescrit et que l ’Autorité de contrôle ne soit convaincue des informations reçues.

Official Gazette n° Special of 17/06/2022 322 Ingingo ya 23: Icyemezo cy’Urwego rw’Ubugenzuzi Urwego rw’Ubugenzuzi rugomba gutegura raporo kuri buri dosiye mu gihe kingana n’ukwezi kumwe (1) nyuma yo gushyira umukono ku ibaruwa yemeza ko amakuru akubiye muri dosiye isaba uburenganzira yuzuye. Raporo igaragaza icyemezo cya Urwego rw’Ubugenzuzicyo: 1° kwemera kwifashisha undi muntu mu gukora ibikorwa byagira ingaruka zikomeye, iyo rubona ko dosiye ibisaba yujuje ibisabwa muri aya mabwiriza rusange ; cyangwa 2° kwanga kwemeza kwifashisha undi muntu mu gukora imirimo yagira ingaruka zikomeye mu busabe yashyikirijwe, ikanasobanura impamvu ishingiraho. Urwego rw’Ubugenzuziimenyesha mu nyandiko uwatanze dosiye isaba uburenganzira icyemezo cyayo cyo Article 23: Supervisory Authority’s decision The Supervisory Authority shall, within (1) one month after signing the letter of acknowledgement that confirms that the information is complete, prepare a report in respect of each application. The report shall indicate the decision of the Supervisory Authority to: 1° approve the outsourcing of the material activities, if it is satisfied that the application satisfies the requirements in this regulation; 2° rejection of outsourcing of the material activities in a given application, stating the grounds upon which it is based. The Supervisory Authority shall inform the applicant, in writing, of its decision to Article 23: Décision de la Banque Centrale L’Autorité de Contrôle doit, dans un délai d'un (1) mois après avoir signé l'accusé de réception qui confirme que les renseignements sont complets, préparer un rapport pour chaque demande. Le rapport doit indiquer la décision de la L’Autorité de Contrôle de: 1° approuver l’externalisation des activités principales si elle est convaincue que la demande satisfait aux exigences du présent règlement; ou 2° refuser d'approuver l’externalisation des activités principales dans une demande donnée, en indiquant les motifs de sa décision. L’Autorité de Contrôle informe le demandeur, par écrit, de sa décision d'approuver ou non

Official Gazette n° Special of 17/06/2022 323 kwemeza cyangwa kwanga kwifashisha undi muntu mu gukora imirimo yagira ingaruka ku ikigo kigenzurwa yasabiye uburenganzira. UMUTWE WA IV: INGINGO ZINYURANYE N’IZISOZA Ingingo ya 24: Uruhare rwa Urwego rw’Ubugenzuzimu masezerano yo kwifashisha undi muntu mu gukora imirimo Ikigo kigenzurwa kigomba kuba cyiteguye kugaragariza Urwego rw’Ubugenzuziuko cyubahiriza aya mabwiriza rusange kiyishyikiriza igitabo cyayo cyandikwamo amasezerano yo kwifashisha undi muntu mu gukora imirimo nibura rimwe buri mwaka cyangwa igihe kibisabwe. Icyo gitabo gishikirizwa Urwego rw’Ubugenzuzi mu buryo buteganywa n’umugereka wa kabiri uri kuri aya mabwiriza rusange mu gihe cy’iminsi 15 uhereye kuva umwaka urangiye. Iyo Urwego rw’Ubugenzuziitanyuzwe n’uko ikigo kigenzurwa cyubahiriza aya mabwiriza approve or not the outsourcing of the material activities that the institution applied for. CHAPTER IV: MISCELLANEOUS AND FINAL PROVISIONS Article 24: Involvement of Supervisory Authority in outsourcing arrangement The regulated institution shall be ready to demonstrate to the Supervisory Authority its observance of this regulation by submission of its outsourcing register at least annually or upon request. The annual register shall be submitted as per the appendix 2 of this regulation within (15) fifteen days after the end of the year. Where the Supervisory Authority is not satisfied with the regulated institution ’s l’externalisation des activités principales demandée par une institution réglementée. CHAPITRE IV: DISPOSITIONS DIVERSES ET FINALES Article 24: Implication de l’Autorité de contrôle dans le contrat de l’externalisation Une institution réglementée doit être prête à démontrer à la l’Autorité de Contrôle qu’il respecte le présent règlement en soumettant son registre de l’externalisation au moins une fois par an ou sur demande. Le registre annuel doit être soumis conformément à l'annexe 2 du présent règlement dans les 15 jours suivant la fin de l'année. Lorsque la L’Autorité de Contrôle n'est pas satisfaite du respect du présent règlement par

Official Gazette n° Special of 17/06/2022 324 rusange, Urwego rw’Ubugenzuziishobora kugisaba gufata izindi ngamba mu rwego rwo gukosora inenge zagaragajwe. Urwego rw’Ubugenzuzi ishobora kandi kwita kuri uko kutubahiriza ibisabwa mu gusuzuma ikigo kigenzurwa, bitewe n’ingaruka zishoboka ku ikigo kigenzurwa n’urwego rw’imari muri rusange zaturuka ku kwifashisha undi muntu mu gukora imirimo hamwe, uburemere bw’inenge zagaragaye, uko ikigo kigenzurwa gisanzwe cyitwara mu gukora amagenzura bwite no mu micungire y’ibyateza ingorane, ikaba yanasuzuma icyo kibazo ku buryo bw’umwihariko bitewe n’uko ikibona. Urwego rw’Ubugenzuzi rushobora kuganira mu buryo butaziguye n’urwego rw’ubugenzuzi rw’igihugu ikigo kigenzurwa hamwe n’utanga serivisi kukigo cy’imari bakomokamo cyangwa bakoreramo ku byerekeye ubushobozi n’ubushake bwabo mu gukurikirana ingorane ikigo cyagira ziturutse ku kwifashisha undi muntu mu gukora imirimo. observance of this regulation, the Supervisory Authority may require the institution to take additional measures to address the deficiencies noted. The Supervisory Authority may also take such non-compliance into account in its assessment of the regulated institution, depending on the potential impact of the outsourcing on the regulated institution and the financial system, severity of the deficiencies noted, the regulated institution’s track record in internal controls and risk management, and also on the circumstances of the case. The Supervisory Authority may directly communicate with the home or host regulators of the regulated institution and the regulated institution’s service provider, on their ability and willingness to cooperate with Supervisory Authority in supervising the outsourcing risks to the institution. une institution réglementée, elle peut exiger que cette dernière prenne des mesures supplémentaires pour remédier aux défaillances relevées. L’Autorité de contrôle peut également tenir compte de cette non-conformité dans son évaluation d’une institution réglementée, en fonction de l'impact potentiel de l’externalisation sur une institution réglementée et le système financier, de la gravité des défaillances relevées, des antécédents d’une institution réglementée en matière de contrôles internes et de gestion des risques, et en fonction aussi des circonstances particulières de ce cas. L’Autorité de Contrôle L’Autorité de Contrôle peut communiquer directement avec les régulateurs du pays d’origine ou d'accueil de l'établissement et de son prestataire de services au sujet de leur capacité et de leur volonté de coopérer avec l’Autorité de Contrôle dans la supervision des risques de l’externalisation pour l'établissement.

Official Gazette n° Special of 17/06/2022 325 Urwego rw’Ubugenzuziifite uburenganzira bwo gusaba ikigo kigenzurwa kuvugurura, gukora andi masezerano cyangwa kugarura mu kigo imirimo yifashishwaga abo hanze yacyo igihe habaye kimwe muri ibi bikurikira: 1° iyo ikigo kigenzurwa kitagaragaza cyangwa kidashoboye kugaragaza urwego rushimishije rwo kumva ubwoko n’urwego rw’ingaruka zaturuka mu masezerano yo kwifashisha undi muntu mu gukora imirimo; 2° iyo ikigo kigenzurwa kidashyira cyangwa kidashoboye gushyira mu bikorwa ingamba zihamye mu guhangana n’ingorane zaturuka mu masezerano yo kwifashisha undi muntu mu gukora imirimo mu buryo bushimishije kandi ku gihe; 3° iyo hari ibintu bitari byiza bikomoka ku masezerano yo kwifashisha undi muntu mu gukora imirimo bishobora kugira ingaruka ku ikigo kigenzurwa; The Supervisory Authority reserve rights to require the regulated institution to modify, make alternative arrangements or re-integrate an outsourced service into the institution where one of the following circumstances arises: 1° the regulated institution fails or is unable to demonstrate a satisfactory level of understanding of the nature and extent of risk arising from the outsourcing arrangement; 2° the regulated institution fails or is unable to implement adequate measures to address the risks arising from its outsourcing arrangements in a satisfactory and timely manner; 3° adverse developments arise from the outsourcing arrangement that could impact the institution; L’Autorité de Contrôle se réserve le droit de demander à une institution réglementée de modifier, de faire d'autres arrangements ou de réintégrer un service sous-traité dans une institution réglementée lorsque l'une des circonstances suivantes se présente: 1° une institution réglementée ne démontre pas ou est incapable de démontrer un niveau de compréhension satisfaisant de la nature et de l'étendue des risques découlant de l’arrangement de l’externalisation; 2° une institution réglementée n’exécute pas ou est incapable d’exécuter des mesures adéquates pour faire face aux risques découlant de ses arrangements de l’externalisation de manière satisfaisante et en temps opportun; 3° les évolutions négatives pourront avoir un impact sur une institution réglementée découlent de l’arrangement de l’externalisation;

Official Gazette n° Special of 17/06/2022 326 4° iyo ububasha bw’ Urwego rw’Ubugenzuzi bwo kugenzura ikigo kigenzurwa hamwe n’ubushobozi bwo gukora imirimo yacyo yo kugenzura serivisi z’ikigo bibangamiwe ; 5° iyo umutekano n’amabanga y’amakuru y’abakiriya b’ikigo kigenzurwa byagabanutse bitewe n’impinduka mu buryo utanga serivisi abigenzuramo. Ikigo kigenzurwa kimenyesha Urwego rw’Ubugenzuzivuba hashoboka igihe habaye ikintu kitari kiza giturutse ku masezerano yo kwifashisha undi muntu mu gukora imirimo yagira ingaruka mbi kukigo cy’imari. Muri ibyo bintu bitari byiza harimo ibibazo mu gutanga serivisi mu gihe kirekire cyangwa se guhagarara kw’iyubahirizwa ry’amasezerano yo kwifashisha undi muntu mu gukora imirimo, cyangwa kutubahiriza umutekano no kumena amabanga yerekeye amakuru y’ikigo kigenzurwa. Ikigo kigenzurwa kandi kimenyesha Urwego rw’Ubugenzuzi igihe ibyo bibazo bibaye mu 4° The supervisory authority powers over the institution and ability to carry out its supervisory functions in respect of the institution’s services are hindered; 5° The security and confidentiality of the institution’s data is lowered due to changes in the control environment of the service provider. The regulated institution shall notify Supervisory Authority as soon as possible of any adverse development arising from its outsourcing arrangements that could impact the regulated institution. Such adverse developments include any event that could potentially lead to prolonged service failure or disruption in the outsourcing arrangement, or any breach of security and confidentiality of the non public data. The regulated institution shall also notify Supervisory Authority of such adverse development encountered within the regulated institution’s group. This shall be done as soon as possible but not in a 4° les pouvoirs de supervision de l’Autorité de contrôle sur une institution réglementée et sa capacité d’exercer ses fonctions de supervision à l'égard des services de l'établissement sont entravés; 5° la sécurité et la confidentialité des informations sur les clients d’une institution réglementée sont abaissées suite aux changements dans l'environnement de contrôle du prestataire de services. Une institution réglementée doit informer la Banque Centrale, dès que possible, de toute évolution négative découlant de ses arrangements de l’externalisation qui pourrait avoir un impact sur une institution réglementée. Ces évolutions négatives comprennent tout événement qui pourrait conduire à une défaillance prolongée du service ou à une interruption de l’arrangement de l’externalisation, ou à toute violation de la sécurité et de la confidentialité des informations non publique d’une institution réglementée. Une institution réglementée doit également aviser l’Autorité de contrôle de toute évolution

Official Gazette n° Special of 17/06/2022 327 itsinda ry’amasosiyete ibarizwamo. Ibi bikorwa vuba hashoboka ariko uko byagenda kose mu gihe kitarenze amasaha 24 ikigo kigenzurwa kimaze kumenya ko ibyo bibazo bihari. Ingingo ya 25: Ingero zerekeye gukoresha imirimo y’ikigo undi muntu Umugereka wa 1 utanga ingero zimwe na zimwe zerekeye gukoresha imirimo y’ikigo abatari abakozi bacyo aya mabwiriza rusange areba ndetse n’ingero zo gukoresha imirimo y’iki abatari abakozi bacyo aya mabwiriza rusange rusange atareba. Ntibigomba kumvwa nk’aho ubundi buryo bwo gukora imirimo butasobanuwe nko gukoresha imirimo y’ikigo abatari abakozi bacyo butagomba kurebwa n’uburyo buhamye bwo gucunga ibyateza ingorane ndetse n’igenzura ry’imbere byashyizweho n’ikigo kigenzurwa. Ingingo ya 26: Iyubahirizwa ry’ibisabwa Ikigo kigenzurwa kigomba kwita ku bakigenzura mu gukoresha imirimo y’ikigo period of later than (24) twenty-four hours from the time the institution is aware of these adverse developments. Article 25: Examples of outsourcing arrangements Annex 1 provides some examples of outsourcing arrangements to which this regulation applies and arrangements to which it does not. It should not be misconstrued that arrangements not defined as outsourcing need not be subject to adequate risk management and sound internal controls by the regulated institution. Article 26: Compliance landscape A regulated institution shall consider all their specific regulators when considering négative rencontrée au sein du groupe dont elle fait partie. Cela doit être fait le plus tôt possible, mais pas dans un délai de plus de 24 heures à partir du moment où une institution réglementée est au courant de ces évolutions négatives. Article 25: Exemples de modalités d'externalisation L'annexe 1 donne quelques exemples d’arrangements de l’externalisation auxquels ce règlement s’applique et les arrangements auxquels il ne s’applique pas. Les arrangements non-définis comme l’externalisation ne doivent pas être erronément interprétés comme n’étant pas soumis à une gestion de risques adéquate et aux contrôles internes rigoureux. Article 26: Conformité Une institution réglementée doit tenir compte de tous ses régulateurs spécifiques lorsqu'elle

Official Gazette n° Special of 17/06/2022 328 abatari abakozi bacyo mu rwego rwo kubahiriza ibisabwa. Ikigo kigenzurwa kigomba kuzirikana ko, uretse ku byo amategeko y’imbere mu gihugu asaba, inzego z’ubugenzuzi zo mu bindi bihugu zishobora kugishyiriraho ibindi biswabwa by’inyongera. Ingingo ya 27: Ikoreshwa ry’ayandi mategko Uretse aya mabwiriza rusange, ikigo kigenzurwa kigomba gukurikiza andi mategeko ndetse n’ibindi bisabwa byerekeye ubugenzuzi byerekeye umutekano mu by’ikoranabuhanga ndetse no kurinda amakuru bwite ndetse n’ubuzima bwite. Ingingo ya 28: Ibihano n’ibyemezo byo mu rwego rw’ ubutegetsi Iyo ikigo kigenzurwa kinaniwe kubahiriza ibisabwa n’aya mabwiriza rusange, Urwego rw’Ubugenzuziishobora kugihanisha igihano icyo ari cyose giteganyijwe n’amategeko cyangwa mabwiriza rusange. outsourcing arrangements in order to ensure compliance. A regulated institution shall be aware that, apart from local legislative requirements, regulators in other jurisdictions may impose additional requirements on the regulated institution Article 27: Application of other laws In addition to the provisions of this regulation, a regulated institution shall abide with other legal and regulatory requirements notably those applicable to cybersecurity and data protection and privacy. Article 28: Penalties and administrative sanctions Where a regulated institution fails to satisfy any of the requirements of this Regulation the Supervisory Authority may apply any sanctions available under relevant provisions of the Law /or provisions of a relevant regulation. envisage des accords d'externalisation afin de garantir la conformité. Une institution réglementée doit être consciente qu'en dehors des exigences législatives locales, les autorités de réglementation d'autres juridictions peuvent imposer des exigences supplémentaires à l'institution réglementée. Article 27: Application d'autres lois En dépit des dispositions du présent règlement, une institution réglementée se conforme aux autres exigences légales et réglementaires applicables à la cybersécurité et à la protection des données personnelles et de la vie privée. Article 28: Pénalités et sanctions administratives Lorsqu'une institution réglementée ne satisfait pas à l'une des exigences du présent règlement, l’Autorité de Contrôle peut appliquer toutes les sanctions prévues en vertu des dispositions pertinentes de la loi / ou des dispositions d'un règlement pertinent.

Official Gazette n° Special of 17/06/2022 329 Ingingo ya 29: Ingingo z’inzibacyuho Ikigo kigenzurwa gisuzuma uburemere bw’amasezerano yose yo kwifashisha undi muntu mu gukora imirimo mbere y’uko aya mabwiriza rusange atangazwa, kandi igasaba ko Urwego rw’Ubugenzuziyemeza gukomeza kwifashisha undi muntu mu gukora imirimo mu gihe cy'amezi 6 nyuma y'uko aya mabwiriza rusange atangiye kubahirizwa. Ingingo ya 30: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Amabwiriza Rusange N° 03/2018 yo ku wa 24/01/2018 agenga uburyo banki zifashisha undi muntu n’ingingo zose zabanjirije aya mabwiriza rusange zinyuranyije nayo zivanyweho. Ingingo ya 31: Itegurwa, isuzumwa n’iyemezwa ry’aya mabwiriza rusange Aya mabwiriza rusange yateguwe, asuzumwa kandi yemezwa mu rurimi rw’icyongereza. Article 29: Transitional provisions The regulated institution shall assess the materiality of all outsourced agreements prior to the time of the publication of this regulation, and shall seek approval of the Supervisory Authority to continue outsourcing these activities within 6 months after this regulation comes into force. Article 30: Repealing provisions Regulation N° 03/2018 of 24/01/2018 on outsourcing and all previous provisions contrary to this Regulation are hereby repealed. Article 31: Drafting, consideration and approval of this regulation This Regulation was drafted, considered and approved in English. Article 29: Dispositions transitoires Une institution réglementée évalue l'importance de tous les sous-traités conclus avant la publication du présent règlement et doit demander l'approbation de l’Autorité de Contrôle pour continuer à l’externaliser ces activités dans les six (6) mois suivant l'entrée en vigueur du présent règlement. Article 30: Disposition abrogatoire le Règlement N° 03/2018 du 24/01/2018 régissant l’externalisation et toutes les dispositions antérieures contraires au présent règlement sont abrogées. Article 31: Initiation, examen et approbation du présent règlement Le présent règlement a été initié, examiné et approuvé en anglais.

Official Gazette n° Special of 17/06/2022 330 Ingingo ya 32: Igihe aya mabwiriza rusange atangirira gukurikizwa Aya mabwiriza rusange atangira gukurikizwa ku munsi atangarijweho mu Igazeti ya Leta ya Repubulika y’u Rwanda. Article 32: Commencement This regulation shall come into force on the date of its publication in the Official Gazette of the Republic of Rwanda. Article 32: Entrée en vigueur Le présent règlement entre en vigueur le jour de sa publication au Journal officiel de la République du Rwanda. Kigali, 02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho Ikirango cya Repubulika: Seen and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux

Official Gazette n° Special of 17/06/2022 331 UMUGEREKA WA MBERE INGERO ZO KWIFASHISHA UNDI MUNTU MU MIRIMO

1. Ibikurikira ni ingero za serivisi zimwe na zimwe, iyo zakozwe nundi muntu, zifatwa nkizitangwa hifashishijwe undi muntu: a. gusaba serivisi (urugero, gusaba inguzanyo, amakarita y'inguzanyo); b. gutunganya amafaranga no kuyimura avanwa ahantu hamwe ajyanwa ahandi; c. gukomeza ubucuruzi n'izahuka ryabwo nyuma yo guhagarara; d. kwishyura abasaba kwishyurwa (urugero, ibiganiro byinguzanyo, gukora ibikenewe kugirango inguzanyo zitangwe, gucunga ingwate, kwishyuza inguzanyo zananiranye kwishyurwa); e. gutunganya inyandiko (urugero, sheki, ikarita yinguzanyo no kwishyura fagitire, impapuro za banki, andi yishyurwa ryibigo, icapiro ryabakiriya); f. gushyiraho uburyo bw’imikorere bw’ikoranabuhanga (urugero, progaramu ya mudasobwa ibikwamo izindi kugirango abazikeneye bazibone, urubuga rushyirwaho porogaramu za mudasobwa cyangwa ibikoresho bya mudasobwa kugirango ababishaka babisangehoi, urubuga rushyirwaho servisi za mudasobwa, ububikondetse na interineti kugirango ababishaka babibone); g. sisitemu yo gucunga amakuru no kuyitaho (urugero: kwinjiza amakuru no kuyatunganya, ibigo byamakuru, imicungire yikigo cyamakuru, imikoreshereze yanyuma-ukoresha, imiyoborere yimiyoboro yakarere, uho basabira gufashwa, ibikorwa byumutekano byikoranabuhanga);

Official Gazette n° Special of 17/06/2022 332 h. gucunga abakozi (urugero, inyungu nindishyi zubuyobozi, kugena abakozi, amahugurwa niterambere); i. gucunga itangwa ry’ubwishingizi n'ibikorwa byo gusaba kwishyurwa; j. serivisi zumwuga zijyanye nibikorwa by’ubucuruzi bwikigo (urugero: ibaruramari, ubugenzuzi bwimbere, actuarial, kubahiriza); k. kwamamaza no gukora ubushakashatsi (urugero, iterambere ryibicuruzwa, kubika amakuru no gucukura amabuye y'agaciro, umubano w'itangazamakuru, ibigo byita, telemarketing); l. serivisi zunganira zijyanye nububiko, kubika no gusenya amakuru ninyandiko. 2. Ibikorwa bikurikira ntizishobora gufatwa gukorwa hifashishijwe undi muntu: a. Gahunda aho ibintu bimwe na bimwe biranga inganda bisaba gukoresha abandi-batanga serivisi; b. serivisi z'itumanaho n'ibikorwa rusange (urugero, amashanyarazi, serivisi zerekeye kohererezanya ubutumwa mu buryo bw’ikoranabuhanga); c. serivisi z'iposita; d. ibikorwa remezo rusange (urugero, Visa, MasterCard, nibindi); e. gahunda yo gukuraho no gutuza hagati yo gusiba amazu n’ibigo by’imiturire n’abanyamuryango bayo, n’uburyo busa hagati y’abanyamuryango n’abatari abanyamuryango; f. ibikorwa remezo byubutumwa bwimari kwisi yose bigenzurwa nababishinzwe bireba (urugero, SWIFT); na

Official Gazette n° Special of 17/06/2022 333 g. serivisi zerekeye imikoranire hagati ya za banki; h. intangiriro na gahunda byerekeranye n’isano abahuza bafitanye: i. kugurisha ubwishingizi bikozwe n’abahuza mu bwishingizi basanzwe na servisi zifitanye isano n’iryo gurisha; ii. kwemera ikishingirwa gitanga ubwishingizi no gutanga ubwishingizi; na iii. kwamamaza serivisi (aho ikigo kidafite umubano wamasezerano nabakiriya). i. Gahunda ikigo cyagenwe ntabwo cyemewe n'amategeko cyangwa ubuyobozi gishobora gutanga j. ubugenzuzi bwemewe nubugenzuzi bwigenga cyangwa isuzuma; k. serivisi zubujyanama bwubwenge (urugero, ibitekerezo byamategeko, isuzuma ryigenga, abashinzwe guhomba, kugenzura igihombo); l. kugisha inama yigenga (urugero, serivisi zubujyanama ku bikorwa ikigo kidafite ubumenyi bwo kubikora)

Official Gazette n° Special of 17/06/2022 334 UMUGEREKA II INGERO ZEREKEYE UMWANDITSI W'IBIKORWA BIKURIKIRA / SERIVISI Izina ry’utanga serivisi Umurimo ukoreshwa undi Erekana niba umurimo ari ingenzi ku kigo kigenzurwa Sobanura muri make amasezerano agenga kwifashisha undi Igihugu serivisi izatangirwamo Igihe amasezerano azatangirira n’igihe azarangirira Igiteranyo cy’amafaranga agomba kwishyurwa kuri serivisi Amafaranga agenda kuri serivisi buri kwezi (FRW/USD) Amafaranga agenda kuri serivisi ku mwaka (FRW/USD)

Official Gazette n° Special of 17/06/2022 335 APPENDIX I EXAMPLES OF OUTSOURCING ARRANGEMENTS

1. The following are examples of some services that, when performed by a third party, would be regarded as outsourcing arrangements for the purposes of this regulation although they are not exhaustive: a. application processing (e.g., loan origination, credit cards); b. cash processing and transportation; c. business continuity and disaster recovery functions and activities; d. claims administration (e.g.,loan negotiations, loan processing, collateral management, collection of bad loans); e. document processing (e.g., cheques, credit card and bill payments, bank statements, other corporate payments, customer statement printing); f. information systems hosting (e.g., software-as-a-service, platform-as-a-service, infrastructure-as-a-service); g. information systems management and maintenance (e.g., data entry and processing, data centres, data centre facilities management, end-user support, local area networks management, help desks, information technology security operations); h. manpower management(e.g., benefits and compensation administration, staff appointment, training and development); i. management of policy issuance and claims operations; j. professional services related to the business activities of the institution (e.g.,accounting, internal audit, actuarial, compliance);

Official Gazette n° Special of 17/06/2022 336 k. marketing and research (e.g., product development, data warehousing and mining, media relations, call centres, telemarketing); l. support services related to archival, storage and destruction of data and records. 2. The following arrangements would generally not be considered outsourcing arrangements: a. Arrangements in which certain industry characteristics require the use of third-party providers b. telecommunication services and public utilities (e.g., electricity, SMS gateway services); c. postal services; d. common network infrastructure(e.g., Visa, MasterCard, etc); e. clearing and settlement arrangements between clearing houses and settlement institutions and their members, and similar arrangements between members and non-members; f. global financial messaging infrastructure which are subject to oversight by relevant regulators (e.g., SWIFT); and g. correspondent banking services. h. Introducer arrangements and arrangements that pertain to principal-agent relationships: i. sale of insurance policies by agents, and ancillary services relating to those sales; ii. acceptance of business by underwriting agents; and iii. introducer arrangements (where the institution does not have any contractual relationship with customers).

Official Gazette n° Special of 17/06/2022 337 i. Arrangements that the regulated institution is not legally or administratively able to provide j. statutory audit and independent audit or assessments; k. discreet advisory services(e.g., legal opinions, independent appraisals, trustees in bankruptcy, loss adjuster); l. independent consulting(e.g., consultancy services for areas which the instutition does not have the internal expertise to conduct)

Official Gazette n° Special of 17/06/2022 338 APPENDIX II REGISTER OF THE OUTSOURCED ACTIVITIES/SERVICES Name of the service provider Outsourced service Indicate whether material to the institution Short description of the arrangement Country from which service is provided Commencement date of the arrangement and expiry date The total value of the arrangement (FRW/USD Estimated spending amount per month ( in FRW/USD) Estimated spending amount per year ( in FRW/USD)

Official Gazette n° Special of 17/06/2022 339 ANNEXE I EXEMPLES D'ARRANGEMENTS D'EXTERNALISATION

1. Les exemples suivants sont des exemples de certains services qui, lorsqu'ils sont exécutés par un tiers, seraient considérés comme des accords d'externalisation aux fins du présent règlement, bien qu'ils ne soient pas exhaustifs: a. une. traitement des demandes (par exemple, initiation de prêts, cartes de crédit); b. traitement et transport d'espèces; c. fonctions et activités de continuité des activités et de reprise après sinistre ; d. administration des réclamations (par ex. négociations de prêts, traitement des prêts, gestion des garanties, recouvrement des créances douteuses); e. traitement de documents (par exemple, chèques, paiements par carte de crédit et de factures, relevés bancaires, autres paiements d'entreprise, impression de relevés client) ; f. hébergement de systèmes d'information (par exemple, logiciel en tant que service, plate-forme en tant que service, infrastructure en tant que service); g. gestion et maintenance des systèmes d'information (par exemple, saisie et traitement des données, centres de données, gestion des installations des centres de données, assistance aux utilisateurs finaux, gestion des réseaux locaux, services d'assistance, opérations de sécurité des technologies de l'information ); h. gestion de la main-d'œuvre (p. ex. administration des avantages sociaux et de la rémunération, nomination, formation et perfectionnement du personnel);

Official Gazette n° Special of 17/06/2022 340 i. gestion des opérations d'émission de polices et de réclamations; j. services professionnels liés aux activités commerciales de l'institution (p. ex. comptabilité, audit interne, service actuarielles, conformité); k. marketing et recherche (par exemple, développement de produits, entreposage et extraction de données, relations avec les médias, centres d'appels, télémarketing); l. services de soutien liés à l'archivage, au stockage et à la destruction des données et des dossiers. 2. Les accords suivants ne sont généralement pas considérés comme des accords d'externalisation : a. une. Arrangements dans lesquels certaines caractéristiques de l'industrie nécessitent le recours à des fournisseurs tiers b. services de télécommunication et services publics (par exemple, électricité, services de passerelle SMS); c. services postaux; d. infrastructure de réseau commune (par exemple, Visa, MasterCard, etc.) ; e. accords de compensation et de règlement entre les chambres de compensation et les établissements de règlement et leurs membres, et accords similaires entre membres et non-membres ; f. l'infrastructure mondiale de messagerie financière soumise à la surveillance des régulateurs concernés (par exemple, SWIFT) ; et g. services de correspondant bancaire. h. Arrangements avec les introducteurs et arrangements relatifs aux relations mandant-mandataire :

Official Gazette n° Special of 17/06/2022 341 i. la vente de polices d'assurance par des agents et les services auxiliaires liés à ces ventes ; ii. l'acceptation d'affaires par les agents de souscription ; et iii. accords d'introducteur (lorsque l'établissement n'a aucune relation contractuelle avec les clients). i. Dispositions que l'établissement réglementé n'est pas juridiquement ou administrativement en mesure de fournir j. l'audit légal et l'audit ou les évaluations indépendants ; k. services consultatifs discrets (p. ex. avis juridiques, évaluations indépendantes, syndics de faillite, expert en sinistres); l. conseil indépendant (par exemple, services de conseil dans des domaines pour lesquels la banque n'a pas l'expertise interne pour mener à bien)

Official Gazette n° Special of 17/06/2022 342 ANNEXE II REGISTRE DES ACTIVITES/SERVICES EXTERNALISÉS Nom du prestataire de services Services externalisés Indiquez si le service est matériel à l'institution réglementée Brève description de l'arrangement Pays à partir duquel le service est fourni Date de début de l'arrangement et date d'expiration La valeur totale de l'arrangement (FRW/USD Montant estimé des dépenses par mois (en FRW/USD) Montant estimé des dépenses par an (en FRW/USD)

Official Gazette n° Special of 17/06/2022 343 BIBONYWE KUGIRANGO BISHYIRWE KU MUGEREKA W’AMABWIRIZA RUSANGE N° 49/2022 YO KU WA 02/06/2022 AGENGA KWIFASHISHA UNDI MUNTU MU MIRIMO SEEN TO BE ANNEXED ON REGULATION N° 49/2022 OF 02/06/2022 ON OUTSOURCING VU POUR ETRE ANNEXE RÈGLEMENT 49/2022 DU 02/06/2022 RÉGISSANT L’EXTERNALISATION Kigali, 02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho Ikirango cya Repubulika: Seen and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux