Regulation No 44/2022 on Accreditation Requirements for External Auditors of Regulated Institutions

Official Gazette n° Special of 17/06/2022 1 Umwaka wa 61 Igazeti ya Leta n° Idasanzwe yo ku wa 17/06/2022 Year 61 Official Gazette n° Special of 17/06/2022 61ème Année Journal Officiel n° Spécial du 17/06/2022 Ibirimo/Summary/Sommaire page/urup. BNR: Amabwiriza/Regulations/Règlements No 44/2022 yo ku wa 02/06/2022 Amabwiriza rusange agena ibikurikizwa n’ibindi bisabwa mu kwemerera abagenzuzi b’imari bigenga b’ibigo bigenzurwa ………………………………….………….………………….....3 N o 44/2022 of 02/06/2022 Regulation determining requirements and other conditions for accreditation of external auditors for regulated institutions………………………………….………….………………….….….3 N o 44/2022 du 02/06/2022 Règlement déterminant les exigences et autres conditions relatives à l'accréditation des auditeurs externes des institutions réglementées ………………………………….…………...3 N° 45/2022 yo ku wa 02/06/2022 Amabwiriza rusange yerekeye igenzura ryo ku rwego rw’amatsinda mu bigo by’ubwishingizi………………………………………………………………………………53 N° 45/2022 of 02/06/2022 Regulation on group-wide supervision for insurers………………………………….……….53 N° 45/2022 du 02/06 /2022 Règlement relatif au contrôle a l'échelle du groupe pour les assureurs ……………………….53 N° 46/2022 yo ku wa 02/06/2022 Amabwiriza rusange agenga ihinduka ry’imigabane, ikomatanya n’ihererekanya ry’imitungo n’imyenda ku bishingizi n’abishingizi b’abishingizi………………………………….…….100 N° 46/2022 of 02/06/2022 Regulation governing change in shareholding, amalgamation and transfer of portfolio of insurers and reinsurers………………………………….…………...………………………100 N° 46/2022 du 02/06/2022 Règlement régissant la modification de l’actionnariat, la fusion et le transfert de portefeuille des assureurs et réassureurs ………………………………….…………...…………………100

Official Gazette n° Special of 17/06/2022 2 N° 47/2022 yo ku wa 02/06/2022 Amabwiriza rusange yerekeye itangazwa rya raporo z’imari n’andi makuru agaragazwa n’abishingizi………………………………….…………...………………………………...135 N° 47/2022 of 02/06/2022 Regulation on publication of financial statements and other disclosures by insurers ……......135 N° 47/2022 du 02/06/2022 Règlement sur la publication des états financiers et autres informations à déclarer par les assureurs………………………………….…………...……………………………….........135 No 48/2022 yo ku wa 02/06/2022 Amabwiriza rusange yerekeye ibihano byo mu rwego rw’ubutegetsi n’amafaranga bifatirwa abishingizi………………………………….…………...………………………………......228 N o 48/2022 of 02/06/2022 Regulation on administrative and pecuniary sanctions applicable to insurers……………….228 No 48/2022 du 02/06/2022 Reglement sur les sanctions administratives et pecuniaires applicables aux assureurs……...228 N° 49/2022 yo ku wa 02/06/2022 Amabwiriza rusange agenga kwifashisha undi muntu mu mirimo…………………………..249 N° 49/2022 of 02/06/2022 Regulation on outsourcing…………………………………………………………………..249 N° 49/2022 du 02/06/2022 Règlement régissant l’externalisation……………………………………………………….249 No 50/2022 yo ku wa 02/06/2022 Amabwiriza rusange yerekeye umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho mu bigo bigenzurwa …………………………………………………………..344 No 50 /2022 of 02/06/2022 Regulation on cyber security in regulated institutions……………………………………….344 No 50/2022 du 02/06/2022 Reglement sur la cybersecurite dans les institutions reglementees…………………………..344

Official Gazette n° Special of 17/06/2022 3 AMABWIRIZA RUSANGE No 44/2022 YO KU WA 02/06/2022 AGENA IBIKURIKIZWA N’IBINDI BISABWA MU KWEMERERA ABAGENZUZI B’IMARI BIGENGA B’IBIGO BIGENZURWA UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere: Icyo aya mabwiriza rusange agamije Ingingo ya 2: Ibisobanuro by’amagambo Ingingo ya 3: Ibyiciro by’abagenzuzi bigenga UMUTWE WA II: IBIKURIKIZWA N’IBINDI BISABWA MU KWEMERERWA Ingingo ya 4: Ibikurikizwa mu gusaba kwemererwa Ingingo ya 5: Gusuzuma ibindi bisabwa kugirango usaba yemererwe Ingingo ya 6: Ibisabwa mu kwemerera abagenzuzi b’imari bo mu cyiciro cya III REGULATION No 44/2022 OF 02/06/2022 DETERMINING REQUIREMENTS AND OTHER CONDITIONS FOR ACCREDITATION OF EXTERNAL AUDITORS FOR REGULATED INSTITUTIONS CHAPTER ONE: GENERAL PROVISIONS Article One: Purpose Article 2: Definitions Article 3: Categories of External Auditors CHAPTER II: REQUIREMENTS AND OTHER CONDITIONS FOR ACCREDITATION Article 4: Application requirements for accreditation Article 5: Assessing the applicant’s other conditions for accreditation Article 6: Requirements for accreditation of Tier III external auditors RÈGLEMENT No 44/2022 DU 02/06/2022 DÉTERMINANT LES EXIGENCES ET AUTRES CONDITIONS RELATIVES À L'ACCRÉDITATION DES AUDITEURS EXTERNES DES INSTITUTIONS RÉGLEMENTÉES CHAPITRE PREMIER : DISPOSITIONS GÉNÉRALES Article premier : Objet Article 2 : Définitions Article 3: Catégories des auditeurs externes CHAPITRE II : EXIGENCES ET AUTRES CONDITIONS D'ACCRÉDITATION Article 4 : Exigences de la demande et les Conditions d'accréditation Article 5 : Évaluer d’autres conditions d’accréditation du demandeur Article 6 : Exigences d’accréditation des auditeurs externes de troisième catégorie

Official Gazette n° Special of 17/06/2022 4 Ingingo ya 7: Gusuzuma buri mwaka ibikurikizwa n’ibindi bisabwa mu kwemerera umugenzuzi w’imari wigenga Ingingo ya 8: Kwemerera umugenzuzi w’imari wigenga n’igihe kwemerwa bimara Ingingo ya 9: Amafaranga yo kwemererwa ya buri mwaka Ingingo ya 10: Impamvu zituma ukwemererwa k’umugenzuzi w’imari wigenga guhagarikwa by’agateganyo Ingingo ya 11: Impamvu zituma ukwemererwa k’umugenzuzi w’imari wigenga guhagarikwa burundu UMUTWE WA III: ISHYIRWAHO RY’UMUGENZUZI W’IMARI WIGENGA, AKAZI N’INSHINGANO BYE Ingingo ya 12: Inshingano yo gushyiraho umugenzuzi w’imari wigenga wemewe ni’i Ikigo kigenzurwa Ingingo ya 13: Igihe umugenzuzi w’imari wigenga wemewe amara ku mirimo Article 7: Annual review of the requirements and other conditions for accreditation of external auditors Article 8: Granting and validity of accreditation issued to the external auditor Article 9: Annual accreditation fees Article 10: Grounds for suspension of external auditor’s accreditation Article 11: Grounds for revocation of external auditor’s accreditation CHAPTER III: APPOINTMENT OF AN ACCREDITED EXTERNAL AUDITOR, DUTIES, RESPONSIBILITIES AND OBLIGATIONS Article 12: Obligation to appoint an accredited external auditor by regulated institution Article 13: Duration of appointment of an accredited external auditor Article 7 : Réexamen annuel des exigences et autres conditions d'accréditation de l'auditeur externe Article 8 : Octroi et validité de l'accréditation délivré à l’auditeur externe Article 9 : Frais annuels d'accréditation Article 10 : Motifs de suspension de l'accréditation d'un auditeur externe Article 11 : Motifs de révocation de l’accréditation d’un auditeur externe CHAPITRE III : ENGAGEMENT D'UN AUDITEUR EXTERNE ACCRÉDITE, SES FONCTIONS RESPONSABILITÉS, ET OBLIGATIONS Article 12 : Obligation d’engager un auditeur externe accrédité par l'institution réglementée Article 13 : Durée de la nomination d'un auditeur externe accrédité

Official Gazette n° Special of 17/06/2022 5 Ingingo ya 14: Imirimo y’umugenzuzi w’imari wigenga wemewe Ingingo ya 15: Inshingano nyamukuru z’umugenzuzi w’imari wigenga wemewe Ingingo ya 16: Izindi nshingano z’umugenzuzi w’imari wigenga wemewe Ingingo ya 17: Inshingano umugenzuzi w’imari wigenga wemewe afitiye Urwego rw’ubugenzuzi Ingingo ya 18: Raporo z’inyongera zihabwa Urwego rw’ubugenzuzi n’umugenzuzi w’imari wigenga wemewe Ingingo ya 19: Uko umugenzuzi w’imari wigenga wemewe asobanukirwa imiterere y’igenzura ry’imbere ry’ikigo kigenzurwa Ingingo ya 20: Inama y’umugenzuzi wigenga wemewe UMUTWE WA IV: IBIKURIKIZWA MU GUTANGA AMAKURU NA RAPORO Ingingo ya 21: Gutanga amakuru ku bikorwa by’abantu bafitanye isano n’ikigo cy’imari Article 14: Duties of an accredited external auditor Article 15: Main responsibilities of an accredited external auditor Article 16: Other responsibilities of an accredited external auditor Article 17: Obligations of an accredited external auditor to the Supervisory authority Article 18: Additional reports to the Supervisory authority by an accredited external auditor Article 19: Understanding of the regulated institution’s internal control environment by an accredited external auditor Article 20: The accredited external auditor’s opinion CHAPTER IV: DISCLOSURE AND REPORTING REQUIREMENTS Article 21: Disclosure of related parties’ transactions Article 14 : Fonctions de l’auditeur externe accrédité Article 15 : Principales responsabilités de l’auditeur externe accrédité Article 16 : Autres responsabilités de l’auditeur accrédité Article 17 : Obligations de l’auditeur externe accrédité auprès de la Banque Centrale Article 18 : Rapport additionnel à fournir à la Banque Centrale par l’auditeur externe accrédité Article 19: Compréhension de l'environnement de contrôle interne d'une institution réglementée par un auditeur externe accrédité Article 20: L’opinion de l’auditeur externe accrédité CHAPITRE IV : EXIGENCES RELATIVES AUX DÉCLARATIONS ET AUX RAPPORTS Article 21 : Déclaration des transactions des personnes apparentées à une institution réglementée

Official Gazette n° Special of 17/06/2022 6 Ingingo ya 22: Igenagaciro mu mibare y’ubwishingizi ku bishingizi cyangwa ibigo by’ubwiteganyirize bwa pansiyo Ingingo ya 23: Ikurikirana ry’ireme ry’ibikorwa UMUTWE WA V: INGINGO ZINYURANYE N’IZISOZA Ingingo ya 24: Ibihano bijyanye n’imyitwarire bihabwa umugenzuzi w’imari wigenga wemewe Ingingo ya 25: Inshingano ikigo kigenzurwa gifitiye umugenzuzi w’imari wigenga wemewe Ingingo ya 26: Ibitabangikanywa n’imirimo y’umugenzuzi w’imari wigenga Ingingo ya 27: Serivisi zitari iz’ubugenzuzi Ingingo ya 28: Inama y’Urwego rw’ubugenzuzi igirana n’umugenzuzi wigenga wemewe Ingingo ya 29: Agaciro k’impushya zatanzwe hashingiwe ku mabwiriza akuweho Article 22: Actuarial valuation for insurers or pension schemes Article 23: Quality assurance enforcement CHAPTER V: MISCELLANEOUS AND FINAL PROVISIONS Article 24: Disciplinary sanctions to an accredited external auditor Article 25: Obligations of the regulated institution to the accredited external auditor Article 26: Incompatibilities with the functions of the accredited external auditor Article 27: Non -Audit Services Article 28: Supervisory authority meeting with the accredited external auditor Article 29: Status of accreditations issued under the repealed regulation Article 22: Évaluation actuarielle pour les assureurs ou les régimes des pensions Article 23: Surveillance pour assurance de la qualité CHAPITRE V: DISPOSITIONS DIVERSES ET FINALES Article 24: Sanctions disciplinaires imposées à l’auditeur externe accrédité Article 25: Obligations d’une institution réglementée envers l’auditeur externe accrédité Article 26: Incompatibilités avec les fonctions d’auditeur externe accrédité Article 27 : Services non liés à l’audit Article 28 : Réunion de l’autorité de contrôle avec un auditeur externe accrédité Article 29 : Statut des accréditations émis en vertu du règlement abrogé

Official Gazette n° Special of 17/06/2022 7 Ingingo ya 30: Itegurwa n’isuzumwa ry’aya mabwiriza rusange Ingingo ya 31: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Ingingo ya 32: Igihe aya mabwiriza rusange atangira gukurikizwa Article 30: Drafting and consideration of this regulation Article 31 : Repealing provision Article 32: Commencement Article 30 : Initiation et examen du présent règlement Article 31 : Disposition abrogatoire Article 32 : Entrée en vigueur

Official Gazette n° Special of 17/06/2022 8 AMABWIRIZA RUSANGE No 44/2022 YO KU WA 02/06/2022 AGENA IBIKURIKIZWA N’IBINDI BISABWA MU KWEMERERA ABAGENZUZI B’IMARI BIGENGA B’IBIGO BIGENZURWA Ishingiye ku Itegeko N°48/2017 ryo ku wa 23/09/2017 rigenga Banki Nkuru y’u Rwanda, nk’uko ryahinduwe kugeza ubu, cyane cyane mu ngingo zaryo, iya 6, 6 bis, iya 8, iya 9, iya 10 n’iya 15 ; Ishingiye ku Itegeko N° 47/2017 ryo ku wa 23/09/2017 rigena imitunganyirize y’imirimo y’amabanki, cyane cyane mu ngingo zaryo, iya 51, iya 52, iya 53, iya 54 n’iya 117 ; Ishingiye ku Itegeko No 072/2021 ryo ku wa 05/11/2021 rigenga ibigo by’imari iciriritse byakira amafaranga abitswa cyane cyane mu ngingo zaryo iya 33, iya 34, iya 35, iya 36, iya 37, iya 38, iya 39 n’iya 40 ; Ishingiye ku Itegeko No 030/2021 ryo ku wa 30/06/2021 rigenga imikorere y’umurimo w’ubwishingizi cyane cyane mu ngingo zaryo, iya 36, iya 37, iya 38, iya 39 n’iya 40 ; Ishingiye ku Itegeko N° 05/2015 ryo ku wa 30/03/2015 rigenga imitunganyirize REGULATION No 44/2022 OF 02/06/2022 DETERMINING REQUIREMENTS AND OTHER CONDITIONS FOR ACCREDITATION OF EXTERNAL AUDITORS FOR REGULATED INSTITUTIONS Pursuant to Law N° 48/2017 of 23/09/ 2017 governing the National Bank of Rwanda as amended to date, especially in its articles 6, 6 bis, 8, 9, 10 and 15; Pursuant to Law N° 47/2017 of 23/09/ 2017 governing the organization of banking, especially in its articles, 51, 52, 53, 54 and 117; Pursuant to Law No 072/2021 of 05/11/2021 governing deposit-taking microfinance institutions, especially in its articles 33,34,34,36,37,38,39 and 40; Pursuant to Law No 030/2021 of 30/06/2021 governing the organization of insurance business, especially in its articles 36, 37,38,39 and 40; Pursuant to Law No 05/2015 of 30/03/2015 governing organization of pension schemes, RÈGLEMENT No 44/2022 DU 02/06/2022 DÉTERMINANT LES EXIGENCES ET AUTRES CONDITIONS RELATIVES À L'ACCRÉDITATION DES AUDITEURS EXTERNES DES INSTITUTIONS RÉGLEMENTÉES Vu la Loi N° 48/2017 du 23/09/ 2017 régissant la Banque Nationale du Rwanda telle que modifiée à ce jour, spécialement en ses articles 6, 6bis, 8, 9, 10 et 15; Vu la Loi N° 47/2017 du 23/09/ 2017 portant organisation de l’activité bancaire, spécialement en ses articles 51, 52, 53, 54 et 117 ; Vu la Loi No 072/2021 du 05/11/2021 régissant les institutions de microfinance de dépôt, spécialement en ses articles 33, 34, 34, 36, 37, 38,39 et 40 ; Vu la Loi No 030/2021 of 30/06/2021 régissant organisation d’activité d'assurance spécialement en ses articles 36, 37,39 et 40 ; Vu la Loi N° 05/2015 du 30/03/2015 régissant l’organisation des régimes de pension,

Official Gazette n° Special of 17/06/2022 9 y’ubwiteganyirize bwa pansiyo, cyane cyane mu ngingo zaryo, iya 59, iya 66, iya 77, iya 78, iya 79 n’iya 88 ; Ishingiye ku Itegeko No 061/2021 ryo ku wa 14/10/2021 rigenga uburyo bwo kwishyurana, cyane cyane mu ngingo yaryo ya 33; Ishingiye ku Itegeko Nº 73/2018 ryo ku wa 31/08/2018 rigena uburyo bw’ihererekanyamakuru ku myenda, cyane cyane mu ngingo yaryo ya 43; Isubiye ku mabwiriza rusange No 14/2017 yo kuwa 23/11/2017 yerekeye ibikurikizwa mu kwemerera abagenzuzi bigenga b’ibigo by’imari n’ibindi basabwa kubahirizwa ; Banki Nkuru y’u Rwanda, muri aya mabwiriza yitwa « Urwego rw’ubugenzuzi », ishyizeho aya mabwiriza rusange : UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere: Icyo aya mabwiriza rusange agamije Aya mabwiriza rusange ashyiraho ibikurikizwa n’ibindi bisabwa mu kwemerera abagenzuzi b’imari bigenga b’ibigo bigenzurwa. especially in its articles 59, 66, 77, 78, 79 and 88; Pursuant to law No 061/2021 of 14/10/2021 governing the payment system, especially in its article 33; Pursuant to law Nº 73/2018 of 31/08/2018 governing credit reporting system especially in its Article 43; Having reviewed the regulation Nº 14/2017 of 23/11/2017 on accreditation requirements and other conditions for external auditors for financial institutions; The National Bank of Rwanda hereinafter referred to as the «Supervisory Authority », issues the following regulation: CHAPTER ONE: GENERAL PROVISIONS Article One: Purpose This regulation aims at establishing requirements and other conditions for accrediting external auditors for regulated institutions. spécialement en ses articles 59, 66, 77, 78, 79 et 88; Vu la Loi No 061/2021 du 14/10/2021 régissant le système de paiement, spécialement en son article 33; Vu la Loi Nº 73/2018 du 31/08/2018 régissant le système d’information sur les crédits, spécialement en son article 43 ; Revu le Règlement Nº 14/2017 du 23/11/2017 sur les exigences d’agrément et autres conditions pour les auditeurs externes des institutions financières La Banque nationale du Rwanda, ci-après dénommée « l’Autorité de contrôle », édicte le présent règlement : CHAPITRE PREMIER : DISPOSITIONS GÉNÉRALES Article premier : Objet Ce règlement vise à établir les exigences et d'autres conditions pour l’accréditation des auditeurs externes des institutions réglementées.

Official Gazette n° Special of 17/06/2022 10 Ingingo ya 2: Ibisobanuro by’amagambo Muri aya mabwiriza rusange, amagambo akurikira asobanura: 1º Ikigo kigenzurwa: ikigo cyose cyemerewe gukora kandi kigenzurwa n’Urwego rw’ubugenzuzi; 2º Komite y’ubugenzuzi: Komite y’Inama y’Ubutegesti ishinzwe kugenzura uko imari y’ikigo cy’imari ihagaze, imikorere y’ubugenzuzi bw’imbere, ibyagezweho n’ibyagaragajwe n’abagenzuzi b’imbere n’abagenzuzi bigenga no gutanga inama, ku buryo buhoraho, ku cyakorwa gikwiye kigamije gukosora ibitaragenze neza; 3º Ufitanye isano n’ikigo : umuntu wese ku giti cye cyangwa ikigo gifite ubuzima gatozi bafitanye n’ikigo cy’imari nibura rimwe mu masano akurikira: a. umuntu uri mu bagize Inama y’Ubutegesti, cyangwa ubuyobozi bw’ikigo kigenzurwa ; b. umuntu ufite ku buryo butaziguye Article 2: Definitions In this regulation, the following terms are defined as follows: 1º Regulated institution: any institution licensed and supervised by the Supervisory Authority; 2º Audit committee: the board committee that reviews the financial condition of the regulated institution, its internal controls, the performance and findings of the internal audit function and of the external auditors, and recommends an appropriate remedial action regularly; 3º Related party: any natural person or legal entity that maintains with the regulated institution at least one of the following relationships; a. a person who is a member of the Board of Directors or a member of the senior management of the regulated institution; b. person who has a direct or indirect Article 2 : Définitions Dans le présent règlement, les termes suivants sont définis comme suit : 1º Institution réglementée : toute institution agréée et supervisée par l’autorité de contrôle ; 2º Comité d'audit : comité du conseil d'administration qui examine la situation financière d'une institution réglementée, ses contrôles internes, la performance et les résultats de la fonction d'audit interne et des auditeurs externes, et qui recommande régulièrement des mesures correctives appropriées ; 3º Personne apparentée : une personne physique ou morale qui entretient avec l’institution réglementée au moins une des relations suivantes : a. une personne qui est membre du Conseil d'administration ou membre de Direction de l'institution réglementée ; b. une personne détenant une

Official Gazette n° Special of 17/06/2022 11 cyangwa buziguye uruhare rugaragara mu kigo kigenzurwa ; c. umuntu uri mu bagize Inama y’Ubutegetsi cyangwa mu bayobozi b’ibigo bivugwa mu duce twa « g » cyangwa « h »; d. Umwe mubashakanye, ufitanye isano itaziguye cyangwa iziguye kugeza ku gisanira cya kabiri n’umwe mu bantu bavugwa mu duce twa « a », « b », cyangwa « c »; e. ikigo icyo aricyo cyose gifite umwe mu bantu bavugwa mu duce twa « a », « b », « c », cyangwa « d » nk’umwe mu bagize Inama y’Ubutegetsi/Abacunga iby’abandi b’umwuga cyangwa ubuyobozi; f. ikigo icyo aricyo cyose gifite umwe mu bantu bavugwa mu duce twa « a », « b », « c », cyangwa « d », ufitemo mu buryo butaziguye cyangwa buziguye, wenyine cyangwa afatanyije n’abandi, nibura icumi ku ijana (10%) by’imigabane cyangwa uburenganzira bwo gutora cyangwa ashobora kugira uruhare mu bikorwa by’ikigo; significant shareholding in the regulated institution; c. person who is a member of the Board of Directors or the management of an entity covered specified in « g » or « h»; d. spouse, family member on direct line or collateral line up to the second degree of any of the persons mentioned under “a”, “b”, or “c”; e. any entity in which any of the persons mentioned under “a”, “b”, “c”, or “d” is a member of the Board of Directors/Trustees or the management; f. any entity in which any of the persons mentioned under “a”, “b”, “c”, or “d” above holds directly or indirectly, alone or with others, at least ten percent (10%) of the shares or voting rights or can exert influence; participation importante directe ou indirecte dans l'institution réglementée ; c. une personne qui est membre du Conseil d'administration ou de la Direction d'une entreprise mentionnée aux points "g" ou "h" ; d. conjoint ou membre de la famille en ligne directe ou en ligne collatérale jusqu'au deuxième degré de l'une des personnes mentionnées aux points "a", "b" ou "c" ; e. une entreprise dont l'une des personnes mentionnées aux points "a", "b", "c" ou "d" est membre du Conseil d'administration/ fidéicommissaires ou de la Direction ; f. une entreprise dans laquelle l'une des personnes mentionnées aux points "a", "b", "c" ou "d" ci-dessus détient directement ou indirectement, seule ou en co-propriété, au moins dix pour cent (10%) des actions ou des droits de vote ou peut exercer une influence ;

Official Gazette n° Special of 17/06/2022 12 g. ikigo icyo aricyo cyose ikigo cy’imari, cyonyine cyangwa hamwe nabandi, kigenzura cyangwa ikigo cy’imari kigira uruhare muburyo butaziguye cyangwa butaziguye; h. ikigo kigengwa cyangwa gifitwemo uruhare ku buryo butaziguye cyangwa buziguye n’ikigo kigenga ikigo kigenzurwa; i. umuntu wese ugenzura ibyemezo by’ingenzi byerekeye imari/amafaranga y’isosiyete. 4º Igenzura: ni umubano hagati yabandi aho abantu cyangwa ibigo bifite ubuzimagatozi bigenzura ikigo cy’imari kubera ko: a. bagifitemo hejuru ya mirongo itanu ku ijana (50%) by’imari shingiro cyangwa by’uburenganzira bwo gutora; b. bashobora gushyiraho cyangwa gukuraho abarenze kimwe cya kabiri cy’abagize inama y’ubutegetsi y’ikigo cy’imari; g. any entity that a regulated institution, alone or with others, controls or on which the regulated institution exerts influence directly or indirectly; h. any entity controlled or on which influence is exerted directly or indirectly by an entity that controls a regulated institution; i. any party that controls the key financial/funding decisions of the company. 4º Control: is a relationship between counterparties whereby natural persons or legal entities exercise control over the regulated institution on account of: a. holding more than fifty (50%) percent in the equity capital or voting rights; b. having the right to appoint or remove the majority of the members of the Board of Directors of a regulated institution g. une entité qu'une institution réglementée, seule ou avec d'autres, contrôle ou sur laquelle elle exerce une influence directe ou indirecte ; h. toute entité contrôlée directement ou indirectement par une personne ou une entité qui contrôle l’institution réglementée ; i. toute partie qui contrôle les principales décisions financières/de financement de l'entreprise. 4º Contrôle: une relation entre les contreparties selon laquelle les personnes physiques ou morales exercent le contrôle sur une institution réglementée en raison d’une ou plusieurs circonstances suivantes: a. qu’elles en détiennent plus de cinquante pour cent (50 %) du capital social ou des droits de vote; b. qu’elles ont le droit de nommer ou de révoquer la majorité des membres du Conseil d’Administration de l’institution réglementée ;

Official Gazette n° Special of 17/06/2022 13 c. bashobora gutuma ikigo cy’imari gifata ibyemezo bo bishakiye bitewe n’amasezerano bagiranye na cyo cyangwa n’ingingo z’amategeko yihariye acyigenga; 5º Umukozi Mukuru: umukozi uri mu buyobozi akaba ari mu bakozi b’ingenzi cyangwa bo hejuru mu kigo kigenzurwa. Uwo ni: a. Umuyobozi Mukuru (CEO/MD); b. Umukozi Mukuru Utanga raporo ku Nama y'Ubutegetsi cyangwa muri Komite z'Inama y'Ubutegetsi; na c. Umuyobozi Mukuru utanga raporo k’umuyobozi mukuru (CEO) / Umuyobozi mukuru (MD). 6º Umugenzuzi w’imari wigenga wemewe: ikigo cy’ubugenzuzi bw’imari cyangwa umugenzuzi w’imari ukora ku giti cye wemerewe gukora ubugenzuzi bw’imari bw’ibigo bigenzurwa; c. having the power to exert influence over a financial institution, pursuant to a contract entered into with that regulated institution, or to a clause in the bylaws of said regulated institution; 5º Senior manager: management personnel at executive level of the regulated institution. This includes: a. the Chief Executive Officer (CEO)/Managing Director (MD); b. Senior Executives reporting to the Board or to Board Committees; and c. Senior Executives reporting to the Chief Executive Officer (CEO)/Managing Director (MD). 6º Accredited external auditor: an audit firm or individual auditor authorized to audit regulated institutions; c. qu’elles ont le pouvoir d’exercer une influence sur une institution réglementée en vertu d’un contrat conclu avec celle-ci ou en vertu d’une clause des statuts de celle-ci; 5º Cadre dirigeant : le personnel de direction qui est à titre de haut niveau/clés de l’institution réglementée. Il s’agit de: a. le chef de la direction / directeur général (DG); b. Les cadres supérieurs relevant du conseil ou des comités du conseil; et c. Hauts Responsables Exécutifs rendant directement compte au Chief de Direction/ Managing Director (DG) ; 6º Auditeur externe accrédité : une société d’audit ou un auditeur autorisé à auditer les institutions réglementées ;

Official Gazette n° Special of 17/06/2022 14 7º Ikigo cy’ubugenzuzi bw’imari cyo mu cyiciro cya I: ikigo cy’ubugenzuzi gifite nibura ba nyir’ikigo babiri bafite Icyemezo cy’Umwuga cyatanzwe n’Urugaga Nyarwanda rw’Ababaruramari b’Umwuga (ICPAR) cyememerewe kugenzura ibigo byose bigenzurwa; 8º Ikigo cy’ubugenzuzi bw’imari cyo mu cyiciro cya II: ikigo cy’ubugenzuzi gifite nibura nyir’ikigo umwe ufite Icyemezo cy’Umwuga cyatanzwe n’Urugaga Nyarwanda rw’Ababaruramari b’Umwuga (ICPAR) wemerewe gusa gukorera ubugenzuzi ibigo bigenzurwa bigenwa n’Urwego rw’ ubugenzuzi; 9º Umugenzuzi w’imari wigenga wo mu cyiciro cya III: umuntu wese ku giti cye wemerewe kugenzura ibigo bigenzurwa bigenwa n’Urwego rw’ ubugenzuzi. Ingingo ya 3: Ibyiciro by’abagenzuzi bigenga Abagenzuzi bigenga bari mu byiciro bikurikira: 1º Ikigo cy’ubugenzuzi bw’imari cyo mu cyiciro cya I; 7º Tier I audit firm: any audit firm with at least two active partners with Practicing Certificates issued by the Institute of Certified Public Accountants of Rwanda (ICPAR) accredited to audit all regulated institutions; 8º Tier II audit firm: any audit firm with at least a sole partner with a Practicing Certificate issued by the Institute of Certified Public Accountants of Rwanda (ICPAR) accredited to audit regulated institutions determined by the Supervisory authority; 9º Tier III external Auditor: any natural person accredited to audit regulated institutions determined by the Supervisory authority. Article 3: Categories of External Auditors External auditors are categorized as follows: 1º Tier I Audit firm; 7º société d’audit de première(I) catégorie: société d’audit avec au moins deux associés actifs possédant un certificat de pratique délivré par l’Ordre des comptables professionnels du Rwanda (ICPAR) accrédité pour auditer toutes les institutions réglementées 8º société d’audit de deuxième (II) catégorie : toute société d'audit dont au moins un associé possède un certificat de pratique délivré par l’Ordre des comptables professionnels du Rwanda (ICPAR) accrédité pour auditer les institutions réglementées déterminées par l’autorité de contrôle ; 9º Auditeur externe de troisième catégorie : toute personne physique accréditée pour auditer les institutions réglementées déterminées par l’autorité de contrôle. Article 3: Catégories des auditeurs externes Les auditeurs externes sont classés comme suit: 1º société d’audit de première(I) catégorie ;

Official Gazette n° Special of 17/06/2022 15 2º Ikigo cy’ubugenzuzi bw’imari cyo mu cyiciro cya II; 3º Umugenzuzi w’imari wo mu cyiciro cya III. Urwego rw’ ubugenzuzi rukoresheje Amabwiriza igena ibigo bigenzurwa n’Ikigo cy’ubugenzuzi bw’imari cyo mu cyiciro cya II n’Umugenzuzi w’imari wo mu cyiciro cya III. UMUTWE WA II: IBIKURIKIZWA N’IBINDI BISABWA MU KWEMERERWA Ingingo ya 4: Ibikurikizwa mu gusaba kwemererwa Kugira ngo yemererwe n’ Urwego rw’ ubugenzuzi nk’umugenzuzi w’imari wigenga w’ikigo kigenzurwa, ubisaba agomba gutanga inyandiko isaba yuzuje neza nk’uko igaragara ku Mugereka wa 1 w’aya mabwiriza rusange. Inyandiko isaba ivugwa mu gika cya mbere cy’iyi ngingo iherekezwa n’inyemezabwishyu y’amafaranga y’isaba adasubizwa ahwanye n’ ibihumbi Magana atanu by’amafaranga y’u Rwanda (500.000 FRW) iyo usaba ashaka kwemererwa nk’ikigo cy’ubugenzuzi bw’imari cyo mu cyiciro cya I cyangwa 2º Tier II Audit firm; 3º Tier III external Auditor; The Supervisory authority, through a Directive determines regulated institutions that a Tier II audit firm and Tier II audit firm shall audit. CHAPTER II: REQUIREMENTS AND OTHER CONDITIONS FOR ACCREDITATION Article 4: Application requirements for accreditation In order to be accredited by the Supervisory authority as an external auditor for regulated institutions, the applicant shall submit a duly filled application form as set out in Appendix 1 of this regulation. The application form mentioned in paragraph one of this article shall be accompanied by proof of payment of a non-refundable application fee of five hundred thousand Rwandan francs (500,000 FRW) for an applicant who wishes to be accredited as Tier I audit firm, two hundred thousand Rwandan 2º société d’audit de deuxième (II) catégorie ; 3º Auditeur externe de troisième (III) catégorie ; L’autorité de contrôle, par Directive, détermine les institutions réglementées qu'une société d’audit de deuxième (II) catégorie l’Auditeur externe de troisième (III) catégorie doivent auditer. CHAPITRE II: EXIGENCES ET AUTRES CONDITIONS D'ACCRÉDITATION Article 4: Exigences de la demande et les Conditions d'accréditation Pour être accrédité par l’autorité de contrôle en tant qu’auditeur externe d'une institution réglementée, le demandeur transmet un formulaire de demande dûment rempli, tel qu’établi à l'Annexe 1 du présent règlement. Le dossier de demande mentionné à l’alinéa premier du présent article doit être accompagné d'une preuve de paiement des frais de dossier non remboursables de cinq cent mille de francs rwandais (500.000 FRW) pour le demandeur qui souhaite être accréditée comme société d’audit de première (I)

Official Gazette n° Special of 17/06/2022 16 ibihumbi maganabiri by’amafaranga y’u Rwanda (200.000 FRW) iyo usaba ashaka kwemererwa nk’Ikigo cy’ubugenzuzi bw’imari cyo mu cyiciro cya II. Na none, inyandiko y’isaba ivugwa mu gika kibanziriza iki igomba kuba iherekejwe n’ibi bikurikira: 1º kopi y’Icyemezo cy’Umwuga cyatanzwe n’Urugaga Nyarwanda rw’Ababaruramari b’Umwuga (ICPAR) gihuje n’igihe; 2º Icyemezo cy’uko atazigeze akurikiranwaho icyaha, Imyirondoro irambuye ikubiyemo amazina, impamyabumenyi z’amashuri no mu mwuga, uburambe by’abayobozi, iby’abashinzwe ireme, iby’abayobora abandi, n’iby’abayobozi b’amatsinda ndetse na lisiti y’abakozi n’imyanya bakoramo; 3º aho ibiro byubatse, agasanduku k’iposita/emeri byabyo n’amashami yabyo mu Rwanda hamwe n’inzego z’imikorere yabyo. Iyo ari ikigo mpuzamahanga cy’ubugenzuzi bw’imari, ibisobanuro birambuye byerekeye ibiro bikuru byacyo mu mahanga bigomba gutangwa ; francs (200,000 FRW) for an applicant who wishes to be accredited as a Tier II audit firm. Furthermore, the application file provided in the preceding paragraph must be accompanied by the following information: 1º a copy of valid Practicing Certificates issued by the Institute of Certified Public Accountants of Rwanda (ICPAR); 2º criminal record certificates, detailed curriculum vitaes (CVs) including names, academic and professional qualifications and experience for Partners, Quality control Reviewers, Managers and Team leaders and the list of all staff indicating their positions; 3º Physical and postal/ digital address of the local office and its branches in Rwanda together with its organizational structure. In case of an international audit firm, full details of its head office in foreign jurisdiction; catégorie; et de deux cent mille francs rwandais (200.000 FRW) pour le demandeur qui souhaite être accrédité comme société d’audit de deuxième (II) catégorie; En plus, le dossier de demande prévu à l’alinéa précédent doit être accompagné par les informations suivantes : 1º une copie valide du Certificat de pratique délivré par l’Ordre Rwandais des Experts Comptables (ICPAR); 2º Les extraits du casier judiciaire, les Curriculum Vitaes (CV) détaillés comprenant les noms, les qualifications académiques et professionnelles et l'expérience pour des partenaires, des réviseurs du contrôle de qualité, des superviseurs et des chefs d'équipe, ainsi que la liste de tous les employés et leurs postes ; 3º l'adresse physique et postale/digital du bureau local et de ses branches au Rwanda, ainsi que sa structure organisationnelle. Pour le cas d'une société internationale d'audit, une information complète et détaillée sur son siège dans une juridiction étrangère ;

Official Gazette n° Special of 17/06/2022 17 4º amazina, y’abayobozi barebwa mu buryo butaziguye n’ubugenzuzi; 5º ibisobanuro birambuye ku burambe bw’usaba birimo n’urutonde rw’imirimo y’ubugenzuzi y’ingenzi usaba yakoze mu myaka itatu (3) iheruka; 6º ibisobanuro birambuye ku mikoranire iyo ari yo yose umugenzuzi wigenga afitanye n’ibigo bigenzurwa; 7º kopi ya raporo z’imari zatanzwe n’umugenzuzi wigenga mu myaka itatu (3) ishize zemejwe n’Inama y’Ubuyobozi; 8º amabarurwa ya vuba yamuhaye akazi k’ubugenzuzi bw’imari; 9º ibisobanuro rusange bigaragaza imirongo ngenderwaho mu kunoza imikorere n’uburyo bukoreshwa n’ikigo cy’ubugenzuzi; 10º ukwiyemeza k’umugenzuzi ko azabika neza inyandiko ze z’akazi harimo n’inyandiko zose zijyanye n’ubugenzuzi mu gihe cy’imyaka icumi (10) kandi akazishyikiriza 4º the names of the managing partners who will directly be engaged in the audits; 5º details of applicant’s experience in auditing regulated institutions; including a list of all major audit assignments conducted in the past three (3) years; 6º details of any existing business relationships between the external auditor and regulated institutions; 7º a copy of the external auditor’s financial statements for the past three (3) years approved by the board of directors; 8º recent audit engagement letters; 9º general description of the quality assurance policies and procedures adopted by the auditing firm; 10º undertaking to preserve the auditor’s working papers including any audit related documents for a period of at least ten years (10) and to avail them whenever required by the Supervisory 4º les noms de partenaires principaux qui seront directement engagé dans l'audit; 5º les détails sur l'expérience du demandeur, y compris une liste des principales tâches d'audit réalisées au cours des trois (3) dernières années ; 6º les détails de toute relation d'affaires entre l'auditeur externe et les institutions réglementées ; 7º une copie des états financiers de l'auditeur externe pour les trois (3) dernières années approuvés par le Conseil d'Administration ; 8º des lettres d’engagement d'audit récentes ; 9º une description générale des politiques et procédures d'assurance de la qualité adoptées ; 10º l'engagement à conserver les documents de travail de l’auditeur, y compris tout document relatif à l'audit, pendant une période de dix (10) ans et à les rendre disponibles chaque fois que

Official Gazette n° Special of 17/06/2022 18 Urwego rw’ ubugenzuzi igihe ruzimusabye; 11º andi makuru yose yasabwa n’ Urwego rw’ ubugenzuzi. Ingingo ya 5: Gusuzuma ibindi bisabwa kugirango usaba yemererwe Mu gusuzuma ubusabe bw’umugenzuzi, Urwego rw’ ubugenzuzi rusuzuma niba umugenzuzi yujuje ibigenderwaho bikurikira: 1º kuba atarambuwe ububasha hashingiwe ku bitabangikanywa n’akazi ke; 2º kuba yubahiriza Amahame Mpuzamahanga y’Ubugenzuzi bw’imari n’andi mategeko, amabwiriza n’ibyemezo by’ Urwego rw’ ubugenzuzi; 3º kuba afite uburambe mu kazi k’ubugenzuzi; 4º kuba nibura umwe mu bahagariye sosiyete aba mu Rwanda, iyo umugenzuzi wigenga ari ikigo mpuzamahanga; authority; and; 11º any other information as may be required by the Supervisory authority. Article 5: Assessing the applicant’s other conditions for accreditation For the purpose of assessing the auditor’s application, the Supervisory authority shall ensure that the applicant meets the following conditions in particular: 1º is not disqualified due to incompatibilities attached to its duties; 2º complies with International Standards of Auditing and with other relevant regulations, directives, and decisions of the Supervisory authority; 3º has experience in auditing services; 4º has at least one signing partner residing in Rwanda for an international audit firm, l’autorité de contrôle les demande; et 11º toute autre information qui peut être requise par l’autorité de contrôle. Article 5 : Évaluer d’autres conditions d’accréditation du demandeur Aux fins de l’évaluation de la demande de l’auditeur, l’autorité de contrôle s’assure que le candidat remplit notamment les conditions suivantes : 1º n'est pas disqualifié en raison d'incompatibilités liées à ses fonctions; 2º se conforme aux Normes Internationales d'Audit et aux autres règlements, directives et décisions appropriés de l’autorité de contrôle ; 3º à une expérience dans les services d'audit ; 4º a au moins un partenaire signataire résidant au Rwanda pour un auditeur externe international ;

Official Gazette n° Special of 17/06/2022 19 5º kuba nta myitwarire mibi yagaragaje mu gutunganya imirimo ye mu bigo bigenzura ku bandi bakiliya muri rusange; 6º ku mugenzuzi w’imari usaba kwemererwa nk’ikigo cy’ubugenzuzi cy’imari cyo mu cyicoro cya I, kuba afite abakozi nibura batandatu (6) bize kandi bafite uburambe mu ibaruramari n’ubugenzuzi, muri bo nibura umwe akaba agomba kuba ari umugenzuzi ugenzura uburyo bw’ikoranabuhanga n’undi umwe akaba ari umuhanga mu mibare y’ubwishingizi n’ubwiteganyirize. Abayobozi bacunga imikorere ya buri wese bagomba kuba bafite ubushobozi mu ibaruramari kandi banditswe mu Rugaga Nyarwanda rw’Ababaruramari b’Umwuga (ICPAR). Abashinzwe igenzura ry’ireme, ugenzura uburyo bw’ikoranabuhanga n’umuhanga mu mibare y’ubwishingizi bagomba kuba banditswe mu nzego z’abanyamwuga zibashinzwe; 7º kuba abayobozi n’abakozi bagaragaza ukwigenga n’ikigo kigenzurwa; 8º kuba yubahiriza ibindi byose bisabwa 5º proves no misconduct in the performance of its duties both with regulated institutions or other general clients; 6º for an auditor who requires to be accredited as a Tier I audit firm, to have at least six (6) staff members with education and experience in accounting and audit, at least one staff who is an Information System Audit (IT expert) and at least one actuarial expert. Managers and partners on individual engagements must be chartered/certified public accountants and registered with Institute of Certified Public Accountants of Rwanda (ICPAR). Quality control reviewers, IT expert and as well actuaries shall be duly registered with their relevant professional bodies; 7º has its partners and staff independent from the regulated institution; 8º complies with any other ethical 5º n’a pas affiché de mauvaise conduite dans l'exercice de ses fonctions tant auprès des institutions réglementées que des autres clients; 6º pour un auditeur qui demande d’être agréé en tant que société d’audit de première (I) catégorie, avoir au moins six (6) membres du personnel ayant une formation et une expérience en comptabilité et en audit, dont au moins un est un auditeur certifié du système d'information et un est expert actuariel. Les responsables des engagements individuels doivent être qualifiés en comptabilité et enregistrés auprès de l’Ordre Rwandais des Experts Comptables (ICPAR). Les réviseurs du contrôle de qualité, l’expert en système d’information ainsi que les actuaires doivent être enregistrés auprès de leurs organismes professionnels concernés ; 7º ses partenaires et son personnel sont indépendants de l'institution réglementée ; 8º se conforme à toute autre exigence

Official Gazette n° Special of 17/06/2022 20 n’imyitwarire mbonezamurimo ikurikizwa; 9º kuba afite ubushobozi bwo kugira imikorere ifite ireme no kuba yubahiriza mu kazi ke ibipimo ngenderwaho bitegetswe ku rwego rw’imbere no hanze. Ingingo ya 6: Ibisabwa mu kwemerera abagenzuzi b’imari bo mu cyiciro cya cya III Urwego rw’ ubugenzuzi rukoresheje amabwiriza rugena ibisabwa byihariye ku basaba kwemererwa nk’abagenzuzi b’imari bigenga bakora ku giti cy’abo. Ingingo ya 7: Gusuzuma buri mwaka ibikurikizwa n’ibindi bisabwa mu kwemerera umugenzuzi w’imari wigenga Umugenzuzi wigenga agomba gutanga buri mwaka mu rwego rw’ ubugenzuzi amakuru akurikira kugirango asuzumwe kandi asesengurwe: 1º kopi y’Icyemezo cy’Umwuga cyatanzwe n’Urugaga Nyarwanda rw’Ababaruramari b’Umwuga (ICPAR); requirements applicable; 9º has the ability to demonstrate an effective quality assurance process and is in conformity with any internal and external standards that guide its service. Article 6: Requirements for accreditation of Tier III external auditors The Supervisory authority through a directive, shall set specific requirements for applicants wishing to be accredited as individual external auditors. Article 7: Annual review of the requirements and other conditions for accreditation The external auditor shall annually submit to the Supervisory authority the following updated information for assessment and review: 1º a copy of a valid practicing certificates issued by ICPAR; d’éthique applicable ; 9º a la capacité de démontrer un processus d'assurance de qualité efficace et se conforme à toutes les normes internes et externes qui guident son service. Article 6: Exigences d’accréditation des auditeurs externes de troisième catégorie L’autorité de contrôle, par directive, fixe des exigences spécifiques aux candidats souhaitant être accrédités en tant que auditeurs externes individuels. Article 7: Réexamen annuel des exigences et autres conditions d'accréditation de l'auditeur externe troisième L'auditeur externe accrédité soumet annuellement à l’autorité de contrôle les informations suivantes mises à jour pour évaluation et examen. 1º une copie du Certificat de pratique délivré par ICPAR;

Official Gazette n° Special of 17/06/2022 21 2º Imitere y’ikigo cy’ubugenzuzi bw’imari n’urutonde rw’abakozi b’ingenzi n’icyemezo cy’uko ari abanyamwuga gitangwa na ICPAR; 3º Urutonde rw’imirimo yakozwe n’ikigo cy’ubugenzuzi bw’imari mu mwaka washize; 4º andi makuru yose yasabwa n’ Urwego rw’ ubugenzuzi Isuzuma rigaragaza niba umugenzuzi w’imari wigenga akomeje kubahiriza ibisabwa n’ibindi bikurikizwa kugirango yemererwe. Amakuru agezweho agomba gushyikirizwa Urwego rw’ ubugenzuzi bitarenze umunsi w’akazi wa nyuma y’ukwezi kwa Mata k’umwaka ukurikira. Ingingo ya 8: Kwemerera umugenzuzi wigenga n’igihe kwemerwa bimara Iyo imaze kwakira dosiye isaba, Urwego rw’ ubugenzuzi rumenyesha usaba, mu gihe kitarenze iminsi irindwi (7) y’akazi, ko ubusabe bwe bwakiriwe. Inyandiko imenyekanisha ko ubusabe bwakiriwe imenyesha usaba ko inyandiko zatanzwe zuzuye cyangwa zituzuye 2º The audit firm structure and a list of all key staff and their practicing certificates issued by ICPAR; 3º List of assignments for the previous year; 4º any other information as may be required by the Supervisory authority. The evaluation and review shall determine whether the external auditor still meets the requirements and conditions for accreditation. The updated information shall be submitted to the Supervisory authority not later than the last working day of April of the following year. Article 8: Granting and validity of accreditation issued to the external auditor Upon receipt of the Application file, the Supervisory authority sends to the Applicant, within seven (7) working days, a notice of acknowledgement. The notice of acknowledgement informs the applicant that the application file submitted was found complete or deficient and outlines 2º La structure du cabinet d'audit et une liste de tout le personnel clé et leurs certificats d'exercice délivrés par l'ICPAR ; 3º liste des tâches d'audit de l'année précédente 4º toute autre information éventuellement requise par l’autorité de contrôle. L'examen détermine si l'auditeur externe satisfait toujours aux exigences et aux critères d'accréditation. Les informations mises à jour doivent être soumises à l’autorité de contrôle au plus tard le dernier jour ouvrable du mois d'Avril de l’année suivante. Article 8: Octroi et validité de l'accréditation délivré à l’auditeur externe Dès réception du dossier de demande, l’autorité de contrôle envoie au demandeur, dans les sept (7) jours ouvrables, un avis de réception. L'avis de réception informe le demandeur que les documents soumis ont été jugés complets ou incomplet et décrit les lacunes constatées

Official Gazette n° Special of 17/06/2022 22 ikanagaragaza ibibura mu busabe. Urwego rw’ ubugenzuzi, mu gihe kitarenze ukwezi kumwe (1) uhereye igihe ubusabe bwuzuye bwakiriwe, rufata icyemezo cyo kwemerera cyangwa kutemerera usaba hanyuma ikamenyesha icyemezo cyayo usaba mu buryo bukurikira: 1º iyo Urwego rw’ ubugenzuzi rutemereye usaba, kumenyekanisha kutemererwa n’impamvu zabyo bibwirwa usaba mu ibaruwa yo kutamwerera; 2º iyo Urwego rw’ ubugenzuzi rwafashe icyemezo cyo kwemerera usaba, kumenyekanisha kwemererwa bibwirwa usaba mu ibaruwa yo kwemerewa kandi kwemererwa bigira agaciro uhereye ku munsi wo kumenyeshwa; Icyakora, kwemererwa bishobora guhagarikwa burundu cyangwa by’agateganyo n’ Urwego rw’ ubugenzuzi rushingiye ku biteganywa muri aya mabwiriza rusange. Ingingo ya 9: Amafaranga yo kwemererwa ya buri mwaka Umugenzuzi w’imari wigenga wemerewe the deficiencies identified. The Supervisory authority shall, within one (1) month from the date of the receipt of the complete application file, decide to grant or refuse to grant the accreditation and shall thereafter notify the decision taken to the applicant in the following ways: 1º where the Supervisory authority rejects to grant the accreditation, the notification for rejection and its grounds shall be provided to the applicant in the letter; 2º where the Supervisory authority decides to grant the accreditation, the notification for accreditation shall be provided to the applicant in the letter and the granted accreditation shall be valid right from the date of notification; Nonetheless, the granted accreditation may be revoked or suspended by the Supervisory authority whenever deemed necessary. Article 9: Annual accreditation fees The accredited external auditor shall pay dans la demande. Dans un délai d'un (1) mois à compter de la date de réception de la demande complète, l’autorité de contrôle décide d'accorder ou de refuser l'accréditation et notifie ensuite la décision prise au demandeur selon les modalités suivantes : 1º lorsque l’autorité de contrôle refuse d'accorder l'accréditation, la notification du refus et ses motifs sont communiqués au demandeur dans la lettre de refus ; 2º lorsque l’autorité de contrôle décide d'accorder l'accréditation, la notification de l'agrément est fournie au demandeur dans la lettre d'agrément et l'agrément accordé est valable à compter de la date de notification ; Toutefois, l'accréditation accordée peut être révoquée ou suspendue par l’autorité de contrôle en se basant sur des motifs établis par ce règlement. Article 9 : Frais annuels d'accréditation L'auditeur externe accrédité doit payer

Official Gazette n° Special of 17/06/2022 23 agomba kwishyura amafaranga yishyurwa n’uwemerewe angana na miliyoni ebyiri z’amafaranga y’u Rwanda (2.000.000 FRW) ya buri mwaka iyo uwemerewe ari ikigo cy’ubugenzuzi bw’imari cyo mu cyiciro cya I n’ibihumbi magana ane by’amafaranga y’u Rwanda (400.000 FRW) iyo uwemerewe ari ikigo cy’ubugenzuzi bw’imari cyo mu cyiciro cya II. Amafaranga avugwa mu gika cya mbere cy’iyi ngingo yishyurwa kuri konti y’ Urwego rw’ ubugenzuzi kandi inyemezabwishyu ishyikirizwa Urwego rw’ ubugenzuzi mu gihe kitarenze umunsi w’akazi wanyuma w’ukwezi kwa Mata ku mwaka ukurikira. Ingingo ya 10: Impamvu zituma ukwemererwa k’umugenzuzi wigenga guhagarikwa by’agateganyo Urwego rw’ ubugenzuzi rushobora, igihe icyo ari cyo cyose, guhagarika by’agateganyo ukwemererwa k’umugenzuzi w’imari wigenga iyo uwo mugenzuzi: 1º iyo bigaragaye ko atubahirije ibiteganywa n’amategeko cyangwa iyo arenze kuri aya mabwiriza rusange, bikagira ingaruka ku migendekere myiza y’imikorere ye cyangwa ku buryo abantu bamwizeraga; annual accreditation fees of two million Rwandan francs (2,000,000 FRW) for a Tier I audit firm, and four hundred thousand Rwanda francs (400,000 FRW) for a Tier II audit firm. The amount provided in paragraph one of this article shall be paid on Supervisory authority account and the proof of payment be submitted to the Supervisory authority not later than the last working day of April of the following year. Article 10: Grounds for suspension of external auditor’s accreditation The Supervisory authority may suspend the accreditation granted to an external auditor at any time if the latter: 1º is found to be in violation of the provisions of the laws or in material breach of this regulation, which affects the effectiveness of its operations or the public trust; annuellement les frais d'accréditation de deux millions de francs rwandais (2.000.000 FRW) pour une société d'audit de première catégorie et quatre cent mille francs rwandais (400.000 FRW) pour une société d'audit de deuxième catégorie. Le montant prévu à l’alinéa premier du présent article est versé sur le compte de l’autorité de contrôle et la preuve de paiement est présentée à l’autorité de contrôle au plus tard le dernier jour ouvrable du mois d'Avril de l’année suivante. Article 10: Motifs de suspension de l'accréditation d'un auditeur externe L’autorité de contrôle peut suspendre à tout moment l’accréditation accordé à un auditeur externe si ce dernier : 1º est jugé en violation des dispositions légales ou en violation matérielle du présent règlement, affectant, l'efficacité de ses opérations ou sa crédibilité;

Official Gazette n° Special of 17/06/2022 24 2º atagifite ubuhanga cyangwa ubwigenge buhagije, adakurikiza cyangwa atakigendera ku ibipimo ngenderwaho byashyiriweho uwo mwuga; 3º yahagaritswe na ICPAR cyangwa urundi rwego rubifitiye ububasha Urwego rw’ ubugenzuzi ruha umugenzuzi wigenga ibaruwa imuhagarika by’agateganyo kandi ikabimenyesha ibigo bigenzurwa ndetse na ICPAR. Ingingo ya 11: Impamvu zituma ukwemererwa k’umugenzuzi wigenga guhagarikwa burundu Urwego rw’ ubugenzuzi rushobora, igihe icyo ari cyo cyose, guhagarika burundu ukwemererwa k’umugenzuzi w’imari wigenga iyo uwo mugenzuzi: 1º bigaragaye ko yemerewe yaratanze amakuru y’ibinyoma cyangwa binyuze mu nzira z’uburiganya; 2º adatangiye imirimo mu gihe kitarenze amezi cumi n’abiri (12) uhereye igihe yaherewe ibaruwa yo kwemererwa; 3º yahagaritse imirimo mu gihe kirenze amezi cumi n’abiri (12) atabisabwe na 2º has inadequate expertise or independence, is not subject to or does not adhere to established professional standards; 3º has been suspended by ICPAR or any other relevant body The Supervisory authority issues a suspension letter to the external auditor and informs regulated institutions as well as ICPAR. Article 11: Grounds for revocation of external auditor’s accreditation The Supervisory authority may revoke the accreditation granted to an external auditor at any time if the latter: 1º has obtained the accreditation through incorrect statements or fraudulent means; 2º has not commenced business within twelve (12) months from the date on which an accreditation letter was submitted to them; 3º has ceased operating for a period of more than 12 months unless decided 2º a une expertise ou une indépendance insuffisante, ou n'est pas soumis ou n'adhère pas aux normes professionnelles établies ; 3º a été suspendu par l'ICPAR ou tout autre organe compétent L’autorité de contrôle adresse une lettre de suspension à l’auditeur externe et en informe les institutions réglementées ainsi que l'ICPAR. Article 11: Motifs de révocation de l’accréditation d’un auditeur externe L’autorité de contrôle peut révoquer à tout moment l’accréditation accordée à un auditeur externe si ce dernier : 1º a obtenu l'accréditation par de fausses déclarations ou par moyen frauduleux ; 2º n'a pas commencé ses activités dans les douze (12) mois suivant la date à laquelle une lettre d'agrément lui a été transmise ; 3º a cessé ses activités pendant une période de plus de douze (12) mois sauf

Official Gazette n° Special of 17/06/2022 25 Urwego rw’ ubugenzuzi; 4º atacyujuje ibisabwa ngo yemererwe; 5º iyo asanzwe atubahirije bikabije ibiteganywa n’amategeko cyangwa iyo arenze kuri aya mabwiriza rusange, bikagira ingaruka , ku migendekere myiza y’imikorere ye cyangwa ku buryo abantu bamwizeraga; 6º adafite ubuhanga cyangwa ubwigenge bihagije, adakurikiza cyangwa atakigendera ku ibipimo ngenderwaho byashyiriweho uwo mwuga; 7º akora ibikorwa by’ibyaha byubukungu birimo ibikorwa by’iyezandonke no gutera inkunga iterabwoba; 8º atakosoye ibidatunganye byatumye ahagarikwa by’agateganyo; 9º yirukanwe na ICPAR cyangwa urundi rwego rubifitiye ububasha. Urwego rw’ ubugenzuzi ruha umugenzuzi wigenga ibaruwa imuhagarika burundu kandi ikabimenyesha ibigo bigenzurwa ndetse na ICPAR. by the Supervisory authority; 4º no longer meets the applicable accreditation criteria; 5º is found to be in serious violation of provisions of the laws or in material breach of this regulation, which the effectiveness of its operations or the public trust; 6º has serious inadequate expertise or independence, is not subject to or does not adhere to established professional standards; 7º is engaged in financial crimes activities including money laundering and financing of terrorism activities; 8º has not corrected the grounds for suspension; 9º has been revoked by ICPAR or any other relevant body. The Supervisory authority shall issue a revocation letter to the external auditor and informs regulated institutions as well as the ICPAR. sur décision de l’autorité de contrôle ; 4º ne répond plus aux critères d'agrément en vigueur; 5º est jugé en violation des dispositions légales ou en violation substantielle du présent règlement, affectant l'efficacité de ses opérations ou sa crédibilité ; 6º a une expertise ou une indépendance fondamentalement insuffisantes, n'est pas soumis ou n'adhère pas aux normes professionnelles établies ; 7º est engagé dans des activités de crimes financières, y compris le blanchiment d'argent et le financement d'activités terroristes ; 8º n'a pas corrigé les motifs de suspension; 9º a été suspendu par l'ICPAR ou tout autre organe compétent. L’autorité de contrôle adresse une lettre de révocation à l‘auditeur externe et en informe les institutions réglementées ainsi que l'ICPAR.

Official Gazette n° Special of 17/06/2022 26 UMUTWE WA III: ISHYIRWAHO RY’UMUGENZUZI W’IMARI WIGENGA, AKAZI N’INSHINGANO BYE Ingingo ya 12: Inshingano yo gushyiraho umugenzuzi wigenga wemewe n’ Ikigo kigenzurwa Ikigo kigenzurwa kigomba gushyiraho umugenzuzi w’imari wigenga wemewe uri urutonde rw’abagenzuzi b’imari bigenga bemewe rutangazwa ku rubuga rwa interineti rwa Urwego rw’ ubugenzuzi. Ikigo by’imari kigomba gukurikiza uburyo bunoze bwo gukurikirana no gusuzuma ubwigenge bw’umugenzuzi w’imari wigenga wemewe no kugenzura ko umugenzuzi w’imari wigenga washyizweho afite ubumenyi, ubushobozi, ubuhanga, ubunyangamugayo n’abakozi bo gukora ubugenzuzi kandi ko yubahiriza ibindi asabwa kubahiriza. Iyo ikigo cy’igenzurwa kidashyizeho umugenzuzi w’imari wigenga wemewe, Urwego rw’ ubugenzuzi rumushyiraho mu izina ry’ikigo kigenzurwa kandi amafaranga yose yatanzwe akishyurwa n’icyo kigo kigenzurwa. CHAPTER III: APPOINTMENT OF AN ACCREDITED EXTERNAL AUDITOR, DUTIES, RESPONSIBILITIES AND OBLIGATIONS Article 12: Obligation to appoint an accredited external auditor by regulated institution A regulated institution must appoint an external auditor from the list of accredited external auditors published on the website of the Supervisory authority. Regulated institutions must also apply robust processes for monitoring and assessing the independence of the accredited external auditor and to ensure that the appointed external auditor has the necessary knowledge, skills, expertise, integrity and resources to conduct the audit and meet any additional regulatory requirements. In case a regulated institution doesn’t appoint an accredited external auditor, the Supervisory authority shall appoint one on behalf of the regulated institution and all expenses incurred shall be paid by the audited regulated institution. CHAPITRE III : ENGAGEMENT D'UN AUDITEUR EXTERNE ACCREDITE, SES FONCTIONS, RESPONSABILITES, ET OBLIGATIONS Article 12 : Obligation d’engager un auditeur externe accrédité par l'institution réglementée Une institution réglementée est tenue d’engager un auditeur externe accrédité qui est sur la liste des auditeurs externes accrédités et publiée sur le Site Web l’autorité de contrôle. L'institution réglementée doit également appliquer des processus solides pour surveiller et évaluer l'indépendance de l’auditeur externe accrédité et s'assurer que l’auditeur externe engagé possède les connaissances, les compétences, l'expertise, l'intégrité et les ressources nécessaires pour effectuer l'audit et répondre à toutes les exigences réglementaires supplémentaires. Au cas où une institution réglementée ne nomme pas d'auditeur externe accrédité, l’autorité de contrôle en nomme un au nom de l'institution réglementée et toutes les dépenses encourues sont payées par l'institution réglementée auditée.

Official Gazette n° Special of 17/06/2022 27 Ingingo ya 13: Igihe umugenzuzi w’imari wigenga wemewe amara ku mirimo Igihe umugenzuzi wigenga wemewe amara ku mirimo ye mu kigo kigenzurwa ni imyaka itatu (3) keretse iyo cyongerewe na Urwego rw’ ubugenzuzi bisabwe n’ikigo gikorerwa ubugenzuzi.Icyakora, igihe cyongerwa ntigishobora kurenza imyaka ibiri (2). Umugenzuzi wigenga ntashobora kongera gukora mu kigo kigenzurwa yakozemo igenzura mbere yuko hashira nibura imyaka itatu (3) y’ingengo y’imari ikurikirana ibarwa uhereye ku munsi wa nyuma w’imirimo ye iheruka. Ingingo ya 14: Imirimo y’umugenzuzi wigenga wemewe Umugenzuzi wigenga wemewe akora imirimo ye akurikije Ibipimo Mpuzamahanga Ngenderwaho Byerekeye Ubugenzuzi kimwe n’amabwiriza n’ibyemezo bya Urwego rw’ ubugenzuzi. Imirimo y’ingenzi y’umugenzuzi wigenga wemewe ni ukwandika no kugaragaza igitekerezo cye kitabogamye kandi cy’ukuri, agaragaza niba: 1º yarahawe amakuru yose ya ngombwa Article 13: Duration of appointment of an accredited external auditor The duration of appointment of an accredited external auditor in a regulated institution shall be three years (3) unless extended by the Supervisory authority upon request by the audited institution. However, the granted extension cannot exceed two (2) years. The external auditor shall not be re-appointed to the same regulated Institution before the elapse of at least three consecutive fiscal years (3) counted from the date of end of its preceding appointment. Article 14: Duties of an accredited external auditor The accredited external auditor shall carry out its duties in accordance with International Standards of Auditing as well as with regulatory framework and decisions put in place by the Supervisory authority. The main duties of the accredited external auditor shall be to form and provide a written objective opinion on whether: 1º it has obtained all the necessary Article 13 : Durée de la nomination d'un auditeur externe accrédité L’engagement d’un auditeur externe accrédité d’une institution réglementée est de trois (3) ans sauf prolongation par l’autorité de contrôle à la demande de l'institution auditée. Toutefois, la prolongation accordée ne peut pas dépasser deux (2) ans. L’auditeur externe accrédité ne peut pas être nommé à nouveau dans la même institution réglementée avant la fin d'au moins trois (3) années fiscales consécutives à compter de la date de fin de sa nomination précédente. Article 14: Fonctions de l’auditeur externe accrédité L’auditeur externe accrédité exerce ses fonctions conformément aux Normes internationales d'audit ainsi qu'au cadre réglementaire et aux décisions mises en place par l’autorité de contrôle . Les principales fonctions de l’auditeur externe accrédité consistent à formuler et donner une opinion objective et écrite, exprimant si: 1º il a obtenu toutes les informations et

Official Gazette n° Special of 17/06/2022 28 n’ibisobanuro ku bugenzuzi bw’ibitabo by’ibaruramari kandi ko yubahirije Ibipimo Mpuzamahanga Ngenderwaho byerekeye Ubugenzuzi; 2º Ikigo kibika kandi kigacunga neza ibitabo by’ibaruramari; 3º Raporo z’imari zihura n’amakuru ari mu bitabo by’ibaruramari kandi zihuje n’Ibipimo Mpuzamahanga Ngenderwaho mu Itanga ry’amakuru ajyanye n’Imari; 4º Raporo z’imari zigaragazwa n’ibitabo by’ibaruramari zitanga ishusho nyayo kandi itabogamye y’imiterere y’imari y’ikigo hakurikijwe Ibipimo Mpuzamahanga Ngenderwaho mu Itanga ry’amakuru yerekeye Imari. Ingingo ya 15: Inshingano nyamukuru z’umugenzuzi wigenga wemewe Kugira ngo akore imirimo iteganywa n’aya mabwiriza rusange, umugenzuzi wigenga wemewe afite inshingano nyamukuru zikurikira: 1º kugenzura ko ikigo cy’imari kigenzurwa gitegura raporo z’imari hakurikijwe information and explanations for the audit of books of accounts and have applied International Auditing Standards (IAS); 2º proper books of accounts have been kept and maintained by the regulated institution; 3º the financial statements are in agreement with the books of accounts and are in conformity with applicable International Financial Reporting Standards; 4º the financial statements derived from the books of accounts give a “true and fair view” of the financial status of the institution in accordance with International Financial Reporting Standards Article 15: Main responsibilities of an accredited external auditor To achieve the duties provided for in this regulation, an accredited external auditor has the following main responsibilities: 1º to ensure that the audited regulated institution prepares financial explications nécessaires pour l’audit des livres comptables et a appliqué les normes internationales d'audit ; 2º les livres comptables appropriés ont été tenus et maintenus par l'institution réglementée; 3º les états financiers sont en accord avec les livres comptables et en conformité avec les Normes internationales d'information financière applicables; 4º les états financiers tirés des livres comptables donnent une "image fidèle" de la situation financière de l'institution, conformément aux Normes internationales d'information financière. Article 15: Principales responsabilités de l’auditeur externe accrédité Pour s'acquitter des tâches et responsabilités prévues par le présent règlement, l’auditeur externe accrédité a des responsabilités principales suivantes : 1º s'assurer que l'institution réglementée auditée prépare les états financiers

Official Gazette n° Special of 17/06/2022 29 amahame mpuzamahanga yo gutanga raporo y’imikoreshereze y’imari (IFRS).kandi ko iyo raporo y’imari ifashwa n’ikoranabuhanga y’imibare y’ikigo cy’imari, hakurikijwe amategeko n'amabwiriza abigenga. 2º kugenzura ko ikigo cy’imari gikoresha uburyo bw’igenagaciro buhuye n’ibiteganywa n’amahame mpuzamahanga yo gutanga raporo y’imikoreshereze y’imari (IFRS) kandi ko uburyo bwo kugena agaciro neza bukurikiza uburyo bwigenga bwo gusuzuma no kwemeza; 3º kwandika no kugaragaza ibinyuranyo bigaragara hagati y’igenagaciro rikoreshwa kugira ngo hatangwe raporo yerekeye imari n’irikoreshwa kubera ibisabwa mu rwego rw’igenzura mu ibaruwa igenewe ubuyobozi; 4º kumenya ko igaragazwa ry’uko imari y’ibigo ihagaze ryubahiriza amahame mpuzamahanga yo gutanga raporo y’imikoreshereze y’imari (IFRS) n’ingingo z’amategeko n’amabwiriza abigenga; statements in accordance with International Financial Reporting Standards (IFRS) and that those financial statements are supported by the regulated institution’s data systems, in accordance with the relevant laws and regulations; 2º to determine that a regulated institution has used valuation practices consistent with International Financial Reporting Standards (IFRS) and that the framework, structure and processes for fair value estimation are subject to independent verification and validation; 3º document and disclose any significant differences between the valuations used for financial reporting purposes and for regulatory purposes in the management letter; 4º ensure that the disclosure of the financial statements of regulated institutions complies with the International Financial Reporting Standards (IFRS) and relevant provisions of laws and regulations; conformément aux Normes internationales d'information financière (IFRS) et que ces états financiers sont soutenus par les systèmes de données de l'institution réglementée, conformément aux lois et règlements en la matière ; 2º déterminer qu'une institution réglementée a utilisé des pratiques d'évaluation conformes aux Normes internationales d'information financière (IFRS) et que le cadre, la structure et les processus d'estimation de la juste valeur font l’objet d’une vérification et d’une validation indépendantes; 3º documenter et déclarer les différences remarquables entre les évaluations utilisées à des fins d’information financière et celles à des fins réglementaires dans la lettre de recommandation ; 4º s’assurer que la déclaration des états financiers des institutions financières se conforme aux Normes internationales d'information financière (IFRS) et aux dispositions légales et réglementaires en la matière ;

Official Gazette n° Special of 17/06/2022 30 5º kwerekana kutubahiriza amategeko n'amabwiriza mu ibaruwa igenewe y'ubuyobozi; 6º gusuzuma raporo zoherezwa ku Urwego rw’ ubugenzuzi ndetse no kumenyesha Urwego rw’ ubugenzuzi izitaratanzwe nk’uko bikwiye; 7º gukurikirana ko raporo z’imari, harimo n’ibisobanuro, zigenzurwa hakurikijwe Ibipimo Mpuzamahanga ngenderwaho byerekeye Ubugenzuzi bishyirwaho n’Ikigo Mpuzamahanga gishinzwe Ubugenzuzi n’Iyubahirizwa ry’Ibipimo Ngenderwaho (IAASB). 8º kuzuza inshingano y’ubushishozi n’iyo kurengera inyungu rusange, ababikije, abaguze ubwishingizi, abatanga imisanzu, abagiye mu kiruhuko cy’izabukuru bishingiwe n’abandi bakiliya. Ingingo ya 16: Izindi nshingano z’umugenzuzi w’imari wigenga wemewe Mu kuzuza inshingano y’ubushishozi n’iyo kwita ku nyungu rusange, kurengera ababikije, abaguze ubwishingizi, abatanga imisanzu, abagiye mu kiruhuko cy’izabukuru bishingiwe n’abandi bakiliya, umugenzuzi wigenga wemewe agomba kureba neza ko: 5º disclose violations of laws and regulations in the management letter; 6º review regulatory returns and report deficiencies to the Supervisory authority; 7º ensure that financial statements, including the explanatory notes, are audited in accordance with International Standards on Auditing issued by the International Auditing and Assurance Standards Board (IAASB). 8º ensure care and protection of public interest, depositors, policyholders, contributors, pensioners and other clients. Article 16: Other responsibilities of an accredited external auditor While exercising the duties of care and protection of public interest, depositors, policyholders, contributors, pensioners and other clients, the accredited external auditor shall ensure that: 5º divulguer toute violation des lois et règlements dans la lettre de recommandation ; 6º examiner les rapports réglementaires et signaler les lacunes à l’autorité de contrôle ; 7º s'assurer que les états financiers, y compris les notes explicatives, sont audités conformément aux Normes internationales d'audit publiées par le Conseil international des normes d'audit et d'assurance (IAASB). 8º assurer le soin et la protection de l'intérêt public, des déposants, des assurés, des cotisants, des retraités et des autres clients. Article 16: Autres responsabilités de l’auditeur accrédité Dans l'exercice de ses fonctions de diligence, de protection de l'intérêt public, de déposants, d'assurés, de cotisants, de retraités et d'autres clients, l'auditeur externe accrédité veille à ce que:

Official Gazette n° Special of 17/06/2022 31 1º Hari uburyo bukwiye bwo kugaragaza uko ibaruramari rikorwa kugira ngo bifashe gusobanukirwa bihagije uko imari y’ikigo cy’imari ihagaze n’ibyagiteza ingorane; 2º Ibintu byose by’ingenzi byabangamira ubushobozi bw’ikigo kigenzurwa gukomeza gukora byasesenguwe; 3º Uburyo bukurikizwa mu kigo mu kugaragaza no gucunga ibyagiteza ingorane (ku bigaragara cyangwa ibitagaragara mu ifoto y’umutungo) byasesenguwe; 4º Ibyiciro by’ingenzi mu kigo cy’imari nk’inguzanyo zose, guteganya ingoboka ku nguzanyo zishobora kutishyurwa, imitungo idatanga umusaruro, igenagaciro ry’imitungo, ibikorwa by’ubucuruzi n’izindi nyandiko z’agaciro, ibikomoka ku mari, uburyo bwo guhindura imitungo mo inyandiko z’agaciro, ikomatanya n’isano n’ibitari mu ifoto y’umutungo, ingoboka mu bya tekiniki, 5º imicungire ya konti z’amafaranga, isesengura ry’igihe amadeni ikigo 1º there is an appropriate disclosure of accounting policies to enable full understanding of the financial status and risks facing the regulated institution; 2º all material factors affecting the ability of the regulated institution to continue as a going concern have been evaluated; 3º the institution’s processes for identifying and managing risks (on and off-balance sheet) have been assessed; 4º important areas in the regulated institution such as the loan portfolio, loan loss provisioning, non-performing assets, asset valuations, trading and other securities activities, derivatives, securitizations, consolidation and the relationship with off-balance sheet vehicles, technical provisions, 5º sub-life funds accounts management, ageing analysis of receivables and 1º Il existe une communication adéquate des politiques de comptabilité pour permettre la compréhension complète de la situation financière et des risques auxquels l’institution réglementée fait face; 2º Tous les facteurs importants affectant la capacité d’une institution réglementée de continuer ses activités ont été évalués; 3º Les processus de l'institution pour identifier et gérer les risques (au bilan et hors bilan) ont été évalués; 4º Les domaines importants de l’institution réglementée , tels que le portefeuille de prêts, la provision pour prêts irrécouvrables, les actifs non performant, les évaluations d’actifs, les activités de commerce et d’autres titres, les produits dérivés, les titrisations, la consolidation et la relation avec les éléments hors bilan, les provisions techniques, 5º la gestion des comptes de fonds, l’analyse chronologique des créances

Official Gazette n° Special of 17/06/2022 32 gifitiwe n’ayo gifitiye abandi amaze, guteganya ingoboka z’imyenda itizewe n’imyenda bigaragara ko itazishyurwa, imitungo n’imyenda y’ubwishingizi, igenzura ry’imbere ryerekeye itanga ry’amakuru ajyanye n’imari byagenzuwe, no kureba neza ko isuzuma ry’ikigereranyo hagati y’imari shingiro n’ingorane zakomoka ku nguzanyo zatanzwe, ibikorwa by’abafitanye isano n’ikigo, isuzuma ry’ibipimo by’inguzanyo n’amafaranga ahari byagaragajwe muri raporo y’ubuyobozi nk’uko bisabwa n’amabwiriza; 6º Habayeho mu rwego rwo gukora kinyamwuga, kudahita wizera amakuru mu itegurwa n’ishyirwa mu bikorwa ry’ubugenzuzi bw’ikigo, hitawe ku mwihariko w’ibikorwa byabo; 7º Ingorane zatuma raporo z’imari z’ikigo zibamo amakosa akomeye zagaragajwe kandi zasuzumwe, hitawe ku rusobe rw’ibikorwa byacyo n’uburyo imiterere y’igenzura ry’imbere inoze. payables, provisioning requirements, reinsurance assets and liabilities, and internal controls over the financial reporting have been assessed, review of capital adequacy computation, related parties’ transactions, assessment of movement of loan provisions and liquidity ratios, and reported in the management letter as per regulatory requirements; 6º professional scepticism has been exercised when planning and performing the audit of the institution, considering the particularities of their activities; 7º the risks of material misstatement in the institution’s financial statements have been identified and assessed, taking into consideration the complexities of its activities and the effectiveness of its internal control environment. et dettes, la provision pour créances non performantes et douteuses, les actifs et passifs de réassurance, et les contrôles internes sur l’information financière ont été évalués, et que l’examen du calcul de l'adéquation des fonds propres, les transactions des parties apparentées, l'évaluation des mouvements des provisions pour prêts et des ratios de liquidité ont été déclarés dans la lettre de recommandation conformément aux exigences réglementaires; 6º Le scepticisme professionnel a été exercé lors de la planification et de l’exécution de l’audit de l’institution, compte tenu des particularités de leurs activités; 7º Les risques d’erreurs substantielles dans les états financiers de l’institution ont été identifiés et évalués, en tenant compte de la complexité de ses activités et de l’efficacité de son environnement de contrôle interne.

Official Gazette n° Special of 17/06/2022 33 Ingingo ya 17: Inshingano umugenzuzi w’imari wigenga wemewe afitiye Urwego rw’ ubugenzuzi Umugenzuzi w’imari wigenga wemewe amenyesha vuba Urwego rw’ ubugenzuzi: 1º amakuru ayo ariyo yose cyangwa ikibaye cyose kirebana n’ibikorwa by’ikigo abona, mu bushishozi bwe, gishobora kubangamira inyungu z’ikigo, abakibitsamo, abishingiwe cyangwa abandi ikigo kibereyemo umwenda, cyangwa ko ikigo cyahombye cyangwa gisa n’aho kidashoboye kuzuza inshingano zacyo; 2º icyaha icyo ari cyo cyose cyakozwe cyangwa kirimo gukorwa n’ikigo cyangwa gifite aho gihuriye n’ibikorwa by’ikigo; 3º ibikorwa byatuma hakekwa iyezandonke cyangwa gutera inkunga iterabwoba; 4º ibikorwa byose by’ikigo cy’imari byica amategeko cyangwa amabwiriza akigenga; Article 17: Obligations of an accredited external auditor to the Supervisory authority The accredited external auditor shall promptly inform the Supervisory authority of: 1º any information or occurrence relating to the affairs of the institution that, in his or her opinion, could jeopardize the interest of the institution, depositors, policyholders or any other creditors, or information that the institution is insolvent or is likely to be unable to meet its obligations; 2º any criminal offence that has been or is being committed by the institution or in connection with the institution’s business; 3º transactions leading to suspicion of criminal activities including money laundering and financing terrorism; 4º any acts of regulated institution that breach the relevant laws or regulations; Article 17: Obligations de l’auditeur externe accrédité auprès de l’autorité de contrôle L’auditeur externe accrédité informe également sans délai l’autorité de contrôle de: 1º toute information ou tout événement lié aux affaires de l'institution qui, à son avis, pourrait compromettre les intérêts de l'institution, des déposants, des assurés ou autres créanciers, ou de l'information selon laquelle l'institution est insolvable ou est susceptible d’être incapable de remplir à ses obligations; 2º toute infraction pénale qui a été ou est commise par l'institution ou en relation avec les activités de l'institution; 3º toute opération de nature à faire suspecter qu’il y aurait des activités criminelles, y compris le blanchiment de capitaux et le financement du terrorisme ; 4º tout acte d'une institution réglementée qui enfreint les lois ou règlements pertinents ;

Official Gazette n° Special of 17/06/2022 34 5º intege nke zigaragara mu igenzura mu kigo zishobora gutuma ikigo gishegeshwa n’ingorane bikomeye cyangwa imyenda bigatuma imari yacyo ihungabana. Umugenzuzi wigenga wemewe agomba kumenyesha Urwego rw’ ubugenzuzi mu minsi irindwi (7) mugihe habaye 1º Ukwegura kwe n’impamvu zabiteye; 2º Icyemezo cye cyo kutongera amasezerano y’akazi n’impamvu zabiteye; 3º Igitekerezo cye kuri raporo y’imari, harimo impamvu z’icyo gitekerezo 4º n’ibihano bishobora kuba byarafatiwe ikigo. Ingingo ya 18: Raporo z’inyongera zihabwa Urwego rw’ ubugenzuzi n’umugenzuzi wigenga wemewe Uretse inshingano zikubiye mu ngingo ya 17 y’aya mabwiriza rusange, umugenzuzi wigenga asabwa kumenyesha byihutirwa 5º any significant weaknesses in the institution’s internal control which may render it vulnerable to significant risks or any exposures that may potentially jeopardize its financial viability; An accredited external auditor shall also notify the Supervisory authority within seven (7) days in the event of: 1º resignation from audit assignment and the reasons thereof; 2º decision not to seek re-appointment and the reasons thereof; 3º qualification of its opinion on the financial statements, including reasons thereof; and; 4º any disciplinary actions taken against the firm. Article 18: Additional reports to the Supervisory authority by an accredited external auditor In addition to the obligations provided for in article 17 of this Regulation, the external auditor is required to report promptly to the 5º toutes les faiblesses significatives dans le contrôle interne de l'institution qui peuvent la rendre vulnérable aux risques considérables ou à tout risque qui peut potentiellement compromettre sa viabilité financière. Un auditeur externe accrédité agréé doit informer l’autorité de contrôle , endéans sept (7) jours, de: 1º sa démission et des motifs de celle-ci ; 2º sa décision de ne pas solliciter le renouvellement de son contrat et les raisons de cette décision ; 3º émission d’un avis avec réserves sur les états financiers, y compris les raisons de celui-ci ; et; 4º les éventuelles mesures disciplinaires prises à l'encontre de l'entreprise. Article 18: Rapport additionnel à fournir à l’autorité de contrôle par l’auditeur externe accrédité En plus des obligations stipulées dans l’article 17 du présent règlement, l’auditeur externe est tenu de signaler sans délai à l’autorité de

Official Gazette n° Special of 17/06/2022 35 Urwego rw’ ubugenzuzi icyo ari cyo cyose muri ibi bikurikira: 1º Ikibazo cy’amakimbirane akomeye mu nzego zifata ibyemezo; 2º Kuba umugenzuzi wigenga wemewe yaba ashaka kwegura cyangwa ikindi kigaragaza ko umugenzuzi agiye kuvanwaho; 3º Ibyahindutse byateza ingorane biriho cyangwa bishobora kubaho mu bucuruzi bw’ikigo; 4º Ibitagenda neza cyangwa ibihombo bigaragara bishobora guhungabanya inyungu z’ababikije, abafashe ubwishingizi cyangwa abandi ikigo kibereyemo umwenda; 5º Ibigaragaza kurenga kuri politiki, ku mategeko shingiro n’inyandiko y’ubwumvikane by’ikigo ubwacyo. Umugenzuzi wigenga wemewe ntaryozwa amakuru ayo ari yo yose yashyikirije Urwego rw’ ubugenzuzi hakurikijwe aya mabwiriza rusange. Supervisory authority any of the information concerning the following matters: 1º matters of serious conflict within the decision- making bodies; 2º intention of the accredited external auditor to resign or any threat of removal of the auditor from office; 3º material adverse changes in current or potential risks in the institution’s business; 4º serious irregularities or significant losses which may jeopardize the interests of depositors, policyholders or other creditors of the institution; 5º Information that indicates a material breach of the institution’s own policies, articles of association and memorandum of association. An accredited external auditor shall not be liable for any information disclosed to the Supervisory authority following this Regulation. contrôle les informations concernant les situations suivantes: 1º les problèmes de conflits graves au sein des organes de prise de décision ; 2º l’intention de l’auditeur externe accrédité de démissionner ou de toute menace de révocation de l’auditeur de ses fonctions; 3º les changements défavorables importants dans les risques actuels ou potentiels de l’activité de l’institution ; 4º les irrégularités graves ou pertes importantes, qui peuvent compromettre les intérêts des déposants, des souscripteurs ou des autres créanciers de l’institution ; 5º l’information qui montre une violation substantielle des politiques propres de l’institution, de ses statuts et de son acte constitutif. L’auditeur externe accrédité n’est pas tenu responsable pour toute information déclarée à l’autorité de contrôle conformément au présent règlement.

Official Gazette n° Special of 17/06/2022 36 Ingingo ya 19: Uko umugenzuzi w’imari wigenga wemewe asobanukirwa imiterere y’igenzura ry’imbere ry’ikigo kigenzurwa Mu gihe umugenzuzi w’imari wigenga wemewe ashaka gusobanukirwa imiterere y’igenzura ry’imbere ikigo gikoresha, agomba: 1º Gusuzuma ko ubuyobozi, bufatanyije n’abashinzwe imiyoborere, buteza imbere imiterere y’igenzura rinoze; 2º Gusuzuma ko iryo genzura cyangwa irisa na ryo ari ryo rikoreshwa ku bikorwa byose na serivisi zitangwa kandi ko rigera ku masosiyete yabyawe n’indi n’amashami y’ibigo bikomatanyije; 3º Gusuzuma ubushobozi bw’ikoranabuhanga mu koroshya ibikorwa; 4º Kumenya uburyo ikigo gikoresha mu rwego rwo kwifashisha abantu bo hanze mu bikorwa n’imirimo y’akazi no gusuzuma uko igenzura ry’imbere kuri ibi bikorwa rikorwa; Article 19: Understanding of the regulated institution’s internal control environment by an accredited external auditor The accredited external auditor, when obtaining an understanding of institution’s internal control environment, must: 1º assess whether management, with the involvement of those charged with governance, is promoting a robust control environment; 2º assess whether the same or a similar control environment extends to all types of operations and offered services and encompasses all subsidiaries and branches of the group; 3º assess the IT capability of facilitating the business operations; 4º understand the institution’s approach to outsourcing/offshoring of business activities and functions and assess how internal control over these activities is maintained; Article 19: Compréhension de l'environnement de contrôle interne d'une institution réglementée par un auditeur externe accrédité L'auditeur externe accrédité, lorsqu'il prend connaissance de l'environnement de contrôle interne de l'institution, doit : 1º examiner si la direction, avec la participation des personnes chargées de la gouvernance, favorise un environnement de contrôle solide; 2º examiner si le même environnement de contrôle ou un environnement de contrôle similaire s'étend à tous les types d'opérations et de services offerts et s'il englobe toutes les filiales et branches du groupe ; 3º évaluer la capacité informatique de faciliter les opérations commerciales ; 4º comprendre l'approche de l'institution en matière de sous￾traitance/délocalisation des activités et fonctions commerciales et évaluer la manière dont le contrôle interne de ces activités est maintenu ;

Official Gazette n° Special of 17/06/2022 37 5º Kumenya neza imiterere y’amashami y’igenzura y’ingenzi mu kigo cy’imari n’ibigo bigishamaikiyeho. Amashami y’ingenzi y’igenzura agizwe nibura n’ubugenzuzi bw’imbere, imicungire y’ingorane, iyubahirizwa ry’amabwiriza n’andi mashami y’ikurikiranabikorwa; 6º Gusuzuma niba hari ibyuho bikomeye mu buryo bw’imigenzurire y’ikigo cy’imari no kumenya urugero rwo kwihanganira ibyateza ingorane rwagenwe n’abashinzwe imiyoborere; 7º Gusuzuma ko ikigo kigenzurwa cyubahiriza ibisabwa n’amategeko arwanya iyezandonke no gutera inkunga iterabwoba. Ingingo ya 20: Inama y’umugenzuzi w’imari wigenga wemewe Umugenzuzi w’imari wigenga wemewe ntakurwaho umugayo hashingiwe ku nyandiko ashyira muri raporo ze, igihe izo raporo zigaragaramo amakosa akomeye no kugaragaza ibintu uko bitari. 5º Obtain an adequate understanding of the organization of key control functions within the regulated institution and its subsidiaries. At a minimum, key control functions include the internal audit, risk management, compliance and other monitoring functions; and 6º Assess whether there are any material gaps in the regulated institution’s control systems and understand the level of risk tolerance defined by those charged with governance; 8º Assess whether the regulated institution comply with the anti-money laundering and financing of terrorism requirements. Article 20: The accredited external auditor’s opinion The accredited external auditor shall not be exonerated by disclaimer clauses in the statements they endorse if those statements contain material errors and gross misrepresentation. 5º obtenir une compréhension adéquate de l'organisation des principales fonctions de contrôle au sein de l'institution réglementée et de ses filiales. Au minimum, les fonctions de contrôle clés comprennent l'audit interne, la gestion des risques, la conformité et d'autres fonctions de surveillance ; et 6º évaluer s'il existe des lacunes importantes dans les systèmes de contrôle de l'institution réglementée et comprendre le niveau de tolérance au risque défini par les personnes chargées de la gouvernance ; 7º Évaluer si l'institution réglementée se conforme aux exigences de lutte contre le blanchiment d'argent et le financement du terrorisme. Article 20: L’opinion de l’auditeur externe accrédité Un auditeur externe accrédité n’est pas exonéré par des clauses de non-responsabilité inscrites dans les déclarations qu'il approuve si ces déclarations contiennent des erreurs matérielles et des déformations grossières.

Official Gazette n° Special of 17/06/2022 38 Umugenzuzi wigenga agomba gukoresha uburyo bwa kigenzuzi, tekiniki n’imigenzo yashyiriweho kugira ngo yizere bihagije ko amakosa akomeye ashingiye ku buriganya no kwibeshya bitahurwa. Iyo umugenzuzi abonye ko bene ayo makossa akomeye akoranwe uburiganye ahari, asabwa kubimenyesha Urwego rw’ ubugenzuzi. Iyo umugenzuzi w’imari wigenga wemewe atahuye amakosa akomeye agaragara muri raporo z’imari, harimo no gukoresha uburyo bw’ibaruramari budakwiye cyangwa igenagaciro ry’umutungo cyangwa kudatanga amakuru ya ngombwa, agomba gusaba ubuyobozi gusubira muri izo raporo z’imari bagakosora amakosa. Iyo ubuyobozi bwanze gukosora amakosa Bwagaragarijwe, umugenzuzi w’imari wigenga abimenyesha Urwego rw’ ubugenzuzi kandi agomba gutanga igitekerezo cyujuje ibisabwa kuri raporo y’imari. Umugenzuzi w’imari wigenga agomba kugaragaza igitekerezo cye cy’uko raporo y’imari yakwihanganirwa cyangwa ari adakwiriye igihe ubuyobozi butamuhaye inyandiko zose cyangwa ibisobanuro yasabye. An external auditor shall apply audit approaches, techniques and procedures designed to obtain reasonable assurance that material misstatements arising from fraud and errors are detected. When the auditor determines that such material misstatements exist, they are required to disclose this information to the Supervisory authority. When the accredited external auditor discovers material misstatements related to the financial statements, including the use of an inappropriate accounting policy or asset valuation or a failure to disclose essential information, the auditor must request management to adjust the financial statements in order to correct the misstatement. If the management refuses to make the correction, the external auditor must inform the Supervisory authority and must issue a qualified or an adverse opinion on the financial statements. The external auditor shall issue a qualified opinion or a disclaimer of opinion if the management failed to provide the auditor with all information or explanations that the auditor requires. Un auditeur externe doit appliquer les approches, les techniques et les procédures d'audit conçues pour s’assurer que les inexactitudes substantielles résultant de la fraude et des erreurs sont détectées. Lorsque l’auditeur découvre que de telles erreurs substantielles existent, il est tenu de communiquer ces informations à l’autorité de contrôle. Lorsque l'auditeur externe accrédité, découvre des erreurs substantielles liées aux états financiers, y compris l'utilisation d'une politique comptable ou d'une évaluation d'actifs inappropriée ou la non-divulgation d'informations essentielles, il doit demander à la direction d'ajuster les états financiers pour corriger l'anomalie. Si la direction refuse de faire la correction, l’auditeur doit en informer l’autorité de contrôle et émettre une opinion avec réserve ou une opinion défavorable sur les états financiers. L’auditeur émet une opinion avec réserve ou une déclaration d’abstention si la direction ne lui a pas fourni toutes les informations ou explications qu’il requiert.

Official Gazette n° Special of 17/06/2022 39 UMUTWE WA IV: IBIKURIKIZWA MU GUTANGA AMAKURU NA RAPORO Ingingo ya 21: Gutanga amakuru ku bikorwa by’abantu bafitanye isano n’ikigo cy’imari Umugenzuzi wigenga wemewe agenzura ko amakuru arambuye ku bikorwa ikigo gikorana n’abantu bafitanye isano na cyo atangazwa muri raporo z’imari zagenzuwe. Imyenda itishyurwa neza igomba kugaragazwa muri iyi raporo. Umugenzuzi wigenga agomba kugaragaza no gutangaza muri raporo imyenda itishyurwa cyangwa imaze igihe kirekire yahawe abantu bafitanye isano n’ikigo cy’imari. Umugenzuzi wigenga wemewe agomba kugenzura ko ibikorwa byakozwe hagati y’ibigo bigenzurwa n’abantu bafitanye isano na byo bifite icyo byongerera ikigo cy’imari kandi ibiciro byabyo bishingiye ku biciro biri ku isoko. CHAPTER IV: DISCLOSURE AND REPORTING REQUIREMENTS Article 21: Disclosure of related parties’ transactions The accredited external auditor shall ensure that detailed information on related parties’ transactions are disclosed in audited annual financial statements. The non-performing component shall be clearly stated in the report. The accredited external auditor shall specifically identify and report any non￾performing loan or any long outstanding receivables from the related parties. The accredited external auditor must verify whether transactions between regulated institutions and their related parties have value addition for the regulated institution and are at arm’s length. CHAPITRE IV: EXIGENCES RELATIVES AUX DÉCLARATIONS ET AUX RAPPORTS Article 21 : Déclaration des transactions des personnes apparentées à une institution réglementée L’auditeur externe accrédité, doit veiller à ce que des informations détaillées sur les transactions de l’institution avec les personnes apparentées soient déclarées dans les états financiers annuels audités. Les prêts non performants doivent être clairement indiqués dans le rapport. L’auditeur externe accrédité doit spécifiquement identifier et signaler tout prêt non performant ou toute créance à long terme accordées aux personnes apparentées. L’auditeur externe accrédité doit vérifier que les transactions entre une institution réglementée et les personnes apparentées apportent une valeur ajoutée à l’institution et ont été accomplies en respectant les conditions normales du marché.

Official Gazette n° Special of 17/06/2022 40 Ingingo ya 22: Igenagaciro mu mibare y’ubwishingizi ku bishingizi cyangwa ibigo by’ubwiteganyirize bwa pansiyo Umugenzuzi w’imari wigenga wemewe agomba, ku mpamvu z’ubugenzuzi n’igenzura, gusuzuma no kugenzura igenagaciro ryakozwe n’umuhanga mu mibare washyizweho n’umwishingizi cyangwa ikigo cy’ubwiteganyirize bwa pansiyo. Isuzuma ry’umuhanga mu mibare rigomba kuba rifitanye isano nuburyozwe buturuka kuri politiki / amafaranga mu mpera zumwaka w’ingengo y’imari n’impinduka iyo ari yo yose mu mwaka w’ingengo y’imari mu myenda ituruka kuri politiki y’umwishingizi cyangwa gahunda ya pansiyo bijyanye n'ikigega runaka. Umugenzuzi wigenga w’umwishingizi cyangwa ikigo cy’ubwiteganyirize bwa pansiyo agomba kuba bafite ubuhanga mu mibare y’ubwishingizi butuma agenzura igenagaciro ryakozwe n’abahanga mu mibare y’ubwishingizi. Ingingo ya 23: Ikurikirana ry’ireme ry’ibikorwa Ku buryo buhoraho, Urwego rw’ ubugenzuzi rukurikirana ireme ry’ubugenzuzi bw’ibigo Article 22: Actuarial evaluation for insurers or pension schemes The accredited external auditor shall review and evaluate, for the purposes of audit and supervision, an evaluation conducted by the actuary appointed by the insurer or pension scheme. The actuarial evaluation shall be related to the liabilities resulting from the policies/funds as at the end of a financial year and to any change during the financial year in the liabilities resulting from policies of the insurer or pension scheme in relation to a particular fund. The external auditor for an insurer or pension scheme must have actuarial expertise to evaluate actuarial valuations. Article 23: Quality assurance enforcement The Supervisory authority shall continuously monitor the quality of audit of regulated Article 22: Évaluation actuarielle pour les assureurs ou les régimes des pensions L’auditeur externe accrédité doit, aux fins de l’audit et de la supervision, réviser et évaluer l’évaluation effectuée par l’actuaire désigné par l’assureur ou le régime de retraite. L’évaluation actuarielle est relative à leurs engagements résultant des polices d’assurance à la fin d'un exercice financier, et à tout changement survenu au cours de l’exercice dans les engagements résultant des polices d’un assureur ou d’un régime de retraite par rapport à un fonds particulier. L’auditeur externe d’un assureur ou d’un régime de retraite doit posséder une expertise actuarielle pour faire l’évaluation actuarielle. Article 23 : Surveillance pour assurance de la qualité L’autorité de contrôle surveille en permanence la qualité de l’audit des institutions financières.

Official Gazette n° Special of 17/06/2022 41 by’imari. Urwego rw’ ubugenzuzi rushobora gukora iperereza ku byo umugenzuzi w’imari wigenga yananiwe gukora cyangwa intege nke yagaragaje mu gukorera ikigo kigenzurwa ubugenzuzi. Urwego rw’ ubugenzuzi iyo rutanyuzwe na raporo y’umugenzuzi wigenga, ishobora kumwambura ububasha igashyiraho undi kugira ngo akore ubundi bugenzuzi cyangwa iperereza rikenewe maze atange raporo ku kibazo yarikozeho. Ikigo cy’imari kihembera uwo mugenzuzi w’imari wigenga imirimo y’inyongera. UMUTWE WA IV: INGINGO ZINYURANYE N’IZISOZA Ingingo ya 24: Ibihano bijyanye n’imyitwarire bihabwa umugenzuzi wigenga wemewe Uretse igihano cyo guhagarika by’agateganyo cyangwa burundu ukwemererwa k’umugenzuzi w’imari wigenga, Urwego rw’ ubugenzuzi rushobora gufatira ibihano bikurikira umugenzuzi w’imari wigenga wemewe utubahiriza aya mabwiriza rusange, amategeko ya ngombwa n’amabwiriza y’umwuga: institutions. The Supervisory authority may investigate any failures and/or weaknesses of the external auditor in the conduct of audit of a regulated institution. The Supervisory authority may also where it is not satisfied with the external auditor’s report, disqualify the latter and appoint another auditor to carry out additional audit or investigation as may be deemed necessary and submit a report on the matter concerned. The regulated institution shall remunerate that external auditor for its additional duties. CHAPTER IV: MISCELLANEOUS AND FINAL PROVISIONS Article 24: Disciplinary sanctions to an accredited external auditor Besides the sanction of suspension or revocation of an external auditor’s accreditation, the Supervisory authority may apply the following sanctions to an accredited external auditor who fails to comply with the requirements of this regulation, relevant laws as well as professional standards: L’autorité de contrôle peut enquêter sur les défaillances ou les faiblesses de l’auditeur externe agréé dans la conduite de l’audit d’une institution réglementée. L’autorité de contrôle, si elle n’est pas satisfaite du rapport de l’auditeur externe, peut disqualifier l’auditeur et nommer un autre auditeur pour effectuer un audit ou une investigation supplémentaire, le cas échéant, et présenter un rapport sur la question concernée. L’institution réglementée rémunère l’auditeur externe pour ses fonctions supplémentaires. CHAPITRE IV: DISPOSITIONS DIVERSES ET FINALES Article 24: Sanctions disciplinaires imposées à l’auditeur externe accrédité Outre la sanction de suspension ou de révocation de l’accréditation d’un auditeur externe, l’autorité de contrôle peut infliger les sanctions suivantes à un auditeur externe accrédité qui viole les exigences du présent règlement, les lois applicables ainsi que les normes professionnelles :

Official Gazette n° Special of 17/06/2022 42 1º Kwihanangiriza ikigo cy’ubugenzuzi; 2º Kwihanangiriza uwo bakorana cyangwa umuyobozi. Urwego rw’ ubugenzuzi rumenyesha iyo myitwarire mibi Urugaga Nyarwanda rw’Ababaruramari b’Umwuga (ICPAR). Ingingo ya 25: Inshingano ikigo kigenzurwa gifitiye umugenzuzi wigenga wemewe Ikigo kigenzurwa kigomba guha umugenzuzi wigenga amakuru, ibisobanuro n’ibyo akeneye byose kugira ngo abashe gukora neza imirimo ye. Ingingo ya 26: Ibitabangikanywa n’imirimo y’umugenzuzi wigenga Umugenzuzi wigenga afatwa nk’udafite ubwigenge mu kazi ke, bityo akaba atahabwa akazi cyangwa ngo akomeze kuba umugenzuzi wigenga iyo: 1º mubagize itsinda rigira uruhare mu igenzura, ari umunyamigabane uziguye cyangwa utaziguye w'ikigo kigenzurwa cyangwa ikindi kigo cyacyo, amashami cyangwa ibigo 1º Warning to the audit firm; 2º Warning to the engagement partner, quality assurance partner or manager The Supervisory authority shall communicate to the Institute of Certified Public Accountants of Rwanda (ICPAR) of such misconduct. Article 25: Obligations of the regulated institution to the accredited external auditor A regulated institution must provide data, information and the necessary facilities to the external auditor to effectively perform his/her duties. Article 26: Incompatibilities with the functions of the accredited external auditor The accredited external auditor shall be deemed non- independent and, therefore, shall not be hired or kept as an external auditor of an institution if: 1º anyone in the team involved in the audit is a direct or indirect shareholder of the institution or any of its subsidiaries, affiliates, or controlled; 1º Avertissement à la société d'audit ; 2º Avertissement au partenaire d’engagement ou au directeur L’autorité de contrôle communique de tels mauvais comportements à l’Ordre Rwandais des Experts Comptables (ICPAR). Article 25 : Obligations d’une institution réglementée envers l’auditeur externe accrédité Une institution réglementée doit fournir des données, des informations et les conditions nécessaires à un auditeur externe pour s'acquitter efficacement de ses fonctions. Article 26: Incompatibilités avec les fonctions d’auditeur externe accrédité L’auditeur externe accrédité est réputé non indépendant et, par conséquent, ne peut être engagé ou maintenu en tant qu’auditeur externe d’une institution si: 1º toute personne dans l'équipe impliquée dans l'audit, est un actionnaire direct ou indirect de l'institution ou de l'une de ses filiales, sociétés affiliées ou institutions contrôlées ;

Official Gazette n° Special of 17/06/2022 43 bigenzurwa nacyo; 2º afite imigabane mu kigo cy’genzurwa bashaka gukorera ubugenzuzi; 3º ari umukozi w’ubwiteganyirize bwa pansiyo cyangwa afitanye isano n’umukoresha uwo ariwe wese utangamo imisanzu; 4º afite ibikorwa by’ ubucuruzi mu ibigo cyangwa ikigo kigishamikiyeho cyangwa ikigo kigenzura mu buryo busanzwe bw’akazi kandi hakurikijwe amasezerano asanzwe y’ubucuruzi agenga abandi bakiriya. 5º Amafaranga y’ubugenzuzi n’ayishyuwe ku bugenzuzi mu mwaka ukorerwa ubugenzuzi, abazwe yonyine cyangwa abariwe hamwe n’ay’amasosiyete bifitanye isano n’ubwishyu bwayo, angana cyangwa ari hejuru ya 25% (makumyabiri na gatanu ku ijana) by’ibyo umugenzuzi wigenga yinjije byose muri uwo mwaka. 2º has shares or contributions in a regulated institution in which they intend to audit; 3º he or she is an officer of the pension scheme or any related sponsoring employer; 4º has a business operation with the institution or any of its subsidiaries, affiliates or controlled institution not provided in the normal course of business and under ordinary commercial terms offered to all other customers; 5º the audit fee and reimbursed audit expenses in the year as of which the audit work is performed, considered in isolation or together with its related companies’ fees and reimbursements, represents an amount equal or superior to twenty-five percent (25%) of the total income of the external auditor in that year. 2º détient des actions ou contributions dans une institution réglementée dans laquelle ils ont l'intention de procéder à un audit ; 3º il travaille pour ce régime de pension ou apparenté à l’employeur contributeur ; 4º a des opérations d'affaire avec l'institution ou l'une de ses filiales, sociétés affiliées ou institution contrôlée qui ne sont pas délivrée dans le cours normal des activités et dans les conditions commerciales ordinaires offertes à tous les autres clients.; 5º les frais d’audit et les dépenses d’audit remboursés, au cours de l’exercice à partir duquel le travail d’audit est effectué, considérés isolément ou conjointement avec les frais et les remboursements de sociétés apparentées, représentent un montant égal ou supérieur à 25% (vingt-cinq pour cent) du revenu total de l’auditeur externe au cours de cette année.

Official Gazette n° Special of 17/06/2022 44 Umugenzuzi w’imari wigenga wemewe agomba kugira gahunda ituma agira ubwigenge igihe atanga serivisi z’ubugenzuzi, igaragaza ibishobora kubangamira ubwigenge bwe n’igenzura y’imbere akurikiza mu rwego rwo kubikurikirana, kubigaragaza no kubyirinda. Iyo umugenzuzi w’imari wigenga wemewe aha ikigo serivisi zitari iz’ubugenzuzi, itsinda ry’ubugenzuzi ry’ikigo cy’imari rikurikirana itangwa ry’izo serivisi mu rwego rwo kugenzura ko itangwa ryazo ritabangamira ukutabogama cyangwa ubwigenge bw’umugenzuzi wigenga, hitawe ku bintu ku bumenyi n’uburambe by’umugenzuzi wigenga, uburyo buriho bwo kugabanya ibibangamira kutabogama n’ubwigenge, n’ubwoko bw’amasezerano agenga amafaranga atari ay’ubugenzuzi. Raporo z’ibaruramari z’umwaka zagenzuwe zigaragaramo inyandiko igaragaza ko itsinda ry’ubugenzuzi ryanyuzwe n’uko itangwa rya serivisi zitari iz’ubugenzuzi rikurikiza ubwigenge bw’umugenzuzi. Iyo nyandiko iba ikubiyemo ibisobanuro bigaragaza impamvu serivisi zitari iz’ubugenzuzi zitabangamira ubwigenge bw’ubugenzuzi. The accredited external auditor must have a policy that guarantees independence in his/her audit services, which includes the situations which can hamper his/her independence and the internal controls he/she adopts to monitor, identify and avoid these occurrences. If the accredited external auditor also provides non-audit services to the institution, the audit committee of a regulated institution shall monitor the provision of such services to ensure that such provision does not impair the external auditor’s objectivity and independence, taking into consideration factors as the skills and experience of the external auditor, safeguards in place to mitigate any threat to objectivity and independence, and the nature of and arrangements for non-audit fees; Annual audited accounts shall include a statement disclosing whether the audit committee is satisfied that the provision of non- audit services is compatible with the auditor’s independence. This disclosure shall include an explanation as to why the non￾audit services do not compromise the audit independence. L’auditeur externe accrédité doit avoir une politique qui garantit son indépendance dans ses services d’audit, qui comprend les situations qui peuvent entraver son indépendance et les contrôles internes qu’il adopte pour surveiller, identifier et éviter ces événements. Si l’audit externe accrédité fournit également des services autres que ceux d’audit à l’institution, le comité d’audit de l’institution réglementée surveille la prestation de ces services afin de s’assurer que cette prestation ne porte pas atteinte à l’objectivité et à l’indépendance de l’auditeur externe en tenant compte des facteurs qui comprennent des compétences et l’expérience de l’auditeur externe, des garanties en place pour atténuer toute menace à l’objectivité et à l’indépendance, ainsi que la nature et les modalités des frais qui ne sont pas liés à l’audit. Les comptes annuels audités incluent une déclaration indiquant si le comité d’audit est convaincu que la prestation de services autres que ceux d’audit est compatible avec l’indépendance de l’auditeur. Cette déclaration doit inclure une explication sur la raison pour laquelle les services non liés à l’audit ne compromettent pas l’indépendance de l’audit.

Official Gazette n° Special of 17/06/2022 45 Ingingo ya 27: Serivisi zitari iz’ubugenzuzi Serivisi zitari iz’ubugenzuzi zishobora kugaragaramo izi zikurikira: 1º Gutegura inyandiko z’ibaruramari na raporo z’imari; 2º Serivisi zerekeye imisoro; 3º Serivisi z’igenagaciro; 4º Serivisi z’ubugenzuzi bw’imbere;na serivisi zerekeye uburyo bw’ikoranabuhanga; 5º Imirimo y’abakozi b’igihe gito; 6º Gusimbura cyangwa gufasha umukiriya w’ubwishingizi gukemura amakimbirane cyangwa imanza; 7º Serivisi z’amategeko; 8º Gushakira umukiriya w’ubwishingizi abakozi bakuru; 9º Ubucungamari bw’ikigo n’ibikorwa bimeze nkabyo. 10º izindi serivisi zose zishobora kugenwa Article 27: Non -Audit Services Non- audit services may include: 1º preparing accounting records and financial statements; 2º tax compliance services; 3º valuation services; 4º internal audit services; and IT systems services; 5º temporary staff assignments; 6º acting for or assisting an insurance client in the resolution of a dispute or litigation; 7º legal services; 8º recruiting senior managers for an insurance client and; 9º corporate finance and similar activities. Or; 10º any other service as may be Article 27 : Services non liés à l’audit Les services non liés à l’audit peuvent comprendre ceux qui suivent: 1º la préparation des documents comptables et des états financiers; 2º les services de conformité fiscale; 3º les services d’évaluation; 4º les services d’audit interne; et services de systèmes informatiques; 5º les attributions du personnel temporaire; 6º agir pour ou assister un client d’assurance dans la résolution d’un différend ou d’un litige; 7º les services juridiques; 8º le recrutement de cadres dirigeant pour un client d’assurance; et 9º les finances d’entreprise et activités similaires. 10º tout autre service déterminé par

Official Gazette n° Special of 17/06/2022 46 n’Urwego rw’ ubugenzuzi. Ingingo ya 28: Inama Urwego rw’ ubugenzuzi rugirana n’umugenzuzi wigenga wemewe Urwego rw’ ubugenzuzi rushobora kugirana inama n’umugenzuzi w’imari wigenga mu rwego rwo kuganira ku birebana n’akazi no guhana amakuru yerekeye ikigo cy’imari akorera ubugenzuzi. Iyo ari ngombwa, Urwego rw’ ubugenzuzi rushobora gutumira muri iyo nama ikigo cy’imari gikorerwa ubugenzuzi n’umugenzuzi w’igenga ugikorera ubugenzuzi bagakora inama ari impande eshatu. Urwego rw’ ubugenzuzi rugirana inama n’ibigo by’ubugenzuzi byigenga ngo baganire ku bibazo by’inyungu bahuriyeho birebana n’ibikorwa by’ibigo bigenzurwa igihe cyose ari ngombwa. Ingingo ya 29: Agaciro k’impushya zatanzwe hashingiwe ku mabwiriza akuweho Impushya zatanzwe hashingiwe ku mabwiriza rusange akuweho zizakomeza kugira agaciro kugeza igihe zizarangirira. determined by the Supervisory authority. Article 28: Supervisory authority meeting with the accredited external auditor The Supervisory authority may organize a meeting with an external auditor to discuss the scope of the work and to exchange information on the audited regulated institution. Where necessary the Supervisory authority may invite both the audited regulated institution and the external auditor to hold tripartite meetings. The Supervisory authority shall meet with external audit firms to discuss issues of common interest relating to regulated institutions operations whenever deemed necessary. Article 29: Status of accreditations issued under the repealed regulation The accreditations that were issued under the repealed regulation shall continue to be valid until their respective expiration dates. l’autorité de contrôle . Article 28: Réunion de l’autorité de contrôle avec un auditeur externe accrédité L’autorité de contrôle peut tenir une réunion avec un auditeur externe pour discuter de l’étendue des travaux et échanger des informations sur l’institution réglementée auditée. Le cas échéant, l’autorité de contrôle peut inviter l'institution réglementée auditée et l’auditeur externe à tenir des réunions tripartites. L’autorité de contrôle rencontre les sociétés d'audit externe pour discuter de questions d'intérêt commun relatives aux opérations des institutions réglementées chaque fois que cela est jugé nécessaire. Article 29: Statut des accréditations émis en vertu du règlement abrogé Les accréditations qui ont été émis en vertu du règlement abrogé restent valables jusqu'à leur date d'expiration.

Official Gazette n° Special of 17/06/2022 47 Ingingo ya 30: Itegurwa n’isuzumwa ry’aya mabwiriza rusange Aya mabwiriza rusange yateguwe, asuzumwa kandi yemezwa mu rurimi rw’icyongereza. Ingingo ya 31: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Amabwiriza n° 14/2017 yo kuwa 23/11/2017 yerekeye ibikurikizwa mu kwemerera abagenzuzi bigenga b’ibigo by’imari n’ibindi basabwa kubahirizwa n’izindi ngingo zose zibanziriza aya mabwiriza rusange kandi zinyuranyije na yo zivanyweho. Ingingo ya 32: Igihe aya mabwiriza rusange atangira gukurikizwa Aya mabwiriza rusange atangira gukurikizwa ku munsi atangarijweho mu Igazeti ya Leta ya Repubulika y’u Rwanda. Article 30: Drafting and consideration of this regulation This regulation was prepared, considered and approved in English. Article 31: Repealing provision The regulation no 14/2017 of 23/11/2017 on accreditation requirements and other conditions for external auditors for financial institutions and any prior provisions contrary to this regulation are hereby repealed. Article 32: Commencement This regulation shall come into force on the date of its publication in the Official Gazette of the Republic of Rwanda. Article 30: Initiation et examen du présent règlement Ce règlement a été initié, examiné et approuvé en anglais. Article 31: Disposition abrogatoire Le règlement n° 14/2017 du 23/11/2017 sur les exigences d’agrément et autres conditions pour les auditeurs externes des institutions financières et toute disposition antérieure contraire au présent règlement sont abrogés. Article 32: Entrée en vigueur Le présent règlement entre en vigueur le jour de sa publication au Journal officiel de la République du Rwanda.

Official Gazette n° Special of 17/06/2022 48 Kigali, 02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho Ikirango cya Repubulika: Seen and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux

Official Gazette n° Special of 17/06/2022 49 UMUGEREKE : UGUSABA KWEMERWA NK’UMUGENZUZI W’IMARI WIGENGA Guverineri, Banki Nkuru y’u Rwanda P.O Box 531, KIGALI Njyewe/Twebwe, ugomba gusinya iyi nyandiko, mu bubasha mpambwa n’amategeko bwo guhagararira………………………, ikigo cy’ubucuruzi cyanditswe hakurikijwe Itegeko…………………………………………………..nsabye kwemererwa gukora nk’umugenzuzi w’imari wigenga mu bigo bigenzurwa (Ikigo cy’imari cy’ubugenzuzi kinini cyangwa Ikigo cy’ubugenzuzi bw’imari gito; Mbashyikirije/ Tubashyikirije ibyangombwa bivugwa mu ngingo ya 4 amabwiriza rusange No44/2022 yo ku wa 02/06/2022 agena ibikurikizwa n’ibindi bisabwa mu kwemerera abagenzuzi bigenga b’ibigo bigenzurwa Aho usaba abarizwa………………………………………….. Telefoni………………………………………………………. Imeri………………………………………………………….. Aho uhagarariye usaba abarizwa…………………………….. Telefoni………………………………………………………. Imeri …………………………………………………………. Icyemezo no kwiyemeza Njyewe, ………………ugomba gusinya, …………………………….nemeje ko amakuru yose akubiye muri iyi nyandiko isaba ndetse n’ayiherekeza kandi aherekeza yuzuye kandi asobanutse nkurikije ibyo nzi kandi nemera. Ndemeza kandi ko ntigeze nangirwa, hakurikijwe ibiteganywa n’aya mabwiriza rusange, gushyirwaho nk’ umugenzuzi w’imari wigenga w’ikigo kigenzurwa. Niyemeje guhita menyesha Banki Nkuru, impinduka zose zifatika zaba ku mwirondoro utanzwe muri ubu busabe. Bikozwe ku wa ……………… . umunsi wa ………………… 20 ……………. Umukono w’umuyobozi / Uwatangije / Uhagarariye Imbere yanjye, Noteri …………………………

Official Gazette n° Special of 17/06/2022 50 APPENDIX 1: APPLICATION FOR ACCREDITATION OF EXTERNAL AUDITOR The Governor, Central Bank of Rwanda P.O Box 531, KIGALI I/we, the undersigned, acting as principal/in the capacity of duly authorized representative on behalf of…………, a Company/Firm registered under the law………………………("the principal"), hereby apply for accreditation to act as external auditor for regulated institutions as; (a large audit firm or small audit firm); I/we submit the documentation specified in Article 4 of regulation No44/2022 of 02/06/2022 determining requirements and other conditions for accreditation of external auditors for regulated institutions Applicant’s address……………………………… Telephone……………………………………….. Email……………………………………………. Principal’s address……………………………… Telephone………………………………………. Email …………………………………………… Certification and undertaking I, ………………the undersigned, …………………………….hereby certify that all information contained in and accompanying this application is complete and accurate to the best of my knowledge and belief. I certify further that I/we are not disqualified, as per this Regulation, to be appointed as external auditors for the specified Regulated Institution. I undertake to forthwith notify the Central Bank, of any material change in the particulars of this application. Done at……………….this …......day of …………………20……………. Signature of Deponent Principal/ Promoter/Agent Before me, the Notary…………………………

Official Gazette n° Special of 17/06/2022 51 ANNEXE : DEMANDE D'ACCRÉDITATION DU L’AUDITEUR EXTERNE Le Gouverneur, Banque Nationale du Rwanda B.P. 531, KIGALI Moi / nous, soussigné (e), agissant en qualité de mandant / en qualité de représentant dûment autorisé au nom de ………………..……, société commerciale/ cabinet enregistré conformément à la loi ……………………… («mandataire»), par la présente demande/demandons l'accréditation pour agir en tant qu'auditeur externe pour les institutions réglementées comme; (un grand cabinet d'audit ou un petit cabinet d'audit); Je/nous soumettons la documentation spécifiée à l'article 4 du Règlement No No44/2022 du 02/06/2022 déterminant les exigences et autres conditions relatives à l'accréditation des auditeurs externes des institutions réglementées Adresse du demandeur :……………………….... Téléphone………………………………………... E-mail……………………………………………. Adresse du mandataire ………………………...... Téléphone………………………………………. E-mail …………………………………………… Certification et Engagement Moi, ………….…… soussigné, certifie par la présente, que toutes les informations contenues et accompagnant cette demande sont complètes et exactes au meilleur de ma connaissance. Je certifie en outre que je ne suis / nous ne sommes pas disqualifiés(s), conformément au présent règlement, d’être nommés auditeurs externes pour l'institution réglementée spécifiée. Je m'engage à informer immédiatement la Banque Centrale de tout changement important dans les détails de cette demande. Fait à ……………….ce… ...... jour du ………………… 20…. Signature du mandataire/Promoteur / Agent Devant moi, le notaire …………………………

Official Gazette n° Special of 17/06/2022 52 BIBONYWE KUGIRANGO BISHYIRWE KU MUGEREKA W’AMABWIRIZA RUSANGE No44/2022 YO KU WA 02/06/2022 IBIKURIKIZWA N’IBINDI BISABWA MU KWEMERERA ABAGENZUZI BIGENGA B’IBIGO BIGENZURWA SEEN TO BE ANNEXED ON REGULATION No44/2022 OF 02/06/2022 DETERMINING REQUIREMENTS AND OTHER CONDITIONS FOR ACCREDITATION OF EXTERNAL AUDITOR FOR REGULATED INSTITUTIONS VU POUR ETRE ANNEXE AU RÈGLEMENT No44/2022 DU 02/06/2022 DÉTERMINANT LES EXIGENCES ET AUTRES CONDITIONS RELATIVES À L'ACCRÉDITATION DES AUDITEURS EXTERNES DES INSTITUTIONS RÉGLEMENTÉES Kigali, 02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho Ikirango cya Repubulika: Seen and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux

Official Gazette n° Special of 17/06/2022 53 AMABWIRIZA RUSANGE N° 45/2022 YO KU WA 02/06/2022 YEREKEYE IGENZURA RYO KU RWEGO RW’AMATSINDA MU BIGO BY’UBWISHINGIZI ISHAKIRO UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere: Icyo aya mabwiriza rusange agamije Ingingo ya 2: Abarebwa n’aya mabwiriza rusange Ingingo ya 3: Ibisobanuro by’amagambo UMUTWE WA II: IBISABWA BYEREKEYE IGENZURA Ingingo ya 4: Ibipimo ngenderwaho Ingingo ya 5: Ingaruka zo kutubahiriza ibipimo ngenderwaho Ingingo ya 6: Amakuru ahabwa Urwego rw’Ubugenzuzi REGULATION N° 45/2022 OF 02/06/2022 ON GROUP-WIDE SUPERVISION FOR INSURERS TABLE OF CONTENTS CHAPTER ONE: GENERAL PROVISIONS Article One: Purpose Article 2: Scope Article 3: Definitions CHAPTER II: REGULATORY REQUIREMENTS Article 4: Prudential limits Article 5: Consequences for non￾compliance with prudential limits Article 6: Information to be submitted to the Supervisory Authority RÈGLEMENT N° 45/2022 DU 02/06/2022 RELATIF AU CONTRÔLE A L'ÉCHELLE DU GROUPE POUR LES ASSUREURS TABLE DES MATIÈRES CHAPITRE PREMIER: DISPOSITIONS GÉNÉRALES Article premier: Objet Article 2: Champ d’application Article 3: Définitions CHAPITRE II: EXIGENCES RÉGLEMENTAIRES Article 4: Limites prudentielles Article 5: Conséquences du non-respect des limites prudentielles Article 6: Informations à soumettre à l’Autorité de contrôle

Official Gazette n° Special of 17/06/2022 54 Ingingo ya 7: Gutanga raporo z’imari z’umwaka Ingingo ya 8: Gutanga raporo ihujwe y’ibaruramari igenzuwe y’isosiyete cabyawe n’umwishingizi Ingingo ya 9: Kumenyesha impinduka Ingingo ya 10: Gutanga raporo z’imari zitagenzuwe Ingingo ya 11: Ububasha bw’Urwego rw’Ubugenzuzi ku masosiyete umwishingizi yabyaye, ikigo kimushamikiyeho, cyangwa umuntu ufitanye isano na we Ingingo ya 12: Igena ry'ibigo bishyirwa mu igenzura ryo ku rwego rw’itsinda Ingingo ya 13: Amahame agenga raporo zitangwa Ingingo ya 14: Kugaragaza abantu bafite ububasha kuri buri kigo cy’ubwishingizi Ingingo ya 15: Ibibujijwe ku migabane ihuriweho Article 7: Submission of the annual financial statements Article 8: Submission of the consolidated audited financial statements of the insurer’s subsidiary Article 9: Notification of change Article 10: Submission of unaudited financial statements Article 11: The Power of the Supervisory Authority vis à vis insurer’s subsidiary or affiliate or related person Article 12: Determining entities to be included in the group-wide supervision/ Article 13: Reporting standards Article 14: Indicating a person that has control over entities in the insurance group Article 15: Restriction on cyclical shareholding Article 7 : Transmission des états financiers annuels Article 8: Transmission des états financiers consolidés audités de la filiale de l’assureur Article 9: La communication du changement Article 10: Présentation des états financiers non audités Article 11: Le pouvoir de l’Autorité de contrôle vis-à-vis filiales, des affiliées ou une personne liée à l’assureur Article 12: Détermination des entités à inclure dans le contrôle à l'échelle du groupe Article 13: Normes en matière de rapports Article 14: Indiquer une personne qui contrôle les entités dans le groupe d'assurance Article 15: Restriction sur l’actionnariat cyclique

Official Gazette n° Special of 17/06/2022 55 Ingingo ya 16: Ubushobozi n’ubunyangamugayo bisabwa Ingingo ya 17: Igenagaciro ry’imitungo n’imyenda Ingingo ya 18: Imikoranire n’izindi nzego z’ubugenzuzi Ingingo ya 19: Uburyo bw’igenzura ryo ku rwego rw’itsinda Ingingo ya 20: Ishingiro ry’igenzura ryo ku rwego rw’itsinda rishingiye ku makuru asobanura Ingingo ya 21: Ishingiro ry’igenzura ryo ku rwego rw’itsinda rishingiye ku makuru mu mibare Ingingo ya 22: Igenzura ryihariye Ingingo ya 23: Igenzura rihuriweho UMUTWE WA IV: INGINGO ZINYURANYE N’IZISOZA Ingingo ya 24: Ibyemezo bikosora n’ibihano Ingingo ya 25: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Article 16: Fit and proper requirement Article 17: Valuation of assets and liabilities Article 18: Collaboration with other supervisory authorities Article 19: Approaches to conduct group￾wide supervision Article 20: Basis for qualitative group-wide supervision Article 21: Basis for quantitative group￾wide supervision Article 22: Special inspection Article 23: Joint inspection CHAPTER IV: MISCELLANEOUS AND FINAL PROVISIONS Article 24: Corrective measures and sanctions Article 25: Repealing provisions Article 16: Exigence d’intégrité et de compétence Article 17: Évaluation de l’actif et du passif Article 18: Collaboration avec d’autres autorités de supervision Article 19: Approches pour effectuer le contrôle à l’échelle du groupe Article 20: Base d’un contrôle qualitatif à l'échelle du groupe Article 21: Base du contrôle quantitatif à l'échelle du groupe Article 22: Inspection spéciale Article 23: Inspection conjointe CHAPITRE IV: DISPOSITIONS DIVERSES ET FINALES Article 24: Mesures correctives et sanctions Article 25: Dispositions abrogatoires

Official Gazette n° Special of 17/06/2022 56 Ingingo ya 26: Itegurwa, isuzumwa n’iyemezwa by’aya Mabwiriza rusange Ingingo ya 27: Igihe aya mabwiriza rusange atangirira gukurikizwa Article 26: Drafting, consideration and approval of this Regulation Article 27: Commencement Article 26: Initiation, examen et approbation du présent règlement Article 27: Entrée en vigueur

Official Gazette n° Special of 17/06/2022 57 AMABWIRIZA RUSANGE N° 45/2022 YO KU WA 02/06/2022 YEREKEYE IGENZURA RYO KU RWEGO RW’AMATSINDA MU BIGO BY’UBWISHINGIZI Ishingiye ku Itegeko N° 48/2017 ryo ku wa 23/09/2017 rigenga Banki Nkuru y’u Rwanda nk’uko ryavuguruwe kugeza ubu, cyane cyane mu ngingo zaryo, iya 6, iya 6 bis, iya 8, iya 9, iya 10 n’iya15; Ishingiye ku Itegeko N° 030/2021 ryo ku wa 30/06/2021 rigenga imitunganyirize y’umurimo w’ubwishingizi, cyane cyane mu ngingo zaryo, iya 36 n’iya 65; Ishingiye ku Itegeko N° 007/2021 ryo ku wa 05/02/2021 rigenga amasosiyete y’ubucuruzi, cyane cyane mu ngingo yaryo ya 126; Isubiye ku Mabwiriza rusange N° 38/2021 yo ku wa 21/1/2021 yerekeye igenzura ryo ku rwego rw’amatsinda mu bigo by’ubwishingizi; Banki Nkuru y’u Rwanda muri aya mabwiriza rusange yitwa « Urwego rw’Ubugenzuzi», ishyizeho aya mabwiriza rusange : REGULATION N° 45/2022 OF 02/06/2022 ON GROUP-WIDE SUPERVISION FOR INSURERS Pursuant to Law N° 48/2017 of 23/09/ 2017 governing the National Bank of Rwanda as modified to date, especially in its articles 6,6 bis, 8, 9, 10 and 15; Pursuant to Law N° 030/2021 of 30/06/2021 governing the organisation of insurance business, especially in its articles 36 and 65; Pursuant to Law N° 007/2021 of 05/02/2021 governing companies, especially in its article 126; Having reviewed Regulation N° 38/2021 of 21/1/2021 on group-wide supervision for insurers; The National Bank of Rwanda, hereinafter referred to as the « Supervisory Authority», issues the following regulation: RÈGLEMENT N° 45/2022 DU 02/06/2022 RELATIF AU CONTRÔLE A L'ÉCHELLE DU GROUPE POUR LES ASSUREURS Vu la Loi N° 48/2017 du 23/09/ 2017 régissant la Banque Nationale du Rwanda telle que modifiée à ce jour, spécialement en ses articles 6,6 bis, 8, 9, 10 et 15; Vu la Loi N° 030/2021 du 30/06/2021 régissant l’organisation d’activité d’assurance, spécialement en ses articles 36 et 65 ; Vu la Loi N° 007/2021 du 05/02/2021 régissant les sociétés commerciales, spécialement en son article 126 ; Revu le Règlement N° 38/2021 du 21/1/2021 relatif au contrôle à l'échelle du groupe pour les assureurs ; La Banque Nationale du Rwanda, ci-après dénommée « l’Autorité de contrôle », édicte le présent règlement :

Official Gazette n° Special of 17/06/2022 58 UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere: Icyo aya mabwiriza rusange agamije Aya mabwiriza rusange agamije gushyiraho uburyo bw’igenzura ryo ku rwego rw’itsinda hagamijwe imicungire ihamye y’ingorane zaturuka ku bafitanye isano n’umwishingizi, itsinda ry’ibigo by’ubwishingizi, urwunge rw’ibigo by’imari cyangwa urwunge rw’ibigo bivanze. Ingingo ya 2: Abarebwa n’aya mabwiriza rusange Aya mabwiriza rusange areba abishingizi, n’abo bafitanye isano, itsinda ry’ibigo by’ubwishingizi, urwunge rw’ibigo by’imari, urwunge rw’ibigo bivanze. Ingingo ya 3: Ibisobanuro by’amagambo Muri aya mabwiriza rusange, uretse igihe byakumvikana ukundi, amagambo n’imvugo bikurikira avuga ibi bikurikira: 1º ikigo gishamikiye ku mwishingizi: ikigo icyo aricyo cyose, cyaba ari sosiyete cyangwa ikigo kitanditse nk’isosiyete, aho nibura gatanu ku CHAPTER ONE: GENERAL PROVISIONS Article one: Purpose The purpose of this Regulation is to establish group-wide supervision framework for effective management of risks arising from insurer’s related persons, insurance groups or financial conglomerates or mixed conglomerates. Article 2: Scope This Regulation applies to insurers and their related persons, insurance groups, financial conglomerates and mixed conglomerate. Article 3: Definitions of terms In this Regulation, unless the context requires otherwise, the following words and expressions shall mean: 1º affiliate: any entity, incorporated or unincorporated, where at least five per cent (5%) or more of ordinary shares is directly or indirectly owned by an CHAPITRE PREMIER: DISPOSITIONS GÉNÉRALES Article premier: Objet Le présent Règlement a pour objet d’établir un cadre de contrôle à l’échelle du groupe pour une gestion efficace des risques découlant des personnes liées aux assureurs, du groupe d’assurance ou des conglomérats financiers ou des conglomérats mixtes. Article 2: Champ d’application Le présent règlement s’applique aux assureurs et à leurs personnes liées, aux groupes d’assurance, aux conglomérats financiers et conglomérat mixte. Article 3: Définitions des termes Dans le présent règlement, sauf indication contraire du contexte, les mots et expressions suivants signifient : 1º affilié: toute entité, constituée en société ou non, où au moins cinq pour cent (5%) des actions ordinaires appartiennent directement ou indirectement à un

Official Gazette n° Special of 17/06/2022 59 ijana (5%) by’imigabane isanzwe, bifitwe cyangwa bigenzurwa n’íkigo cy’ubwishingizi mu buryo buziguye cyangwa butaziguye; 2º igenzura ryo ku rwego rw’itsinda: igenzura kuri byose rikorewe umwishingizi ryita ku byago byose umwishingizi, cyangwa ibigo bimushamikiyeho cyangwa umwishingizi uri mu rwunge rw’ibigo by’imari cyangwa itsinda ry’ibigo by’ubwishingizi byahura na byo, byaba ibikomoka mu kigo cy’ubwishingizi ubwacyo, icyakibyaye, icyo cyabyaye, icyo bifitanye isano cyangwa icyo bikorana, byaba ibigo bigenzurwa cyangwa ibitagenzurwa; 3º urwunge rw’ibigo by’imari: ibigo bibiri cyangwa byinshi bifite ubuzima gatozi, nibura kimwe muri byo kikaba ikigo cy’ubwishingizi, ikindi kikaba ikigo kigenzurwa mu byerekeye isoko ry’imari n’imigabane cyangwa imirimo ya banki, noneho kimwe kikaba kigenzura ikigo kimwe cyangwa byinshi by’ubwishingizi cyangwa ikigo kimwe cyangwa byinshi bigenzurwa mu byerekeye isoko ry’imari n’imigabane cyangwa insurer or controlled by insurer; 2º group-wide supervision: an overall evaluation of an insurer that considers all risk exposures of an insurer and its subsidiaries, or an insurer belonging to a financial conglomerate or insurance group, whether the risks arise from an insurer itself, or in a parent institution, subsidiary, affiliate or associate, whether regulated or non-regulated entities; 3º financial conglomerate: two or more legal entities, at least one of which is an insurer and one is a regulated entity in the field of securities or banking, where one has control over one or more insurance legal entities or one or more regulated entities in the field of securities, banking or possibly other non-regulated legal entities, whose exclusive or predominant activities consist of providing significant services in at least two different assureur ou sont contrôlés par l'assureur; 2º contrôle à l'échelle du groupe: une évaluation globale d’un assureur qui prend en considération tous les risques auxquels un assureur ses filiales, ou un assureur appartenant à un conglomérat financier ou à un groupe d’assurance sont exposés que ce soit ceux qui surviennent de l’assureur lui-même ou d’une institution mère, une filiale, une société affiliée ou associée, que ce soit des entités réglementées ou non réglementées; 3º conglomérat financier: deux ou plusieurs entités juridiques, dont au moins une est un assureur et une autre est une entité réglementée dans le domaine des marchés de capitaux ou bancaire, lorsqu’une entité exerce un contrôle sur une ou plusieurs entités juridiques d’assurance ou une ou plusieurs entités réglementées dans le domaine des bourses , bancaire ou éventuellement d’autres entités juridiques non réglementées, dont les

Official Gazette n° Special of 17/06/2022 60 ibindi bigo bifite ubuzima gatozi bitagenzurwa, bifite ibikorwa byihariye cyangwa byiganje birimo gutanga serivisi z’ingirakamaro mu nzego nibura ebyiri z’imari (amabanki, isoko ry’imari n’imigabane, ubwishingizi); 4º urwunge rw’ibigo bivanze: itsinda ry’ibigo bikora imirimo yerekeye imari n’iterekeye imari harimo n’ibigo bigenzurwa bikora umurimo w’ubwishingizi kandi bishobora no gukora ibyerekeye amabanki, ubwishingizi bw’izabukuru n’isoko ry’imari n’imigabane; 5º itsinda ry’ibigo by’ubwishingizi: ibigo bibiri cyangwa byinshi bifite ubuzima gatozi, nibura kimwe ari ikigo cy’ubwishingizi gifite ubuzima gatozi, aho kimwe kigenzura ikigo kimwe cyangwa byinshi by’ubwishingizi bifite ubuzima gatozi kandi hashobora kubamo ibindi bigo bitagenzurwa kandi imirimo yabyo y’ibanze ikaba ari ubwishingizi; 6º imigabane ihuriweho: amasezerano akorwa ku buryo ibigo biri mu itsinda ry’ibigo by’ubwishingizi na byo bigira imigabane mu kigo cyabibyaye. financial sectors (banking, securities, insurance); 4º mixed conglomerate: a group of entities with financial and non￾financial businesses including regulated entities engaging in the business of insurance and may also engage in banking, pension and securities; 5º insurance group: two or more legal entities, at least one of which is an insurance legal entity, where one has control over one or more insurance legal entities and possibly other non￾regulated legal entities, and whose primary business is insurance; 6º cyclical shareholding: arrangements under which entities of the insurance group downstream of the parent entity hold shares in the parent entity. activités exclusives ou prédominantes consistent à fournir des services importants dans au moins deux secteurs financiers différents (banque, des marchés de capitaux, assurance); 4º conglomérat mixte: Un groupe d’entités ayant des activités financières et non financières, y compris des entités réglementées exerçant des activités d’assurance et pouvant également exercer des activités bancaires, de pension et des marchés de capitaux ; 5º groupe d’assurance: deux ou plusieurs entités juridiques, dont au moins une est une entité juridique d’assurance, dont l’une exerce un contrôle sur une ou plusieurs entités juridiques d’assurance et éventuellement sur d’autres entités juridiques non réglementées, et dont l’activité principale est l’assurance; 6º actionnariat cyclique: accords en vertu desquels les entités du groupe d’assurance en aval de l’entité mère détiennent des actions dans l’entité mère.

Official Gazette n° Special of 17/06/2022 61 UMUTWE WA II: IBISABWA BYEREKEYE IGENZURA Ingingo ya 4: Ibipimo ngenderwaho Umwishingizi ufite ibigo yabyaye cyangwa uri mu itsinda ry’ibigo by’ubwishingizi cyangwa urwunge rw’ibigo by’imari agomba, ku rwego rw’itsinda cyangwa ari wenyine, kubahiriza ibi bikurikira: 1º imari shingiro itagibwa munsi n’ubushobozi bwo kwishyura bisabwa; 2º ibisabwa byerekeye ishoramari; 3º ibisabwa ku mafaranga agomba kuba ahari; na 4º ibindi bipimo ngenderwaho byagenwa n’Urwego rw’Ubugenzuzi. Ingingo ya 5: Ingaruka zo kutubahiriza ibipimo ngenderwaho Iyo umwishingizi ufite amasosiyete yabyaye cyangwa uri mu itsinda ry’ibigo by’ubwishingizi, urwunge rw’ibigo by’imari cyangwa urwunge ruvanze atubahirije ibipimo ngenderwaho bisabwa muri aya mabwiriza rusange, Urwego rw’Ubugenzuzi CHAPTER II: SUPERVISORY REQUIREMENTS Article 4: Prudential limits An insurer with subsidiaries or part of an insurance group or financial conglomerates or mixed conglomerate shall, on group-wide basis and/or solo basis, comply with the following: 1º minimum capital and solvency required; 2º investment requirements; 3º liquidity requirements; and 4º any other prudential limits as the Supervisory Authority may prescribe. Article 5: Consequences for non￾compliance with prudential limits Where an insurer with subsidiaries or is part of an insurance group, a financial conglomerate or a mixed conglomerate does not comply with the prudential limits specified in this Regulation, the Supervisory Authority may prescribe such higher capital CHAPITRE II: EXIGENCES RÉGLEMENTAIRES Article 4: Limites prudentielles Un assureur ayant des filiales ou faisant parti d’un groupe d’assurance ou de conglomérats financiers doit, à l'échelle du groupe et/ou individuelle, respecter ce qui suit : 1º le capital minimum et solvabilité requis; 2º les exigences d’investissements; 3º les exigences de liquidité; et 4º toute autre limite prudentielle que l’Autorité de contrôle peut prescrire. Article 5: Conséquences du non-respect des limites prudentielles Lorsqu’un assureur ayant des filiales ou faisant parti du groupe d’assurance, un conglomérat financier ou un conglomérat mixte ne respectent pas les limites prudentielles spécifiées dans le présent règlement, l’Autorité de contrôle peut prescrire de telles exigences plus élevées en

Official Gazette n° Special of 17/06/2022 62 rushobora gushyiraho ibisabwa byerekeye imari shingiro ihagije hagamijwe kubahiriza ibyo bipimo ku buryo buhujwe. Ingingo ya 6: Amakuru ahabwa Urwego rw’Ubugenzuzi Buri mwishingizi agomba, buri mwaka, gushyikiriza Urwego rw’Ubugenzuzi, amakuru avugwa mu Mugereka uri kuri aya mabwiriza rusange. Amakuru avugwa mu gika cya mbere cy’iyi ngingo agomba gutangwa bitarenze ku wa 31 Werurwe w’umwaka ukurikira. Ingingo ya 7: Gutanga raporo z’imari z’umwaka Buri mwishingizi agomba gushyikiriza Urwego rw’Ubugenzuzi kopi ya raporo y’ibaruramari y’umwaka iheruka yagenzuwe ya sosiyete ibumbye izindi umwishingizi abarizwamo, ya sosiyete yabyawe n’umwishingizi, no mu bigo bigishamikiyeho mu gihe cy’amezi ane (4) akurikira umwaka iyo raporo y’ibaruramari ishingiyeho. adequacy requirements, to ensure compliance with such limits on a consolidated basis. Article 6: Information to be submitted to the Supervisory Authority Every insurer shall on, an annual basis, submit to the Supervisory Authority information, set out in Appendix to this Regulation. The information specified in Paragraph One of this Article shall be submitted not later than 31 March of the following year. Article 7: Submission of the annual financial statements Every insurer shall submit to the Supervisory Authority a copy of the latest annual audited financial statements of its holding company, subsidiaries and affiliates, within a period of four months (4) following the financial year to which such audited financial statements refer. matière d’adéquation du capital, afin de garantir le respect de telles limites sur une base consolidée. Article 6: Informations à soumettre à l’Autorité de contrôle Chaque assureur doit, chaque année, soumettre à l’Autorité de contrôle les informations figurant en Annexe du présent règlement. Les informations visées à l’alinéa 1 du présent article doivent être transmises au plus tard le 31 mars de l’année suivante. Article 7: Transmission des états financiers annuels Chaque assureur doit soumettre à l’Autorité de contrôle une copie des derniers états financiers annuels audités de la société holding, ses filiales et ses affiliées dans un délai de quatre mois (4) suivant l’exercice auquel ces états financiers audités se réfèrent.

Official Gazette n° Special of 17/06/2022 63 Ingingo ya 8: Gutanga raporo ihujwe y’ibaruramari igenzuwe y’isosiyete cabyawe n’umwishingizi Ikigo cy’ubwishingizi gifite ikigo kigishamikiyeho kigomba gushyikiriza Urwego rw’Ubugenzuzi kopi ya raporo ihujwe y’ibaruramari igenzuwe mu gihe cy’amezi ane (4) akurikira umwaka iyo raporo y’ibaruramari ishingiyeho. Ingingo ya 9: Kumenyesha impinduka Ikigo cy’ubwishingizi gifite ibigo bigishamikiyeho cyangwa kikaba ari kimwe mu bigo bigize itsinda ry’ubwishingizi, urwunge rw’ibigo by’imari cyangwa urwunge rw’ibigo bivanze, bigomba kumenyesha Urwego rw’Ubugenzuzi impinduka yose y’ingenzi ishobora kuba mu isosiyete ibumbye izindi umwishingizi abarizwamo, mu masosiyete yabyawe n’umwishingizi cyangwa mu bigo bimuyshamikiyeho. Impinduka z’ingenzi zigomba kumenyeshwa Urwego rw’Ubugenzuzi nk’uko bisabwa mu gika cya mbere cy’iyi ngingo zikubiyemo izi zikurikira: 1º ibyahindutse mu miterere y’imigabane harimo ba nyir’imigabane nyakuri; Article 8: Submission of the consolidated audited financial statements of the insurer’s subsidiary An insurer having subsidiaries shall submit to the Supervisory Authority a copy of the consolidated audited financial statements within a period of four months (4) that follow the financial year to which such audited financial statements refer. Article 9: Notification of change An insurer with subsidiaries or part of an insurance group, financial group or mixed conglomerate shall notify the Supervisory Authority of any key change that may occur in its holding company, subsidiaries or affiliates. The key changes that shall be notified to the Supervisory Authority include the following: 1º changes in the shareholding including the beneficial ownership; Article 8: Transmission des états financiers consolidés audités de la filiale de l’assureur Un assureur ayant une filiale doit soumettre à l’Autorité de contrôle une copie des états financiers consolidés audités dans un délai de quatre mois (4) qui suivent l’exercice auquel ces états financiers audités se réfèrent. Article 9: La communication du changement Un assureur ayant des filiales ou faisant partie d’un groupe d’assurance, d’un groupe financier ou d’un conglomérat mixte notifie l’Autorité de contrôle de tout changement important qui pourrait avoir lieu dans société holding, ses filiales ou ses affiliées Les changements importants qui doivent être notifiés à l’Autorité de contrôle conformément à l’alinéa premier du présent article inclus les suivants : 1º les changements dans l’actionnariat, y compris les bénéficiaires effectifs;

Official Gazette n° Special of 17/06/2022 64 2º icyahindutse mu mahame agenga imicururize n’ingamba itsinda ry’ibigo by’ubwishingizi rigenderaho; 3º ibyahindutse mu miyoborere (inama y’ubutegetsi n’abari mu buyobozi bukuru); 4º icyahindutse cyose cyagira ingaruka ku mwishingizi ku buryo buziguye cyangwa butaziguye. Ingingo ya 10: Gutanga raporo z’imari zitagenzuwe Umwishingizi ufite isosiyete yabyaye cyangwa uri mu itsinda ry’ibigo by’ubwishingizi, urwunge rw’ibigo by’imari cyangwa urwunge rw’ibigo bivanze agomba gushyikiriza Urwego rw’Ubugenzuzi, buri gihembwe, raporo z’ibaruramari zitagenzuwe, haba buri kigo ukwacyo cyangwa byose bihurijwe hamwe, zirimo izikurikira: 1º ubushobozi bwo kwishyura no kuba bifite imari shingiro ihagije; 2º imirimo bikorana n’abantu bafitanye isano n’umwishingizi; 3º igipimo cy’amafaranga agomba kuba ahari. 2º change in business model and insurance group strategy; 3º changes in governance (board and senior management); 4º any other change that may directly or indirectly have impact on an insurer. Article 10: Submission of unaudited financial statements An insurer having a subsidiary or part of an insurance group, financial conglomerate or mixed conglomerate shall submit to the Supervisory Authority, on a quarterly basis unaudited financial report on both a solo and consolidated basis including: 1º solvency and capital adequacy position; 2º transactions with insurer’s connected persons; 3º liquidity position. 2º changement de modèle économique et de stratégie de groupe d’assurance; 3º les changements de gouvernance (conseil d’administration et direction générale); 4º tout autre changement pouvant avoir un impact direct ou indirect sur un assureur. Article 10: Présentation des états financiers non audités Un assureur ayant une filiale ou faisant partie d’un groupe d’assurance, d’un conglomérat financier ou d’un conglomérat mixte doit soumettre à l’Autorité de contrôle, trimestriellement, un rapport financier non audité sur une base individuelle et consolidée comprenant: 1º la position de solvabilité et d’adéquation du capital; 2º les transactions avec les personnes liées à l’assureur ; 3º la position de liquidité.

Official Gazette n° Special of 17/06/2022 65 Gutanga raporo isabwa mu gika kibanziriza iki bikorwa mu minsi mirongo itatu (30) ikurikirana kuri kalindari y’ igihembwe gikurikira. Ingingo ya 11: Ububasha bw’Urwego rw’Ubugenzuzi ku masosiyete umwishingizi yabyaye, ikigo kimushamikiyeho, cyangwa umuntu ufitanye isano na we Bitabangamiye ibiteganyijwe mu ngingo kuva ku ya 5 kugeza ku ya 8 z’aya mabwiriza rusange, Urwego rw’Ubugenzuzi rushobora gutegeka ikigo umwishingizi yabyaye, cyangwa ikigo kimushamikiyeho, cyangwa umuntu ufitanye isano na we, gutanga imenyekanisha bwite cyangwa raporo iyo ari yo yose, hakurikijwe ifishi Urwego rw’Ubuenzuzi rushobora gushyiraho, hagamijwe kugenzura ko ibikorwa n’imirimo y’ibyo bigo bitabangamira ubusugire n’ukutajegajega by’umwishingizi bireba kandi ko bikorwa hubahirijwe amategeko. Ingingo ya 12: Igena ry'ibigo bishyirwa mu igenzura ryo ku rwego rw’itsinda Urwego rw’Ubugenzuzi rushobora, ku mpamvu zo kubahiriza ibisabwa n’aya Mabwiriza Rusange, kugena ibigo bigomba gushyirwa mu igenzura ryo ku rwego The Submission of the report required under previous paragraph is done within thirty (30) calendar days of the following quarter. Article 11: The power of the Supervisory Authority vis à vis insurer’s subsidiary or affiliate or related person Without prejudice to the provisions of Articles 5 to 8 of this Regulation, the Supervisory Authority may require the insurer’s subsidiary or affiliate or related person to submit personal declaration or any report in the form as may be set out by the Supervisory Authority to ensure that the operations and affairs of such entities are not detrimental to the stability and soundness of the concerned insurer and are conducted in compliance with the law. Article 12: Determining entities to be included in the group-wide supervision The Supervisory Authority may, for the purposes of meeting the requirements of this Regulation, determine which entities have to be included in the group-wide supervision. La soumission du rapport requis en vertu de l’alinéa précédent se fait dans les trente (30) jours calendrier du trimestre suivant. Article 11: Le pouvoir de l’Autorité de contrôle vis-à-vis filiales, des affiliées ou une personne liée à l’assureur Sans préjudice des dispositions des articles 5 à 8 du présent Règlement, l’Autorité de contrôle peut exiger aux filiales ou affiliée ou personnes liées à l’assureur de soumettre un rapport ou des informations sous la forme que peut définir l’Autorité de contrôle pour s’assurer que les opérations et les affaires de ces entités ne nuisent pas à la stabilité et à la solidité de l’assureur concerné et sont menées dans le strict respect de la loi. Article 12: Détermination des entités à inclure dans le contrôle à l'échelle du groupe L’Autorité de contrôle peut, pour satisfaire aux exigences du présent règlement, déterminer quelles entités doivent être incluses dans le contrôle à l'échelle du groupe.

Official Gazette n° Special of 17/06/2022 66 rw’itsinda ry’ibigo by’ubwishingizi. Ingingo ya 13: Amahame agenga raporo zitangwa Raporo iyo ari yo yose cyangwa amakuru bisabwa hakurikijwe ingingo kuva ku ya 6 kugeza ku ya 11 z’aya mabwiriza rusange igomba gutegurwa hakurikijwe amahame mpuzamahanga yo gutanga raporo y’imikoreshereze y’imari (IFRS). Cyakora, Urwego rw’Ubugenzuzi rushobora, ku mpamvu z’igenzura, gusaba amakuru y’imari ahujwe ashobora kuba atandukanye n’ategetswe ateganywa n’amahame mpuzamahanga yo gutanga raporo y’imikoreshereze y’imari (IFRS). Ingingo ya 14: Kugaragaza abantu bafite ububasha kuri buri kigo cy’ubwishingizi Urwego rw’Ubugenzuzi rushobora gutegeka umwishingizi kugaragaza abantu bafite ububasha kuri buri kigo cy’ubwishingizi kiri mu itsinda rimwe na we abarizwamo. Ingingo ya 15: Ibibujijwe ku migabane ihuriweho Birabujijwe kugira amasezerano ateganya Article 13: Reporting standards Any report or information required under article 6 to 11 of this regulation shall be prepared in accordance with International Financial Reporting Standards (IFRS). However, the Regulator may, for supervisory purposes, require consolidated financial information, which may differ from the consolidation required under International Financial Reporting Standards (IFRS). Article 14: Indicating a person that has control over entities in the insurance group The Supervisory Authority may require an insurer to indicate persons who have control over every insurance legal entity in the group in which it belongs. Article 15: Restriction on cyclical shareholding Cyclical shareholding is prohibited. Article 13: Normes en matière de rapports Tout rapport ou information requis en vertu des articles 6 à 11 du présent règlement doit être établi conformément aux normes internationales d’information financière (IFRS). Cependant, l’Autorité de contrôle peut également, à des fins de supervision, exiger les informations financières consolidées qui peuvent être différents de la consolidation requise par les normes internationales d’information financière (IFRS). Article 14: Indiquer une personne qui contrôle les entités dans le groupe d'assurance L’Autorité de contrôle peut exiger un assureur d’indiquer les personnes qui exercent le contrôle sur chaque entité juridique d’assurance du groupe auquel il appartient. Article 15: Restriction sur l’actionnariat cyclique L’actionnariat cyclique est interdit.

Official Gazette n° Special of 17/06/2022 67 kugira imigabane ihuriweho. Ingingo ya 16: Ubushobozi n’ubunyangamugayo bisabwa Buri muntu wese ugize inama y’ubutegetsi cyangwa ubuyobozi bukuru bw’itsinda ry’ibigo by’ubwishingizi agomba kuba ashoboye kandi ari inyangamugayo nk’uko bisobanurwa mu mabwiririza yerekeye imiyoborere y’ibigo by’ubwishingizi. Ingingo ya 17: Igenagaciro ry’imitungo n’imyenda Ibigenderwaho mu kugena agaciro k’imitungo n’imyenda by’itsinda ry’ibigo by’ubwishingizi rigomba kuba bihuye n’ibigenderwaho ku rwego rw’ikigo ukwacyo hakurikijwe ibisabwa ku mari shingiro isabwa hashingiwe ku cyateza ingorane umwishingizi. Ingingo ya 18: Imikoranire n’izindi nzego z’ubugenzuzi Urwego rw’Ubugenzuzi, nka rumwe mu nzego zikora igenzura ryo ku rwego rw’itsinda ry’ibigo by’ubwishingizi, rukorana kandi rugahanahana amakuru n’izindi nzego z’ubugenzuzi, kandi rukaziha amakuru zikeneye mu igenzura ryo ku rwego Article 16: Fit and proper requirement Every board member or senior manager of an insurance group shall meet the fit and proper criteria as set out in Regulation on corporate governance for insurers. Article 17: Valuation of assets and liabilities The valuation bases of assets and liabilities of insurance group shall be consistent with those prescribed on the solo entity under Risk Based Capital requirement. Article 18: Collaboration with other supervisory authorities The Supervisory Authority, as part of supervisors of insurance groups subject to group-wide supervision, cooperates and exchanges with other supervisory authorities, and provide them with necessary information for the purposes of group-wide supervision. Article 16: Exigence d’intégrité et de compétence Tout membre du conseil d’administration ou cadre supérieur d’un groupe d’assurance doit répondre aux critères d’honorabilité et de compétence tels que définis dans le règlement sur la gouvernance des assureurs. Article 17: Évaluation de l’actif et du passif Les bases d’évaluation des actifs et des passifs du groupe d’assurance doivent être cohérentes avec celles prescrites pour l’entité seule au titre de l’exigence de Fonds Propres Basée sur le Risque. Article 18: Collaboration avec d’autres autorités de supervision L’Autorité de contrôle, en tant que l’un des superviseurs du groupe d’assurance soumis au contrôle à l'échelle du groupe., coopère et échange avec d’autres autorités de supervision, et leur fournit les informations nécessaires pour le contrôle à l'échelle du groupe.

Official Gazette n° Special of 17/06/2022 68 rw’itsinda ry’ibigo by’ubwishingizi. Bitabangamiye igika cya mbere cy’iyi ngingo, iyo Urwego rw’Ubugenzuzi nta bubasha butaziguye rufite bwo kugenzura bimwe mu bigo nyamara ibyo bigo biri mu itsinda rituma hagomba kubaho igenzura ryo ku rwego rw’itsinda, Urwego rw’Ubugenzuzi rushobora gukoresha ububasha rufite ku bigo rugenzura na/cyangwa rukagisha inama abandi bagenzuzi kugira ngo ikigamijwe mu igenzura kigerweho. Ingingo ya 19: Uburyo bw’igenzura ryo ku rwego rw’itsinda Urwego rw’Ubugenzuzi rwifashisha uburyo bukurikira mu gukora igenzura ryo ku rwego rw’itsinda: 1° igenzura ryo ku rwego rw’itsinda rishingiye ku makuru asobanura; 2° igenzura ryo ku rwego rw’itsinda rishingiye ku mibare. Ingingo ya 20: Ishingiro ry’igenzura ryo ku rwego rw’itsinda rishingiye ku makuru asobanura Igenzura ryo ku rwego rw’itsinda rishingiye ku makuru asobanura ryifashishwa mu Without prejudice to paragraph one of this Article, where Supervisory Authority has no direct legal power over certain legal entities while they are in the scope of the group-wide supervision, the Supervisory Authority may use its power over regulated entities and/or consult with other involved supervisors to achieve intended supervisory objective. Article 19: Approaches to conduct group￾wide supervision The Supervisory Authority uses the following approaches to conduct Group-wide supervision: 1° qualitative group-wide supervision and 2° quantitative group-wide supervision. Article 20: Basis for qualitative group-wide supervision The qualitative group-wide supervision is used to assess the overall strength of the Sans préjudice de l’alinéa premier du présent article, lorsque l’Autorité de contrôle n’a pas l’autorité direct sur certaines entités juridiques alors qu’elles sont dans le cadre de contrôle à l'échelle du groupe, le superviseur peut exercer son pouvoir sur les entités réglementées et/ou consulter d’autres superviseurs concernés pour attendre l’objectif de surveillance souhaité. Article 19: Approches pour effectuer le contrôle à l’échelle du groupe L’Autorité de contrôle utilise les approches suivant pour effectuer le contrôle à l’échelle du groupe : 1° le contrôle qualitatif à l’échelle du groupe et 2° le contrôle quantitatif à l’échelle des groupes. Article 20: Base d’un contrôle qualitatif à l'échelle du groupe Le contrôle qualitatif à l'échelle du groupe est utilisée pour évaluer la solidité globale de

Official Gazette n° Special of 17/06/2022 69 gusuzuma ingufu itsinda ryose umwishingizi abarizwamo rifite muri rusange, hashingiwe ku makuru yatanzwe yerekeye : 1° imiterere y’ikigo; 2° imicungire y’ibyateza ingorane, ; 3° Ubugenzuzi bw’inama y’ubutegetsi, n’ubw’ubuyobozi bukuru ; 4° igenzura ry’imbere mu kigo ; na 5° andi makuru asobanura Urwego rw’Ubugenzuzi rwasanga ari ingenzi kugira ngo rugere ku kigamijwe mu gukora igenzura ryo ku rwego rw’itsinda. Ingingo ya 21: Ishingiro ry’igenzura ryo ku rwego rw’itsinda rishingiye ku makuru mu mibare Igenzura ryo ku rwego rw’itsinda rishingiye ku makuru mu mibare ryita kuri ibi bikurikira : 1° imari shingiro ihagije; 2° ibikorwa by’ubucuruzi ibigo biri mu itsinda rimwe byakoranye ; whole group to which an insurer belongs, based on the information provided relating to: 1° corporate structure; 2° risk management; 3° board and management oversight; 4° internal control; 5° any other qualitative information that the Supervisory Authority may deem important to achieve group-wide supervision objective. Article 21: Basis for quantitative group￾wide supervision The quantitative group-wide supervision considers the following: 1° capital adequacy; 2° intra group transactions; l’ensemble du groupe auquel appartient un assureur, sur la base des informations fournies concernant: 1° la structure de l’entreprise ; 2° la gestion des risques ; 3° la supervision du conseil d’administration et de la direction générale ; 4° le contrôle interne et ; 5° toute autre information qualitative que l’Autorité de contrôle peut juger importante pour atteindre l'objectif de supervision à l'échelle du groupe. Article 21: Base du contrôle quantitatif à l'échelle du groupe Le contrôle quantitatif à l'échelle du groupe considère ce qui suit : 1° adéquation du capital ; 2° les transactions intragroupes ;

Official Gazette n° Special of 17/06/2022 70 3° inyungu; 4° amafaranga abitse; 5° ishoramari ryakozwe ; 6° andi makuru ashingiye ku mibare Urwego rw’Ubugenzuzi rwasanga ari ingenzi kugira ngo rugere ku kigamijwe mu gukora igenzura rikwiye. Igenzura ryo ku rwego rw’itsinda rishingiye ku mibare rireba ibigo byose by’imari bihuriye mu itsinda harimo ikigo mbyeyi, ibigo byabyawe n’umwishingizi n’ibyo umwishingizi afitemo imigabane iringaniye. Ingingo ya 22: Igenzura ryihariye Iyo rubona ko bikenewe, Urwego rw’Ubugenzuzi rushobora gukoresha igenzura ry’ibikorwa n’imirimo by’ibigo byabyawe n’umwishingizi cyangwa ikigo umwishingizi afifitemo imigabane iringaniye mu rwego rwo kureba ko ibikorwa n’imirimo byabyo bitabangamiye ubusugire n’ukutajegajega by’umwishingizi bireba. Ingingo ya 23: Igenzura rihuriweho Iyo rubona ko bikenewe, igenzura rikozwe 3° earnings; 4° liquidity; 5° investment; 6° any other quantitative information that the Supervisory Authority may deem important to achieve group-wide supervision objective. The “Quantitative group-wide supervision” shall be extended to all relevant entities within a group including the parent, subsidiaries and affiliates. Article 22: Special inspection When it deems necessary, the Supervisory Authority may undertake an inspection of the operations and affairs of an insurer’s subsidiaries or its affiliate in order to ensure that the operations and affairs of such insurer’s related persons or affiliate are not detrimental to the stability and soundness of the concerned insurer. Article 23: Joint inspection Where it deems necessary, an inspection 3° les bénéfices ; 4° les liquidités ; 5° les investissements; 6° toute autre information quantitative que l’Autorité de contrôle peut juger importante pour atteindre l'objectif de supervision à l'échelle du groupe. Le contrôle quantitatif à l'échelle du groupe s’étend à toutes les entités concernées d'un groupe consolidé, y compris la société mère, les filiales et affiliés. Article 22 : Inspection spéciale Lorsqu’il le juge nécessaire, l’Autorité de contrôle peut entreprendre une inspection des activités et des affaires ses filiales ou ses affiliées pour s’assurer que les activités et les affaires de ces personnes liées ou de cette affiliée ne nuisent pas à la stabilité et à la solidité de l’assureur concerné. Article 23 : Inspection conjointe Lorsqu’elle le juge nécessaire, une inspection

Official Gazette n° Special of 17/06/2022 71 hakurikijwe ingingo ya 20 y’aya mabwiriza rusange rishobora gukorwa ku bufatanye n’urwego cyangwa ikigo bireba, gikora igenzura cyangwa igenzuramikorere y’abantu bafitanye isano numwishingizi cyangwa’gishamikiye ku mwishingizi. UMUTWE WA IV: INGINGO ZINYURANYE N’IZISOZA Ingingo ya 24: Ibyemezo bikosora n’ibihano Umwishingizi utubahiriza ibisabwa muri aya Mabwiriza rusange afatirwa ibyemezo bikosora ndetse n’ibihano biteganyijwe n’itegeko rigena imitunganyirize y’umurimo w’ubwishingizi mu Rwanda n’amabwiriza yerekeye ibihano byo mu rwego rw’ubutegetsi n’ibihano by’amafaranga bikurikizwa ku bishingizi. Ingingo ya 25: Itegurwa, isuzumwa n’iyemezwa by’aya Mabwiriza rusange Aya mabwiriza rusange yateguwe, asuzumwa kandi yemezwa mu Cyongereza. Ingingo ya 26: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Amabwiriza rusange N° 38/2021 yo ku wa conducted under Article 20 of this Regulation may be done in collaboration with the relevant authority or body, which exercises supervision or regulation over such insurer’s related persons or affiliate. CHAPTER IV: MISCELLANEOUS AND FINAL PROVISIONS Article 24: Corrective measures and sanctions An insurer that is in violation of the requirements of this Regulation shall be subject to corrective actions and sanctions as provided for by the law governing the organization of insurance business in Rwanda and the regulation on administrative and pecuniary sanctions applicable to insurers. Article 25: Drafting, consideration and approval of this Regulation This Regulation was prepared, considered and approved in English. Article 26: Repealing provisions Regulation N° 38/2021 of 21/1/2021 on effectuée en vertu de l’article 20 du présent Règlement peut être effectuée en collaboration avec l’autorité ou l’organisme compétent, qui exerce une supervision ou une réglementation sur les personnes liées ou affiliées de cet assureur. CHAPITRE IV : DISPOSITIONS DIVERSES ET FINALES Article 24: Mesures correctives et sanctions Un assureur qui contrevient aux exigences du présent Règlement est passible de mesures correctives et de sanctions prévues par la loi portant organisation de l’activité d’assurance au Rwanda et au règlement sur les sanctions administratives et pécuniaires applicables aux assureurs. Article 25: Initiation, examen et approbation du présent règlement Le présent Règlement a été initié, examiné et approuvé en Anglais. Article 26: Dispositions abrogatoires Règlement N° 38/2021 du 21/1/2021 relatif au

Official Gazette n° Special of 17/06/2022 72 21/1/2021 yerekeye igenzura ryo ku rwego rw’amatsinda mu bigo by’ubwishingizi n’ ingingo zose zibanziriza aya mabwiriza rusange zinyuranye na yo zivanyweho. Ingingo ya 27: Igihe aya mabwiriza rusange atangirira gukurikizwa Aya Mabwiriza Rusange atangira gukurikizwa ku munsi atangarijweho mu Igazeti ya Leta ya Repubulika y’u Rwanda. group-wide supervision for insurers and all prior provisions contrary to this Regulation are hereby repealed. Article 27: Commencement This regulation shall come into force on the date of its publication in the Official Gazette of the Republic of Rwanda. contrôle à l'échelle du groupe pour les assureurs et toutes les dispositions antérieures contraires au présent Règlement sont abrogées. Article 27 : Entrée en vigueur Le présent Règlement entre en vigueur le jour de sa publication au Journal Officiel de la République du Rwanda.

Official Gazette n° Special of 17/06/2022 73 Kigali, 02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho Ikirango cya Repubulika: Seen and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux

Official Gazette n° Special of 17/06/2022 74 UMUGEREKA W’AMABWIRIZA RUSANGE N° 45/2022 YO KU WA 02/06/2022 YEREKEYE IGENZURA RYO KU RWEGO RW’ITSINDA RY’IBIGO BY’UBWISHINGIZI AMAKURU ATANGWA N’ABISHINGIZI Urwego rw’Ubugenzuzi rwateguye uru rutonde rw’ibibazo hagamijwe gusuzuma, gusesengura no gusobanukirwa amatsinda ibigo by’ubwishingizi bibarizwamo. Ibisubizo kuri ibi bibazo bizafasha Urwego rw’Ubugenzuzi kumenya amakuru y’imvaho yerekeye imikorere y’itsinda ubarizwamo harimo imiterere y’inzego z’imirimo n’imicungire by’ikigo ndetse n’igenzura ry’imbere n’umwihariko w’ingorane amasosiyete yabyawe n’andi ari mu yagize itsinda yahura nazo. Byongeye kandi, uru rutonde rw’ibibazo ruzafasha kumenya ibisabwa cyangwa ibibazo bisaba ko hakorwa igenzura. Ibisubizo kuri ibi bibazo bizitabwaho hamwe n’isesengura rigaragaza imibare y’uko ibigo bihagaze. Igenzura rishingiye ku makuru asobanura n’irishingiye ku mibare rizerekana igipimo rusange cy’ingorane n’imiterere y’imicungire y’ibyateza ingorane ibigo bihuriye mu itsinda, bikazifashishwa mu kugena ingamba y’igenzura ry’itsinda. Ibibazo biri kuri uru rutonde byerekeye Imiterere y’Inzego z’imirimo, Imiyoborere y’Ibigo, Imicungire y’Ibyateza Ingorane no gukurikirana imikorere y’ubuyobozi. Erekana kopi z’inyandiko zabyo zigaragaza ukuri kw’ibisubizo watanze, igihe bishoboka. A. Amateka n’amakuru rusange Mu nshamake, vuga uko itsinda ry’ibigo ryatangiye, ugaragaza amatariki byashingiwe nk’ibigo, amazina byahoranye, ibigo byahujwe n’ibihe by’ingenzi byaranze ibyo bigo (urugero igihe byashyiriye imigabane yabyo ku isoko ry’imari n’imigabane). Amatariki byashingiwe nk’ibigo, amazina byahoranye amazina byahoranye Ibigo byikomatanyije Ibihe by’ingenzi byaranze ibyo bigo

Official Gazette n° Special of 17/06/2022 75 B. Imiterere y’imigabane Imiterere y’imigabane y’itsinda ry’ibigo ku wa………………………….(itariki) Umubare w’abanyamigabane Umubare w’imigabane bafite Ijanisha ry’imigabane (kuva kuri 5% kuzamura) Isosiyete idahamagarira rubanda kuyiguramo imigabane Mvamahanga: Iyo mu gihugu Abantu ku giti cyabo Mvamahanga: iyo mu gihugu Ibigo bya leta ndetse na leta Mvamahanga Abo mu gihugu Igiteranyo gito cy’abanyamigabane bikorera Ibigo bya leta na guverinoma Mvamahanga Ibyo mu gihugu Igiteranyo cy’imigabane yose

Official Gazette n° Special of 17/06/2022 76 C. Imiterere y’Inzego z’imirimo, Imiyoborere y’Ibigo, Imicungire y’Ibyateza Ingorane no gukurikirana imikorere y’ubuyobozi

1. garagaza imbonerahamwe y’inzego z’imirimo mu itsinda ry’ibigo by’ubwishingizi, amasosiyete isosiyete ibumbye izindi ifitemo imigabane ndetse n’ibyabyawe n’isosiyete ibumbye izindi (bifite 5% by’imigabane).
2. garagaza imiterere y’ubuyobozi mu itsinda
3. garagaza imiterere y’imirimo y’ubucuruzi ikorwa n’itsinda
4. Ni ibihe bigo bigenzurwa, bigenzurwa na nde? Ni ibihe bigo bitagenzurwa? Ni nde ushinzwe guhuza ibikorwa bijyanye no kubahiriza amabwiriza n’imikoranire yabyo mu itsinda ry’ibigo no muri buri kigo? Amakuru yerekeye inzego z’ubugenzuzi bw’ibigo byabyawe n’ibindi ashobora gutangwa mu buryo bukurikira: Ikigo Urwego rw’Ubugenzuzi Umuhuzabikorwa kuri buri kigo

Abari mu nama y’ubutegetsi y’itsinda ry’ibigo by’ubwishingizi cyangwa urwunge rw’ibigo by’imari Amazina Umwanya arimo (uri mu nama y’ubutegetsi uri no mu buyobozi bw’ikigo, uwigenga). Amashuri yize n’uburambe Ibyo ashinzwe Aho abarizwa 1. 2. 3. 4. 5. 6.

Official Gazette n° Special of 17/06/2022 77 Abari mu nama y’ubutegetsi y’ibigo byabyawe n’umwishingizi cyangwa afitemo imigabane Amazina Umwanya arimo (uri mu nama y’ubutegetsi ari no mu buyobozi bw’ikigo, utari uwigenga) Amashuri yize n’uburambe Ibyo ashinzwe na/cyangwa ari muri komite y’inama y’ubutegetsi Aho abarizwa 1. 2. 3. 4. D. Tanga urutonde rw’abari mu buyobozi bukuru ndetse unavuge inshingano zabo ku rwego rw’itsinda ndetse n’ibigo byabyawe n’ayo matsinda. Ayo makuru agomba kugaragazwa mu buryo bukurikira Abayobozi bakuru mu itsinda ry’ibigo by’ubwishingizi /urwunge rw’ibigo Amazina Umwanya arimo Ibyo ashinzwe Aho abarizwa Abayobozi bakuru mu kigo cyabyawe n’umwishingizi cyangwa umwishingizi afitemo imigabane Amazina Umwanya arimo Ibyo ashinzwe Aho abarizwa 1. 2. 3. 4.

1. Gucunga no kugenzura itsinda bikorwa bite (ni ukuvuga uburyo bw’imicungire n’imiterere y’inzego z’imirimo) – ku rwego rw’isi, ku rwego rw’akarere, ku rwego rw’igihugu cyangwa ku rwego rw’umurimo w’ubucuruzi, cyangwa bimwe bikomatanyijwe? Tanga ibisobanuro birambuye
2. Ni iyihe mirimo ikorerwa ku rwego rw’itsinda aho kwegerezwa ibindi bigo biririmo?
3. Ni izihe nshingano ibyiciro bitandukanye by’abayobozi bafite mu isosiyete ibumbye izindi n’uburyo aba bayobozi bakorana? Tanga ibisobanuro birambuye byerekeye umurongo binyuzamo raporo.

Official Gazette n° Special of 17/06/2022 78 4. Garagaza imbonerahamwe y’inzego z’imirimo y’ibigo byabyawe n’umwishingizi (ibyo mu gihugu na mvamahanga) biri mu itsinda werekana amashami yabyo yose n’udushami twabyo Uurutonde rw’amashami yose Agace amashami aherereyemo Ingano y’imitungo (amafaranga/buri shami Ingano y’umutungo (ijanisha/buri gace E. Umutungo w’imari

1. Imiterere y’imari shingiro y’itsinda ry’ibigo by’ubwishingizi ni iyihe? ………………………………………………………………………………………… ………………………………………………………
2. Ni izihe ngamba zihari zerekeye uko imari y’itsinda ry’ibigo by’ubwishingizi igomba gukoreshwa hagamijwe kuyibyaza inyungu? ………………………………………………………………………………………… ………………………………………………………
3. Ni he habitse imari shingiro y’itsinda ry’ibigo (ku rwego rw’itsinda ry’ibigo cyangwa ku rwego rw’ikigo cyabyawe n’umwishingizi)? ………………………………………………………………………………………… ………………………………………………………
4. Ni izihe mpamvu zigena uko imari igomba gukoreshwa hagamijwe kuyibyaza inyungu mu itsinda ry’ibigo (urugero: ibisabwa n’amabwiriza, ibyateza ingorane n’ibindi)? ………………………………………………………………………………………… ………………………………………………
5. garagaza ushinzwe guha imari shingiro sosiyete zigenzurwa ndetse n’izindi sosiyete zifite aho zihuriye n’itsinda………………………………………………………………………………… ……………………………………………………………….
6. Sobanura mu magambo make politiki y’itsinda ry’ibigo by’ubwishingizi yerekeye imari shingiro igomba kuba ibitswe, ukwiyongera kw’imari shingiro n’ inyungu ku migabane. ………………………………………………………………………………………… ………………………………………………………
7. Ni izihe raporo zikorwa n’ubuyobozi bukuru zerekeye ibibazo bifitanye isano n’imari? ………………………………………………………………………………………… ……………………………………………………….
8. Ni ibiki bibujijwe ku ihererekanya ry’imari hagati y’ibigo byabyawe n’umwishingizi ku bindi byaba ibyo mu gihugu na/cyangwa ibigo mvamahanga?

Official Gazette n° Special of 17/06/2022 79 F. Ibikorwa by’ubucuruzi ibigo biri mu itsinda rimwe cyangwa ibyo bifitanye isano byakoranye hagati yabyo n’igihombo byagira bitewe no guhomba kw’ishoramari ryabyo

1. Sobanura politiki ngenderwaho ku rwego rw’itsinda ku byerekeranye no gukorana ibikorwa by’ubucuruzi ku bigo biri mu itsinda rimwe /politiki ngenderwaho mu kugena ibiciro by’ikiguzi cy’ubwishingizi ku bikorwa by’ubucuruzi ibigo biri mu itsinda rimwe bigirana
2. Ni ubuhe bwoko bw’ibikorwa by’ubucuruzi ibigo biri mu itsinda rimwe cyangwa ibyo bifitanye isano bikorana hagati yabyo cyangwa ubundi buryo bw’imikoranire bukoreshwa mu itsinda ry’ibigo by’ubwishingizi (urugero: ibikorwa bihuriyeho ugura n’ugurisha bafite ubahuza, n’ibindi) biteye bite?
3. Amafaranga agenda ku bikorwa by’ubucuruzi ibigo biri mu itsinda rimwe cyangwa ibyo bifitanye isano byakoranye hagati yabyo angana ate?
4. Ni iziihe ngamba itsinda ry’ibigo by’ubwishingizi rifite zerekeye ibikorwa by’ubucuruzi bikorana hagati yabyo ndetse n’ibyateza ingorane bishamikiye kuri ibyo bikorwa? Ni gute ingorane zaterwa n’ibikorwa by’ubucuruzi ibigo biri muitsinda rimwe ry’ibigo by’ubwishingizi ndetse n’ibigo bifitanye isano bikorana hagati yabyo zikurikiranwa?
5. Vuga mu magabo avunaguye, vuga politiki yerekeye ibikorwa by’ubucuruzi bikoranywe n’ibigo biri mu itsinda rimwe ndetse yerekeye ingorane zaterwa n’ibikorwa ibigo biri mu itsinda rimwe bigirana.
6. Vuga muri rusange ingamba zihari zerekeye ibikorwa by’ubucuruzi bikoranywe n’ibigo biri mu itsinda ry’ubwishingizi rimwe ndetse n’ingorane zaterwa n’ibyo bikorwa.
7. Ni gute ibikorwa by’ubucuruzi bigiranywe n’ibigo biri mu itsinda rimwe hagati yabyo ndetse n’ibigobifitanye isano hagati yabyo ndetse n’ibyateza ingorane byaturuka kuri ibyo bikorwa bikurikirwanwa?
8. Ni izihe raporo zikorwa n’ubuyobozi bukuru zerekeye ibikorwa by’ubucuruzi bikoranywe n’ibigo biri mu itsinda rimwe cyangwa ibigo bifitanye isano hagati yabyo ndetse n’ibyateza ibyago byabikomokaho? Ese izo raporo zitangwa inshuro zingahe
9. Tanga ibisobanuro birambuye ku bikurikira byerekeye ibikorwa by’ubucuruzi bigiranywe n’ibigo biri mu itsinda rimwe: i. Imigabane buri kigo kigiye gifite mu kindi (hagati yabyo) uretse imigabane ihuriweho, niba ihari ii. Ingwate, inguzanyo n’imyenda byahawe cyangwa byakiriwe n’andi masosiyete abarirwa mu itsinda ry’ibigo by’ubwishingizi;

Official Gazette n° Special of 17/06/2022 80 iii. Amafaranga yateganyirijwe imirimo y’ubuyobozi n’andi masezerano ya serivisi zitangwa; iv. Imyenda yahawe abanyamigabane banini (harimo inguzanyo n’imyenda bitabarirwa mu ishusho y’umutungo nk’inguzanyo zemerewe abantu cyangwa ingwate); v. imyenda ikomoka ku mitungo yabikijwe n’abakiriya mu yandi masosiyete abarirwa mu itsinda ry’ibigo; vi. Imitungo yaguzwe n’iyagurishijwe andi masosiyete abarirwa mu itsinda ry’ibigo vii. Kwikuraho ibyateza ingorane binyuze mu bwishingizi bw’abishingizi. 10. Tanga ibisobanuro birambuye ku bikurikira byerekeye ingorane zaterwa n’ibikorwa by’ubucuruzi bigiranywe n’ibigo biri mu itsinda rimwe: i. amasezerano yakozwe; ii. Amasezerano mwagiranye n’itsinda ry’abantu ku giti cyabo cyangwa abo mufitanye isano iii. amasezerano mwagiranye n’abantu bari mu turere twihariye iv. Urwego rw’ibikorwa runaka (banking sector,…) v. serivisi yihariye vi. Abatanga serivisi, urugero: serivisi zitangirwa ku cyicaro /ku biro by’ikigo vii. Ibiza kamere cyangwa ibyago G. Ishusho y’imicungire y’ibyateza ingorane

1. Garagaza politiki y’imicungire y’ibyateza ingorane mu itsinda ry’ibigo by’ubwishingizi.
2. Ni ibihe byateza ngorane b’ingenzi itsinda ryahura nabyo ?
3. Ni gute itsinda ry’ibigo by’ubwishingizi rimenya, ripima, rikurikirana kandi rikagenzura buri bwoko bw’icyateza ingorane (aho bishoboka, erekana ubwoko bw’uburyo bwifashishwa, n’ibindi)?
4. Haba hari bimwe mu bigize imicungire y’ibyateza ingorane bishyirwa mu bikorwa ku rwego rw’itsinda cyangwa ku rwego rwegerejwe buri kigo ? (Urugero: guhuriza hamwe amakuru akusanywa, kwegereza buri kigo uburyo bwo kugena igipimo

Official Gazette n° Special of 17/06/2022 81 ntarengwa)? Ni ibihe byateza ingorane bicungirwa ku rwego rw’itsinda bikozwe n’ikigo kimwe ? Erekana ibigo birebwa n’iki cyemezo. Ni uruhe ruhare abayobozi b’uturere ibigo biherereyemo cyangwa mu karere bagira mu micungire y’ibyateza ingorane? 5. Ni ubuhe buryo bwo kugenzura ibyateza ingorane itsinda ryashyizeho? 6. Ni izihe gahunda ubuyobozi bufite ku birebana no gusuzuma ibyahungabanya ikigo, n’icyakorwa igihe uburyo busanzwe bukoreshwa butagikora cyangwa butagikora neza no kongera gukora isuzuma rihinyuza? H. Imicungire y’amafaranga abitse

1. Sobanura muri make politiki itsinda rifite mu gucunga amafaraga abitse
2. Ni nde ushinzwe imicungire y’amafaranga abitse ku rwego rw’itsinda ry’ibigo no ku rwego rw’ikigo ryabyaye?
3. Ni nde ushinzwe guteganya icyakorwa igihe amafaranga ntayahari
4. Ni izihe raporo zikorwa ku byerekeye ingorane zavuka zerekeranye no kubura amafaranga kandi izo raporo zitangwa inshuro zingahe? I. Uburyo bw’ibaruramari no no gushinga imwe mu mirimo y’ikigo abatari abakozi bacyo
5. Sobanura muri make politiki ngenderwaho mu ibaruramari ry’itsinda
6. Ni uruhe rwego mu itsinda ry’ibigo rushinzwe ibibazo byerekeye ibaruramari?
7. Ibyavuye mu ikoreshwa rya politiki z’ibaruramari zikoreshwa mu bihugu bitandukanye bitandukanye zihuzwa gute ku rwego rw’itsinda?
8. Ni ubuhe bwoko bwa raporo ku makuru yerekeye ubuyobozi zikorwa n’urwego rw’ubugenzuzi bw’imari? Izo raporo rakorwa inshuro zingahe?
9. Urwego rw’umurimo w’ubugenzuzi bw’imari rucungwa rute ? (ku rwego rw’itsinda , ku rwego rw’uturere ibigo biherereyemo no ku rwego rw’umurimo w’ubucuruzi)
10. Ni ubuhe buryo bwashyizweho mu rwego rwo gutahura no gukosora amakosa yo kutubahiriza igenzura ry’imbere mu kigo, amakosa yo kutubahiriza amabwiriza n’ibindi bibazo byo kudakurikiza ibisabwa?
11. Niba hari amasezerano yo gushinga undu utari umukozi w’ikigo imwe mu mirimo, erekana ayo masezerano ndetse n’ikiguzi cyayo
12. Garagaza amafaranga yose yakoreshejwe mu byerekeye imirimo ijyanye n’ibikorwa by’itsinda n’ibigo rifitemo imigabane ndetse na serivisi zatanzwe.

Official Gazette n° Special of 17/06/2022 82 J. Uburyo bwo guhererekanya amakuru

1. Garagaza ibikorwa remezo by’ikoranabuhanga (ICT) bwunganira ibikorwa by’ubucuruzi muri iki gihe werekana, mu mbonerahamwe, uburyo bwa programu zashyizweho n’aho zifatira inzira izihuza n’imiyoboro. Sobanura birambuye icyiciro ugezeho ukoresha muri iki gihe ukurikije uburyo bwose bw’ingenzi uzifashisha.
2. Sobanura birambuye amagenzura yihariye y’imbere mu kigo n’uburyo bw’imicungire y’umutekano byashyizweho mu rwego rwo kurinda umutekano w’imiterere ya mudasobwa ubwayo n’ubundi buryo bukoreshwa mu kurinda umwimerere w’inyandiko ziyirimo.
3. Ese itsinda rifite inama y’ubutegetsi/komite z’ubuyobozi zikurikirana ibibazo bijyanye n’ikoranabuhanga (ICT) Omekaho inyandiko zisobanura amategeko n’amabwiriza za komite bireba zigenderaho.
4. Garagaza politiki itsinda ry’ibigo rigenderaho mu Micungire Rusange ya ICT, Umutekano w’Amakuru n’Imicungire y’Ikomeza ry’Imirimo.
5. Ese itsinda ry’ibigo cyangwa kimwe mu bigo bibishamikiyeho bikora amasesengura yemewe agamije guhangana n’ibyateza ingorane mu ikoranabuhanga n’itangazabumenyi mu itumanaho (ICT)? Omekaho raporo iheruka y’isesengura ry’ibyateza ingorane urweg rwa ICT.
6. Garagaza uburyo bukurikizwa n’itsinda ry’ibigo mu guteza imbere uburyo bukoreshwa, kugura ibikoresho, kubikwirakwiza n’imicungire y’impinduka zikorwa mu itsinda ry’ibigo. K. Itsinda ry’ibigo bitagenzurwa
7. Ese haba hari amasosiyete atagenzurwa abarizwa mu mu itsinda ry’ibigo bw’ubwishingizi?
8. Niba bahari, ni iyihe miterere y’imirimo ikorwa n’ayo masosiyete?
9. Ni gute ibigo bitagenzurwa biba umutungo w’itsinda ry’ibigo kandi bigacungwa n’iryo tsinda ry’ibigo by’ubwishingizi?
10. Kora urutonde rw’abantu bayobora ibi bigo bitagenzurwa. Amazina y’abari mu buyobozi n’abari mu nama y’ubutegetsi)
11. Ibyo bigo biherereye he?

Official Gazette n° Special of 17/06/2022 83 APPENDIX OF REGULATION N° 45/2022 OF 02/06/2022 ON GROUP-WIDE SUPERVISION FOR INSURERS INFORMATION FROM INSURERS The Supervisory Authority has designed this questionnaire in order to evaluate analyses and understand the groups to which insurance companies and financial institutions belong. The responses to the questionnaire will provide the Supervisory Authority with background information on the functioning of your group including the organizational and management structure and internal controls, and the unique risks facing the subsidiaries that are part of the group. In addition, this will help identify conditions or issues that might require supervisory attention. Responses to the questionnaire will be considered in conjunction with a quantitative assessment. The qualitative and quantitative assessments will provide an indication of the overall level of risk and quality of risk management within the insurance group, which will be used in determining the supervisory strategy for the insurance group. The questionnaire covers Organizational Structure, Corporate Governance, Risk Management and Management Oversight. Please provide us with copies of the relevant documents to support your responses, where appropriate. A. Historical background and general information Provide a brief history of the group, detailing incorporation dates, earlier names, mergers, and major events (e.g. listing of stock exchanges). Incorporation dates Earlier names Mergers Major events B. Shareholding Shareholding structure of the group as at…………………………………………………………………………….(date) Number of shareholders Number of shares held Percentage of shares (from 5% and above) Private companies Foreign: 1. 2.

Official Gazette n° Special of 17/06/2022 84 3. 4. Local 1. 2. 3. 4. Individuals Foreign 1. 2. 3. 4. Local 1. 2. 3. 4. Sub-total private sector shareholders Public sectors enterprises and government Foreign 1. 2. 3. 4. Local 1. 2. 3. 4. Total shareholders C. Organizational Structure, Corporate Governance and Management Oversight

1. Provide the insurance group’s organizational chart, showing the holding company’s associates and subsidiaries (identifying 5% shareholding).
2. Provide the insurance group’s management structure.
3. Provide the insurance group’s business activities structure.

Official Gazette n° Special of 17/06/2022 85 4. Which legal entities are regulated and by whom? Which entities are unregulated? Who is responsible for coordinating Supervisory Authorityy relationships in the insurance group and in each legal entity? Information on Supervisory Authoritys of subsidiary institutions may be presented as follows: Legal entity Supervisory Authority Coordinator with each entity 4. 5. 6. Directors of Insurance group or financial conglomerate Names Designation (Executive, Non￾executive and independent). Qualification and experience Areas of responsibility and /or board committee membership Contact details 1. 2. 3. 4. 5. 6. 7. 8. 9. Directors for subsidiary or affiliates Name Designation (Executive, Non￾executive and independent). Qualification and experience Areas of responsibility and /or board committee membership Contact details 1. 2. 3.

Official Gazette n° Special of 17/06/2022 86 D. Provide a list of all senior management and their responsibilities for the insurance group and all the subsidiaries. This information may be presented as follows: Senior management of the insurance group/conglomerate Name Designation Areas of responsibilities Contact details 1. 2. 3. 4. Senior management in subsidiary or affiliates Name Designation Areas of responsibilities Contact details 1. 2. 3. 4.

1. How is the insurance group managed and controlled (ie management style and structures) - on a global basis, on a regional, country or business line basis, or some combination of these? Provide details.
2. Which functions are undertaken centrally at group level?
3. What responsibilities do different types of managers (e.g. legal entity, corporate, business line, etc.) have within the holding company and how do these managers interact? Provide details relating to their reporting lines.
4. Provide an organizational chart(s) of the insurance subsidiaries (both local and foreign) in the insurance group showing all departments and divisions List of all branches of subsidiaries The geographic location of branch Quantification of assets (amount)/each branch Quantification of assets (Percentage)/ each location)

E. Capital resources

1. What is the group’s capital structure?

Official Gazette n° Special of 17/06/2022 87 ………………… 2. What is the group’s capital allocation strategy? ………………………………. 3. Where is capital held within the group (group level or subsidiary level)? ……………………………… 4. What factors influence the allocation of capital across the group (e.g. Supervisory Authorityy factors, risk factors, etc.)? …………………… 5. Indicate who is responsible for capitalizing the subsidiaries and associates. ………………………………. 6. Briefly, describe and/or provide the capital retention, capital growth and dividend policies of the group. …………………………………… What management information reports are produced on capital-related issues? ………………………………. What are the restrictions to the movements of capital among subsidiaries between domestic and/ or international establishments? ………………………. F. Intra-group and related entity transactions and financial exposures

1. Describe the group’s policy on intra-group exposures/intra-group pricing policy
2. What is the nature of intra-group/related entity transactions or other arrangements used within the group (e.g. servicing agreements, back-to-back transactions, etc.)?
3. What is the volume of intra-group/related entity transactions?
4. What is the group’s overall strategy with respect to intra-group transactions and exposures? How are intra-group and related entity exposures and transactions monitored?
5. Briefly, describe the group’s policy on intra-group exposures. Briefly, explain the group’s overall strategy with respect to intra-group transactions and exposures? How are intra-group and related entity exposures and transactions monitored?
6. What types of management information reports are produced on intra-group and related entity transactions and exposures? How frequently are these reports produced?
7. Kindly provide details on the following as relating to intra-group transactions: i. Cross shareholdings other than cyclical, if any ii. Guarantees, loans and commitments provided to, or received from other companies in the group; iii. The provision of management and other service arrangements;

Official Gazette n° Special of 17/06/2022 88 iv. Exposures to major shareholders (including loans and off-balance sheet exposures such as commitments or guarantees); v. Exposures arising through placement of client assets with other group companies; vi. Purchases or sales of assets with other group companies and vii. Transfer of risk through reinsurance. 7. Kindly provide details on the following as relating Intra-group transactions risk Concentrations: i. individual counterparties ii. groups of individual counterparties or related entities iii. Counterparties in specific geographical locations iv. Industry sectors (secteur bancaire) v. Specific products vi. Service providers e.g. back office services vii. Natural disasters or catastrophes G. Risk management profile

1. Provide the insurance group-wide risk management policy.
2. What are the group’s major risks?
3. How does the group identify, measure, monitor and control each type of risk (if applicable, indicate types of models, etc.)?
4. Which risk management reports are available to senior management and the board of directors? How frequently are these reports produced
5. Are there elements of risk management that are implemented on a centralized or decentralized basis (e.g. centralization of information capture, decentralization of limit setting process)? Which risks are managed centrally by one legal entity? Indicate the entities concerned. What role do regional or geographic managers play in risk management?
6. What risk control mechanisms does the group have in place?
7. What are management’s plans with respect to stress testing, contingency planning and back testing? H. Liquidity management
8. Explain briefly the group’s liquidity policy

Official Gazette n° Special of 17/06/2022 89 2. Who is responsible for liquidity management at group and subsidiary level? 3. Who is responsible contingency funding planning? 4. Which reports are produced on liquidity risk and how frequently are these reports produced? I. Accounting systems and outsourcing

1. Briefly explain the group’s accounting policy.
2. What area(s) of the group is/are responsible for accounting issues?
3. What are the responsibilities and reporting lines of this area?
4. How are the results of using the accounting policies of different jurisdictions reconciled at group level?
5. What types of management information reports are produced by the financial control function? What is the frequency of these reports?
6. How is the financial control function managed (centrally, along geographic lines, business lines)?
7. What mechanisms are in place to identify and correct internal control breaches, violations, and other issues of non-compliance?
8. If any outsourcing arrangements with any institution, provide such arrangements and related cost
9. Provide all management fees paid to the group and other affiliates as well as the service rendered. J. Information systems
10. Provide ICT architecture currently supporting business operations showing, in schematic view, the application systems deployed and their interfaces. Give details of the current versions of all major systems.
11. Provide the details of internal controls and security management systems in place to secure both hardware and software systems.
12. Does the group have board/ management committees overseeing ICT issues? Attach the relevant committees’ terms of reference.
13. Provide the group’s policies for General ICT Management, Information Security and Business Continuity Management.
14. Does the group/ or any of its subsidiaries carry out formalized ICT risk assessments? Attach the latest ICT risk assessment report

Official Gazette n° Special of 17/06/2022 90 6. Provide the group’s procedures for systems development, acquisitions and deployment and change management. K. Unregulated businesses within the groups

1. Does the insurance group have unregulated companies?
2. If yes, what is the nature of the activities conducted by those companies?
3. How unregulated entities are owned and held within the group?
4. Kindly list persons governing these unregulated entities. (Management and Board members)
5. Where are those institutions located?

Official Gazette n° Special of 17/06/2022 91 ANNEXE DU REGLEMENT N° 45/2022 DU 02/06/2022 RELATIF AU CONTÔLE A L'ÉCHELLE DU GROUPE POUR LES ASSUREURS INFORMATIONS ISSUES DES ASSUREURS L’Autorité de contrôle a conçu ce questionnaire afin d’évaluer, analyser et comprendre les groupes auxquels appartiennent les sociétés d’assurance et les institutions financières. Les réponses au questionnaire fourniront au Autorité de contrôle des informations générales sur le fonctionnement de votre groupe, y compris la structure organisationnelle et de direction et les contrôles internes ainsi que les risques uniques auxquels sont confrontées les filiales qui font partie du groupe. De plus, le questionnaire permettra d’identifier les conditions ou les problèmes qui pourraient nécessiter une attention de la part des superviseurs. Les réponses au questionnaire seront examinées conjointement avec une évaluation quantitative. Les évaluations qualitatives et quantitatives fourniront une indication du niveau global de risque et de la qualité de la gestion des risques au sein du groupe, qui sera utilisée pour déterminer la stratégie de supervision du groupe. Le questionnaire couvre la structure organisationnelle, la gouvernance d’entreprise, la gestion des risques et la surveillance de la gestion. Veuillez nous fournir les copies des documents originaux pour étayer vos réponses, le cas échéant. A. Contexte historique et informations générales Donner un aperçu historique du groupe qui détaille les dates de constitution en société, les noms antérieurs, les fusions et les événements majeurs (par exemple, la cotation en bourses). Dates de constitution en société Les noms antérieurs Les fusions Événements majeurs B. Actionnariat Structure de l’actionnariat du groupe au …………………………………………………….(date) Nombre d’actionnair es Nombre d’actions détenues Percentage des actions (à partir de 5% et plus) Sociétés privées Etrangères: 1. 2. 3.

Official Gazette n° Special of 17/06/2022 92 4. Locales 1. 2. 3. 4. Particuliers Etrangers 1. 2. 3. 4. Locaux 1. 2. 3. 4. Sous total actionnaires du secteur privé Entreprises du secteur public et gouvernement Etranger 1. 2. 3. 4. Local 1. 2. 3. 4. Total des actions C. Structure organisationnelle, Gouvernance d’entreprise et Surveillance de la Direction générale

1. Mettre en place l’organigramme du groupe, montrant les associés et filiales de la société holding (représentant une participation de 5%).
2. Présenter la structure de la direction générale du groupe.
3. Mettre en place la structure des activités commerciales du groupe.

Official Gazette n° Special of 17/06/2022 93 4. Quelles sont les entités juridiques réglementées et par qui le sont-elles? Quelles sont les entités non réglementées? Qui est responsable de la coordination des relations réglementaires au sein du groupe et dans chaque entité juridique? Les informations relatives aux Autorité de contrôles des filiales peuvent être présentées comme suit: Entité juridique Autorité de contrôle Coordinateur auprès de chaque entité 1. 2. 3. 4. Quels sont les rôles et les responsabilités du conseil d’administration du groupe? Décrivez les membres du conseil d’administration en indiquant si l’administrateur est exécutif, non exécutif ou indépendant. Les informations sur les administrateurs peuvent être présentées comme suit: Administrateurs du groupe d’assurance ou conglomérat financier Noms Désignation (Exécutif, Non- exécutif et indépendant). Qualification et expérience Domaines de responsabilité et / ou appartenance aux comités du conseil d’administration Coordonnées 1. 2. 3. 4. 5. 6. 7. 8. 9. Administrateurs des filiales ou sociétés affiliées Nom Désignation (Exécutif, Non-exécutif et indépendant) Qualification et expérience Domaines de responsabilité et/ou appartenance aux comités du conseil d’administration Coordonnées 1. 2.

Official Gazette n° Special of 17/06/2022 94 3. 4. 5. D. Donner une liste de tous les cadres supérieurs et de leurs responsabilités dans le groupe et toutes les filiales. Ces informations peuvent être présentées sous le format qui suit : Direction générale du groupe d’assurance/ conglomérat Nom Désignation Domaines de responsabiliés Coordonnées 1. 2. 3. 4. Direction générale dans les filiales et les sociétés affiliées Nom Désignation Domaines de Responsabilités Coordonnées 1. 2. 3. 4.

1. Comment le groupe est-il géré et contrôlé (c’est-à-dire le style et les structures de direction) - à l’échelle mondiale, régionale, nationale ou par secteur d’activité, ou une combinaison de ces styles? Donnez-en les détails.
2. Quelles fonctions sont assumées au niveau central et au niveau du groupe?
3. Quelles sont les responsabilités des différents types de cadres supérieurs (par exemple, entité juridique, entreprise, secteur d’activité, etc.) au sein de la société holding et comment ces cadres supérieurs interagissent-ils? Donnez des détails concernant l’hiérarchie des attributions.
4. Fournir un ou des organigrammes des filiales d’assurance (locales et étrangères) du groupe en montrant tous les départements et divisions

Official Gazette n° Special of 17/06/2022 95 Liste de toutes les branches des filiales La situation géographique de la branche Quantité des actifs (montant)/chaque branche Quantité des actifs (pourcentage)/chaque branche) 1. 2. 3. E. Ressources en capital 1.Quelle est la structure du capital du groupe? …………………………………………….. 2.Quelle est la stratégie d’allocation du capital du groupe? …………………………………………………………. 3.Où est détenu le capital au sein du groupe (niveau groupe ou niveau filiale) ……………………………………………………………………………… 4.Quels sont les facteurs qui influencent la répartition du capital au sein du groupe (par exemple, les facteurs réglementaires, les facteurs de risque, etc.? ……………………………………………………………………………. 5.Indiquez qui est responsable de la capitalisation des filiales et des associés. ……………………………………………………………………………. 6.Décrivez et / ou citez les politiques de rétention du capital, de croissance du capital et du dividende du groupe. …………………………………… Quels rapports d’information de gestion sont produits sur les questions liées au capital? ………………………………. Quelles sont les restrictions aux mouvements de capitaux entre filiales entre établissements nationaux et / ou internationaux? ………………………. F. Transactions et engagements financiers intragroupes et entre entités liées

1. Décrire la politique du groupe en matière d’engagements intragroupes et de politique de tarification intragroupe
2. Quelle est la nature des transactions intragroupes et entre entités liées ou d’autres accords utilisés au sein du groupe (par exemple, accords de remboursement de dette, transactions combinées, etc.)?
3. Quel est le volume de transactions intragroupes et entre entités liées?
4. Quelle est la stratégie globale du groupe en ce qui concerne les transactions et engagements intra-groupes? Comment les engagements et les transactions intra￾groupe et entre entités liées sont-elles contrôlées?
5. Quelle est la politique du groupe sur les engagements intra-groupe? Quelle est la stratégie globale du groupe en matière de transactions et engagements intra-groupe? Comment les engagements et transactions intra-groupe et entités liées sont-elles contrôlées?

Official Gazette n° Special of 17/06/2022 96 6. Quels types de rapports d’informations de gestion sont produits sur les transactions et engagements intra-groupe et entités liées? Sous quelle périodicité ces rapports sont-ils produits? 7. Veuillez fournir des détails sur les éléments suivants concernant les transactions intragroupes: i. Participations croisées autres que cycliques, le cas échéant ii. Garanties, prêts et engagements accordés ou reçus d’autres sociétés du groupe; iii. La prestation de services de gestion et autres services; iv. Les engagements consentis aux principaux actionnaires (y compris les prêts et les engagements hors bilan tels que les engagements ou les garanties); v. Les engagements résultant du placement d’actifs de clients auprès d’autres sociétés du groupe; vi. Achats ou ventes d’actifs avec d’autres sociétés du groupe et vii. Transfert de risque par voie de réassurance. 8. Veuillez fournir des détails sur les éléments suivants concernant les concentrations de risques liés aux transactions intragroupes: i. Contreparties individuelles ii. Groupes de contreparties individuelles ou entités liées iii. Contreparties dans des zones géographiques spécifiques iv. Secteurs industriels v. Produits spécifiques vi. Fournisseurs de services, par exemple services de back office vii. Catastrophes naturelles ou catastrophes G. Profil de gestion des risques

1. Indiquer la politique de gestion des risques à l’échelle du groupe d’assurance.
2. Quels sont les principaux risques du groupe?
3. Comment le groupe identifie, mesure, surveille et contrôle chaque type de risque (le cas échéant, indiquez les types de modèles, etc.)?
4. Quels rapports de gestion des risques sont à la disposition de la direction générale et du conseil d’administration? Sous quelle périodicité ces rapports sont-ils produits

Official Gazette n° Special of 17/06/2022 97 5. Existe-t-il des éléments de gestion des risques qui sont mis en œuvre de manière centralisée ou décentralisée (par exemple, centralisation de la saisie d’informations, décentralisation du processus de fixation des limites)? Quels risques sont gérés de manière centralisée par une entité juridique? Indiquez les entités concernées. Quel rôle jouent les managers régionaux ou géographiques dans la gestion des risques? 6. Quels mécanismes de contrôle des risques le groupe a-t-il mis en place? Qui contrôle les limites ou autres mécanismes? 7. Quels sont les plans de la direction générale en ce qui concerne les tests de résistance au stress, la planification d’urgence et les tests prédictifs? H. Gestion des liquidités

1. Enoncer la politique des liquidités du groupe.
2. Qui est responsable de la gestion de la liquidité au niveau du groupe et des filiales? Quels éléments de la gestion de la liquidité au niveau du groupe (au siège) et quels éléments sont menés au niveau inférieur ou de l’entité juridique dans le groupe.
3. Qui est responsable de la planification du financement en cas de crise et d’urgence?
4. Quels rapports sont produits sur le risque de liquidité et sous quelle périodicité ces rapports sont-ils produits? I. Systèmes comptables et externalization
5. Expliquer la politique comptable du groupe.
6. Quel (s) domaine (s) du groupe est / sont responsable (s) des problèmes comptables?
7. Quelles sont les responsabilités et les rapports hiérarchiques dans ce domaine?
8. Comment se fait le rapprochement des résultats de l’utilisation des méthodes comptables des différentes juridictions au niveau du groupe?
9. Quels types de rapports d’informations de gestion sont produits par la fonction de contrôle financier? Quelle est la périodicité de ces rapports?
10. Comment la fonction de contrôle financier est-elle gérée (de manière centralisée, suivant les lignes géographiques, de secteurs d’activité)?
11. Quels mécanismes ont été mis en place pour identifier et corriger les violations du contrôle interne, les violations et autres problèmes de non-conformité?
12. Si des accords d’externalisation avec une institution sont prévus, indiquer ces accords et les coûts y afférents
13. Indiquer tous les frais de gestion payés au groupe et aux autres affiliés ainsi que les services prestés.

Official Gazette n° Special of 17/06/2022 98 J. Systèmes d’information

1. Mettre à disposition une architecture ICT supportant actuellement les opérations commerciales montrant, sous format schématique, les systèmes d’application déployés et leurs interfaces. Donnez des détails sur les versions actuelles de tous les principaux systèmes.
2. Fournir les détails des contrôles internes et des systèmes de gestion de la sécurité mis en place pour sécuriser les systèmes matériels et logiciels.
3. Le groupe dispose-t-il d’un conseil d’administration / des comités de gestion qui supervisent les questions relatives aux TIC? En annexe, ajoutez les attributions des comités concernés
4. Fournir les politiques du groupe en matière de gestion générale des TIC, de la sécurité de l’information et de la gestion de la continuité des activités.
5. Le groupe / ou l’une de ses filiales effectue-t-il des évaluations formelles des risques liés aux TIC? En annexe, ajoutez le dernier rapport d’évaluation des risques liés aux TIC
6. Mettre à disposition des procédures utilisées par le groupe pour le développement des systèmes, les acquisitions et le déploiement et la gestion des modifications intervenues. K. Entreprises non réglementées au sein du groupe
7. Le groupe d’assurance compté-t-il des sociétés non réglementées?
8. Si oui, quelle est la nature des activités menées par ces entreprises?
9. Comment les entités non réglementées sont-elles gérées et détenues au sein du groupe?
10. Veuillez indiquer les personnes qui dirigent ces entités non réglementées. (Membres de la direction et du conseil d’administration)
11. Où sont situées ces institutions?

Official Gazette n° Special of 17/06/2022 99 BIBONYWE KUGIRANGO BISHYIRWE KU MUGEREKA W’AMABWIRIZA RUSANGE N° 45/2022 YO KU WA 02/06/2022 YEREKEYE IGENZURA RYO KU RWEGO RW’AMATSINDA MU BIGO BY’UBWISHINGIZI SEEN TO BE ANNEXED ON REGULATION N° 45/2022 OF 02/06/2022 ON GROUP-WIDE SUPERVISION FOR INSURERS VU POUR ETRE ANNEXE REGLEMENT N° 45/2022 DU 02/06/2022 RELATIF AU CONTÔLE A L'ÉCHELLE DU GROUPE POUR LES ASSUREURS Kigali, 02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho Ikirango cya Repubulika: Seen and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr. UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux

Official Gazette n° Special of 17/06/2022 100 AMABWIRIZA RUSANGE N° 46/2022 YO KU WA 02/06/2022 AGENGA IHINDUKA RY’IMIGABANE, IKOMATANYA N’IHEREREKANYA RY’IMITUNGO N’IMYENDA KU BISHINGIZI N’ABISHINGIZI B’ABISHINGIZI ISHAKIRO UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere: Icyo aya mabwiriza rusange agamije Ingingo ya 2: Ibisobanuro by’amagambo Ingingo ya 3: Abarebwa n’aya mabwiriza rusange Ingingo ya 4: Ibibujijwe Ingingo ya 5: Ibibujijwe byerekeye imigabane Ingingo ya 6: Ubunyangamugayo n’ubushobozi: Ingingo ya 7: Isuzuma ribanziriza icyemezo REGULATION N° 46/2022 OF 02/06/2022 GOVERNING CHANGE IN SHAREHOLDING, AMALGAMATION AND TRANSFER OF PORTFOLIO OF INSURERS AND REINSURERS TABLE OF CONTENTS CHAPTER ONE: GENERAL PROVISIONS Article One: Purpose Article 2: Definitions of terms Article 3: Scope Article 4: Prohibitions Article 5: Restrictions on shareholding Article 6: Fit and proper requirements Article 7: Pre- approval assessment RÈGLEMENT N° 46/2022 DU 02/06/2022 RÉGISSANT LA MODIFICATION DE L’ACTIONNARIAT, LA FUSION ET LE TRANSFERT DE PORTEFEUILLE DES ASSUREURS ET RÉASSUREURS TABLE DES MATIERES CHAPITRE PREMIER: DISPOSITIONS GÉNÉRALES Article premier: Objet Article 2: Définitions des termes Article 3: Champ d’application Article 4: Interdictions Article 5: Restrictions relatives à l’actionnariat Article 6: Exigences d’intégrité et de compétence Article 7: Évaluation préalable à l’approbation

Official Gazette n° Special of 17/06/2022 101 UMUTWE WA II: IBISABWA MU KONGERA NO KWEGUKANA IMIGABANE MU KIGO CY’UBWISHINGIZI CYANGWA ICY’UBWISHINGIZI BW’ABISHINGIZI Ingingo ya 8: Ugusaba gushyikirizwa Urwego rw’Ubugenzuzi Ingingo ya 9: Kwemera cyangwa kwanga ubusabe Ingingo ya 10: Ibipimo byo kugenzura uruhare rugaragara Ingingo ya 11: Ibindi bisabwa byihariye ku ihererekanya ry’uruhare rugaragara mu migabane n’icungwa ry’inyungu UMUTWE WA III: IKOMATANYA, IHEREREKANYA RY’IMITUNGO N’IMYENDA N’UGUHINDURA UBWISHINGIZI MAGIRIRANE Icyiciro cya mbere: Ikomatanya n’ihererekanya ry’imitungo n’imyenda Ingingo ya 12: Gusaba icyemezo gihamya ko nta nzitizi CHAPTER II: REQUIREMENTS FOR INCREASE AND ACQUISITION OF SHARES IN AN INSURER OR REINSURER Article 8: Application to the Supervisory Authority Article 9: Approval or rejection of application Article 10: Supervisory control levels of significant holding Article 11: Other specific requirements on the transfer of significant holding and controlling interests CHAPTER III: AMALGAMATION, PORTFOLIO TRANSFER AND DEMUTUALIZATION Section one: Amalgamation and portfolio transfer Article 12: Application for non-objection CHAPITRE II: EXIGENCES RELATIVES À L’AUGMENTATION ET À L’ACQUISITION D’ACTIONS DANS UNE SOCIÉTÉ D’ASSURANCE OU DE RÉASSURANCE Article 8: Demande à l’autorité de contrôle Article 9: Approbation ou rejet de la demande Article 10: Niveaux de contrôle de supervision de la participation importante Article 11 : Autres exigences spécifiques concernant le transfert de participation importante et contrôle d’intérêt CHAPITRE III : FUSION, TRANSFER DE PORTEFEUILLE ET DÉMUTUALISATION Section première : Fusion et transfert de portefeuille Article 12: Demande de non-objection

Official Gazette n° Special of 17/06/2022 102 Ingingo ya 13: Imenyesha ry’ikomatanya cyangwa iry’ihererekanya ry’imitungo n’imyenda Igingo ya 14: Gusaba kwemererwa burundu Ingingo ya 15: Igisubizo cya nyuma ku busabe Ingingo ya 16: Kwemererwa burundu ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda Ingingo ya 17: Ibisabwa nyuma y’ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda Ingingo ya 18: Ibikwa ry’ibitabo Icyiciro cya 2: Guhindura ubwishingizi magirirane Ingingo ya 19: Gusaba guhindura ubwishingizi magirirane Ingingo ya 20: Gahunda y’ihindura ry’ubwishingizi magirirane no kuvugurura amategeko-shingiro Ingingo ya 21: Ibikubiye muri dosiye isaba Article 13: Notice of amalgamation or portfolio transfer Article 14: Application for final approval Article 15: Final decision to the application Article 16: Final approval of amalgamation or portfolio transfer Article 17: Requirements for post amalgamation or portfolio transfer Article 18: Maintenance of records Section 2: Demutualisation Article 19: Application for demutualization Article 20: Plan of demutualization and amendment of articles of association Article 21: Content of the application file Article 13 : Annonce de fusion ou transfert de portefeuille Article 14 : Demande d’approbation finale Article 15 : Réponse finale à la demande Article 16: Approbation finale de la fusion de sociétés ou le transfert de portefeuille Article 17: Conditions exigées après la fusion ou le transfert de portefeuille Article 18: Tenue des registres Section 2: Démutualisation Article 19: Demande de démutualisation Article 20: Plan de démutualisation et amendement de statuts Article 21: Contenu du dossier de la demande

Official Gazette n° Special of 17/06/2022 103 Ingingo ya 22: Kwemererwa guhindura ubwishingizi magirirane Ingingo ya 23:Gushyira mu bikorwa gahunda yo guhindura ubwishingizi magirirane UMUTWE WA IV: INGINGO ZISOZA Ingingo ya 24: Ibihano Ingingo ya 25: Itegurwa, isuzumwa n’iyemezwa ry’aya mabwiriza rusange Ingingo ya 26: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Ingingo ya 27: Igihe aya mabwiriza rusange atangirira gukurikizwa Article 22: Final approval of demutualization Article 23: Execution of the demutualization plan CHAPTER IV: FINAL PROVISIONS Article 24: Penalties Article 25: Drafting, consideration and approval of this Regulation Article 26: Repealing provision Article 27: Commencement Article 22: Approbation finale de la démutualisation Article 23: Exécution du plan de démutualisation CHAPITRE IV: DISPOSITIONS FINALES Article 24: Sanctions Article 25: Initiation, examen et approbation du présent règlement Article 26: Disposition abrogatoire Article 27: Entrée en vigueur

Official Gazette n° Special of 17/06/2022 104 AMABWIRIZA RUSANGE N° 46/2022 YO KU WA 02/06/2022 AGENGA IHINDUKA RY’IMIGABANE, IKOMATANYA N’IHEREREKANYA RY’IMITUNGO N’IMYENDA KU BISHINGIZI N’ABISHINGIZI B’ABISHINGIZI Ishingiye ku Itegeko N° 48/2017 ryo ku wa 23/09/2017 rigenga Banki Nkuru y’u Rwanda nk’uko ryavuguruwe kugeza ubu, cyane cyane mu ngingo zaryo, iya 6, iya 6 bis, iya 8, iya 9, iya 10 n’iya 15; Ishingiye ku Itegeko N° 030/2021 ryo ku wa 30/06/2021 rigenga imitunganyirize y’umurimo w’ubwishingizi , cyane cyane mu ngingo zaryo, iya 53 n’iya 55; Ishingiye ku Itegeko N° 007/2021 ryo ku wa 05/02/2021 rigenga amasosiyete y’ubucuruzi, cyane cyane mu ngingo zaryo iya 198, iya, iya 199, 200, iya 201, iya 202, iya 203, iya 204, iya 205, iya 206, iya 207 n’iya 208; Isubiye ku Mabwiriza rusange N° 34/2020 yo ku wa 08/06/2020 agenga ihinduka ry’imigabane, ikomatanya n’ihererekanya ry’imitungo n’imyenda ku bishingizi n’abishingizi b’abishingizi; REGULATION N° 46/2022 OF 02/06/2022 GOVERNING CHANGE IN SHAREHOLDING, AMALGAMATION AND TRANSFER OF PORTFOLIO OF INSURERS AND REINSURERS Pursuant to Law N° 48/2017 of 23/09/ 2017 governing the National Bank of Rwanda as amended to date, especially in its articles 6,6 bis, 8, 9, 10 and 15; Pursuant to Law N° 030/2021 of 30/06/2021 governing the organization of insurance business, especially in its articles 53 and 55; Pursuant to Law N° 007/2021 of 05/02/2021 governing companies, especially in its articles 198,199, 200, 201, 202, 203, 204, 205, 206, 207 and 208; Having reviewed the regulation N° 34/2020 of 08/06/2020 governing change in shareholding, amalgamation and transfer of portfolio of insurers and reinsurers; RÈGLEMENT N° 46/2022 DU 02/06/2022 RÉGISSANT LA MODIFICATION DE L’ACTIONNARIAT, LA FUSION ET LE TRANSFERT DE PORTEFEUILLE DES ASSUREURS ET RÉASSUREURS Vu la Loi N° 48/2017 du 23/09/ 2017 régissant la Banque Nationale du Rwanda telle que modifiée à ce jour, spécialement en ses articles 6, 6 bis 8, 9, 10 et 15; Vu la Loi N° 030/2021 du 30/06/2021 régissant l’organisation d’activité d’assurance, spécialement en ses articles 53 et 55 ; Vu la Loi N° 007/2021 du 05/02/2021régissant les sociétés commerciales, spécialement en ses articles 198,199, 200, 201, 202, 203, 204, 205, 206, 207 et 208; Revu le règlement N° 34/2020 du 08/06/2020 régissant la modification de l’actionnariat, la fusion et le transfert de portefeuille des assureurs et réassureurs ;

Official Gazette n° Special of 17/06/2022 105 Banki Nkuru y’u Rwanda muri aya Mabwiriza yitwa « Urwego rw’ubugenzuzi » mu ngingo zikurikira ishyizeho amabwiriza akurikira UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere: Icyo aya mabwiriza rusange agamije Aya mabwiriza rusange agamije gushyiraho ibisabwa n’Urwego rw’Ubugenzuzi kugira ngo rubashe kwemera igikorwa gifitanye isano n’imigabane, ihererekanya ry’imitungo n’imyenda, ikomatanya n’uguhindura ubwishingizi magirirane hagamijwe ihererekanya riboneye ry’umurimo w’ubwishingizi. Ingingo ya 2: Ibisobanuro by’amagambo Muri aya mabwiriza rusange, uretse igihe biteganijwe ukundi, amagambo akurikira asobanura : 1° uruhare rugaragara: amafaranga ashorwa mu kigo cy’ubwishingizi ku buryo butaziguye cyangwa buziguye, ari yonyine cyangwa ari hamwe n’andi, ahwanye nibura na gatanu ku ijana (5%) y’imari shingiro y’ikigo The National Bank of Rwanda hereinafter referred to as the « Supervisory Authority», issue the following regulation: CHAPTER ONE: GENERAL PROVISIONS Article One: Purpose This regulation aims at establishing requirements under which the Supervisory Authority may authorize transactions related to shareholding, portfolio transfer, amalgamation and demutualization with a view to ensuring the orderly transfer of insurance business. Article 2: Definitions of terms In this Regulation, unless the context requires otherwise, the following words and expressions shall mean: 1° significant holding: a shareholding in an insurer that, directly or indirectly, alone or in conjunction with others, represents at least five percent (5%) of the equity capital of the company or voting rights, or that La Banque Nationale du Rwanda ci-après dénommée le « Autorité de contrôle », édicte le présent règlement : CHAPITRE PREMIER: DISPOSITIONS GÉNÉRALES Article premier : Objet Le présent règlement vise à établir des exigences en vertu desquelles l’Autorité de contrôle peut autoriser des transactions en rapport avec l’actionnariat, le transfert de portefeuille, la fusion et à la démutualisation, en vue de garantir le transfert ordonné des activités d’assurance. Article 2 : Définitions des termes Dans le présent Règlement, à moins que le contexte n’en dispose autrement, les mots et expressions suivants signifient : 1° participation importante: une participation dans une société d’assurance qui, directement ou indirectement, seule ou avec d’autres, représentant au moins cinq pour cent (5%) du capital propre de la société ou

Official Gazette n° Special of 17/06/2022 106 cyangwa by’uburenganzira bwo gutora bwa nyirayo cyangwa imuhesha ububasha bwo kugira uruhare runini mu ifatwa ry’ibyemezo birebana n’imicungire y’ikigo cy’ubwishingizi; 2° iyegukana: igikorwa cyo kwegukana ububasha bufatika ku migabane cyangwa umutungo cyangwa ubuyobozi bw’ikigo cy’ubwishingizi bikozwe n’ikindi kigo, biturutse ku igura, habaye igurana ry’imigabane, hakoreshejwe ubwo buryo bwombi, hatanzwe impano cyangwa izungura; 3° ikomatanya: kwibumbira hamwe kw’ibigo by’ubwishingizi bibiri cyangwa byinshi bikora ibikorwa by’ubwishingizi bisa kugira ngo bibe ikigo cy’ubwishingizi kivutse gifite abanyamigabane, imitungo n’imyenda bisa n’ibyari bisanzweho; 4° uguhindura ubwishingizi magirirane: guhindura icyiciro cy’ubwishingizi magirirane ujya mu bwishingizi rusange cyangwa ubwishingizi bw’igihe kirekire; makes it possible to exercise a significant influence over decisions related to the management of an insurer; 2° acquisition: an act of getting an effective control by one insurer over an insurer’s shares or assets or management, following the purchase, an exchange of shares, a combination of both, donation or succession; 3° amalgamation: merger of two or more insurers that operate in the same line of business to form a resulting insurer with the same existing shareholders and assets and liabilities; 4° demutualization: change from mutual insurance category to either, general insurance or to long-term insurance; des droits de vote, ou qui permettent à l’actionnaire d’exercer une influence significative dans la prise de décisions relatives à la gestion de l’assureur; 2° acquisition: un acte d’obtenir le contrôle effectif sur les actions ou les actifs ou la gestion d’un assureur par un autre société , suite à un achat, échange d'actions, combinaison de ces deux dernier, donation ou succession; 3° fusion: fusion de deux ou plusieurs assureurs exerçant la même catégorie d’activités pour former un assureur issu de la fusion ayant les mêmes actionnaires, actifs et passifs existants; 4° démutualisation: passage de la catégorie d’assurance mutuelle à un assurance générale ou à une assurance￾à long terme;

Official Gazette n° Special of 17/06/2022 107 5° umwishingizi magirirane: ikigo cy’ubwishingizi aho ba nyiracyo ari na bo bafatabwishingizi. Inyungu zose zibyawe n’ubwishingizi magirirane zigumishwa mu kigega cyangwa zigasaranganywa abishingiwe nk’inyungu zabyawe n’imigabane cyangwa zigafatwa nk’ikiguzi cy’ubwishingizi; 6° ikigo cy’ubwishingizi cyigenga: ikigo cy’ubwishingizi bwaba ubw’igihe kirekire cyangwa ubw’igihe kigufi cyahawe uruhushya rwo gukora hakurikijwe Itegeko rigenga imitunganyirize y’umurimo w’ubwishingizi; 7° nyir’uruhare rugaragara: umuntu ufite uruhare rugaragara mu kigo cy’ubwishingizi cyangwa cy’ubwishingizi bw’abishingizi; 8° ikigo cya Leta gikora imirimo y’ubucuruzi: ikigo cyose gishyirwaho hakurikije itegeko rishyiraho amategeko rusange agenga ibigo bya Leta kandi inshingano, imiterere n’imikorere byacyo bikaba biteganywa n’amategeko yihariye kandi kikaba kirebererwa n’Urwego rw’Ubugenzuzi rw’ibigo by’imari; 5° a mutual insurer: an insurance entity entirely owned by its policyholders. Any profits earned by a mutual insurance are either retained within the fund or rebated to policyholders in the form of dividend distributions or reduced to future premiums; 6° private insurer: any type of insurer whether long-term or general which is licensed under the Law governing organization of insurance business; 7° a significant owner: a person who holds a significant holding over an insurer or reinsurer; 8° commercial public institutions: any institution established according to Law establishing general provisions governing public institutions and whose establishment, mission, organization and functioning are under specific Laws and which is supervised by the Supervisory Authority of financial institutions; 5° un assureur mutuel : une entité d’assurance possédée entièrement par ses souscripteurs. Tous les bénéfices réalisés par une assurance mutuelle sont soit conservés au sein de la société, soit remboursés aux souscripteurs sous forme de distributions de dividendes ou réduites aux primes futures ; 6° assureur privé: tout type de société d’assurance, à long-terme ou générale, agréée en vertu de la Loi régissant l’organisation des activités d’assurance ; 7° un propriétaire important: une personne qui a une participation importante dans une société d’assurance ou de réassurance; 8° établissement public à caractère commercial: toute institution établie conformément à la Loi Organique portant dispositions générales régissant les établissements publics et dont la création, la mission, l’organisation et le fonctionnement relèvent des lois spécifiques et qui est supervisée par

Official Gazette n° Special of 17/06/2022 108 9° igenzura ry’inyungu: ububasha abantu ku giti cyabo cyangwa ibigo bifite ubuzimagatozi bagira ku mikorere y’ikigo cy’ubwishingizi kubera ko bagifitemo nibura kimwe muri ibi bikurikira: a) hejuru ya mirongo itanu ku ijana (50%) by’imari shingiro ; b) 50% by’uburenganzira bwo gutora mu kigo cy’ubwishingizi cyangwa muri isosiyete y’ubwishingizi ibumbye izindi, igihe ihari; c) uburenganzira bwo gushyiraho no gukuraho abarenze kimwe cya kabiri cy’abagize inama y’ubutegetsi y’ikigo cy’ubwishingizi kandi banayifitemo imigabane; d) ububasha bwatuma ikigo cy’ubwishingizi gihatirwa gufata ibyemezo bitewe n’amasezerano bagiranye cyangwa n’ingingo z’amategeko yihariye akigenga; cyangwa 9° controlling interest: power by which natural persons or legal entities exercises control over an insurer by the holding of any of the following: a) more than fifty percent (50%) in the equity capital; b) 50% of voting rights in either the insurer or the insurer’s holding company, where relevant; c) the right to appoint or remove majority of a directors of an insurer who are at the same time shareholders of that insurer; d) the power to exert influence over an insurer on the basis of a contract entered into with that insurer, or to a clause in the bylaws of said insurer; or l’Autorité de contrôle des institutions financières; 9° contrôle d’intérêt: pouvoir par lequel des personnes physiques ou morales exercent sur un assureur par la détention de l'un(e) de ce qui suit: a) plus de cinquante pour cent (50%) des fonds propres; b) 50% des droits de vote soit de l’assureur, soit de la société holding de l’assureur, le cas échéant; c) le droit de nommer ou de révoquer la majorité des administrateurs d’un assureur qui sont en même temps actionnaires de cet assureur; d) le pouvoir d’exercer une influence dominante sur un assureur en vertu d’un contrat conclu avec celui-ci ou d’une clause des statuts de celui-ci; ou

Official Gazette n° Special of 17/06/2022 109 e) umubare w’imigabane, impapuro mvunjwafaranga cyangwa ububasha bwo gutora muri icyo kigo cy’ubwishingizi cyangwa isosiyete ibumbye izindi y’uwo mwishingizi, igihe bishoboka, bishobora gutuma ubuyobozi bw’icyigo cy’ubwishingizi buhatirwa ku buryo bugaragara gufata ibyemezo butihitiyemo. 10° ikigo cy’ubwishingizi kivutse: ikigo cy’ubwishingizi gikomotse ku iyegukana cyangwa ikomatanya hakurikijwe aya Mabwiriza rusange; 11° ikigo cy’ubwishingizi gitanga: isosiyete y’ubwishingizi yegurira indi sosiyete yakira imitungo n’imyenda byayo; 12° ihererekanya ry’imitungo n’imyenda: ihererekanya ry’imitungo n’imyenda yose cyangwa igice cyabyo, bijyanye n’amasezerano y’ubwishingizi cyangwa ubwishingizi bw’abishingizi iva ku kigo cy’ubwishingizi cyangwa cy’ubwishingizi bw’abishingizi ijya ku kindi kigo. e) such amount of shares, financial instruments or voting power in the insurer or the insurer’s holding company, where relevant, to be able to exercise significant influence over the management of the insurer. 10° resulting insurer: an insurer resulting from acquisition or amalgamation under this Regulation; 11° transferor insurer: the insurer which transfers its assets and liabilities to a receiving insurer; 12° portfolio transfer: the transfer of the whole or part of a portfolio of insurance or reinsurance contracts from one insurer or reinsurer to another. e) le montant des actions, des instruments financiers ou de pouvoir de vote dans la société de l’assureur ou dans la société holding de celui-ci, le cas échéant, afin d’exercer une influence significative sur la direction de l’assureur. 10° assureur issu de la fusion: un assureur issu de l’acquisition ou de la fusion au sens du présent Règlement; 11° assureur cédant: l’assureur qui cède son actif et passif à un assureur acquérant; 12° transfert de portefeuille: transfert de tout ou partie d’un portefeuille de contrats d’assurance ou de réassurance d’un assureur ou de réassureur à un autre.

Official Gazette n° Special of 17/06/2022 110 Ingingo ya 3: Abarebwa n’aya mabwiriza rusange Aya mabwiriza rusange areba abishingizi n’abishingizi b’abishingizi bemewe babiherewe uruhushya. Ingingo ya 4:Ibibujijwe Ikigo cy’ubwishingizi n’icy’ubwishingizi bw’abishingizi bibujijwe, mu buryo ubwo ari bwo bwose, gukora imirimo ikurikira bitabanje kubyemererwa n’Urwego rw’Ubugenzuzi: 1° kongera, kwegukana cyangwa guhererekanya uruhare rugaragara mu migabane cyangwa igenzura ry’inyungu; no 2° gukora igikorwa cy’ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda cyangwa uguhindura ubwishingizi magirirane. Ikigo cy’ubwishingizi bw’igihe kigufi kibujijwe kwikomatanya cyangwa kugirana amasezerano y’iyegukana cyangwa ihererekanya ry’imitungo n’imyenda n’ikigo cy’ubwishingizi bw’igihe kirekire nk’uko n’ikigo cy’ubwishingizi bw’igihe kirekire na Article 3: Scope This Regulation applies to licensed insurers and reinsurers. Article 4: Prohibitions A licensed insurer or a reinsurer shall not, in whatever manner, proceed to any of the following activities without prior approval of the Supervisory Authority: 1° increase, acquire or transfer significant holding or controlling interest; and 2° carry out transaction of amalgamation or portfolio transfer or demutualization. General insurer shall not amalgamate or enter into agreement of acquisitions or portfolio transfer with long-term insurer and vice versa. Article 3 : Champ d’application Le présent Règlement s’applique aux assureurs et réassureurs agréés. Article 4 : Interdictions Un assureur ou réassureur agréé ne peut, de quelque manière que ce soit, entreprendre les activités suivantes sans l’approbation préalable de l’Autorité de contrôle : 1º augmenter, acquérir ou transférer une participation importante ou contrôle d’intérêt ; et 2º faire la transaction de la fusion ou au transfert de portefeuille ou à la démutualisation. L’assureur général ne pourra fusionner ni conclure un accord d’acquisition d’actions ou de transfert de portefeuille avec un assureur à long terme et vice versa.

Official Gazette n° Special of 17/06/2022 111 cyo kibujijwe kubigirana n’ikigo cy’ubwishingizi bw’igihe kigufi. Ingingo ya 5: Ibibujijwe byerekeye imigabane Nta muntu ku giti cye cyangwa ufitanye isano na we cyangwa ikigo gifite ubuzima gatozi harimo ufitanye isano na cyo, bacungwa cyangwa bagenzurwa n’umuntu ku giti cye utari ikigo cy’imari kizwiho imikorere myiza cyangwa ikigo cya Leta gikora imirimo y’ubucuruzi wemerewe gutunga cyangwa kwegukana mu buryo butaziguye cyangwa buziguye imigabane irenze 25% by’ikigo cy’ubwishingizi cyigenga. Ibiteganyijwe mu gika cya mbere cy’iyi ngingo ntibireba Leta y’u Rwanda n’ibigo byayo. Ntibireba kandi Leta z’amahanga, ibigo mpuzamahanga no ku wundi muntu wese igihe Urwego rw’Ubugenzuzi rwabyemeje. Ingingo ya 6: Ubunyangamugayo n’ubushobozi Umuntu wese uhindutse nyir’uruhare rugaragara cyangwa ufite ububasha ku mwishingizi cyangwa umwishingizi w’abishingizi kubera iyegukana cyangwa Article 5: Restrictions on shareholding No natural person including his or her related party or a corporate body including its related party owned or controlled by one natural person other than a sound financial institution or commercial public institutions shall directly or indirectly own or acquire more than twenty five (25%) of the shares of a private insurer. The provisions of Paragraph One of this Article shall not apply to the Government of Rwanda and its institutions nor to foreign governments, international institutions and any other person on conditions that they have been approved by the Supervisory Authority. Article 6: Fit and proper requirements Every person who becomes significant owner or has control over an insurer or reinsurer because of acquisition or portfolio transfer or amalgamation of insurers or reinsurers or Article 5 : Restrictions relatives à l’actionnariat Aucune personne physique, y compris sa partie liée ou une personne morale y compris sa partie liée, détenue ou contrôlée par une personne physique autre qu’une institution financière très réputée ou établissement public à caractère commercial, ne peut posséder ou acquérir directement ou indirectement plus de vingt-cinq (25%) des actions d’un assureur privé. Les dispositions du premier alinéa du présent article ne s’appliquent pas au Gouvernement Rwandais et à ses institutions. Il ne s’applique non plus aux gouvernements étrangers, aux institutions internationales et à toute autre personne à condition que l’Autorité de contrôle les ait approuvés. Article 6: Exigences d’intégrité et de compétence Toute personne qui devient un propriétaire important ou a le contrôle d’un assureur ou d’un réassureur à la suite de l’acquisition, du transfert de portefeuille ou de la fusion des

Official Gazette n° Special of 17/06/2022 112 bitewe n’ihererekanya ry’imitungo n’imyenda cyangwa ikomatanya ry’abishingizi cyangwa abishingizi b’abishingizi cyangwa uguhindura ubwishingizi magirirane agomba kuzuza ibisabwa kugira ngo abe afite ubushobozi kandi ari inyangamugayo nk’uko bisabwa n’amategeko n’amabwiriza ariho abigenga. Ingingo ya 7: Isuzuma ribanziriza icyemezo Nyuma y’uko umwishingizi cyangwa umwishingizi w’abishingizi, akurikije aya mabwiriza rusange, asabye kongera imigabane cyangwa iyegukana cyangwa guhererekanya uruhare rugaragara cyangwa ububasha icungwa ry’inyungu, Urwego rw’Ubugenzuzi rugomba, mbere yo gufata icyemezo rumwemerera cyangwa rumuhakanira, gusuzuma niba igikorwa: 1° kitazabangamira inyungu z’abafatabwishingizi; 2° kitazabangamira imiyoborere y’ikigo cy’ubwishingizi cyangwa cy’ubwishingizi bw’abishingizi; 3° kitazabangamira inyungu za rubanda; demutualization shall satisfy the requirements of “fit and proper” criteria as required by relevant Laws and Regulations into force. Article 7: Pre- approval assessment After an application, by insurer or reinsurer under this Regulation, for increase of shares or acquisition or transfer of significant holding or controlling interest, the Supervisory Authority, prior to the decision to approve or not to approve the application, shall assess whether the transaction shall: 1° not jeopardize the interests of the policyholders; 2° not compromise the governance of insurer or reinsurer; 3° not be detrimental to the public interest; assureurs ou des réassureurs ou de la démutualisation doit satisfaire aux critères « d’intégrité et de compétence » requis par les lois et Règlements en vigueur appropriés. Article 7: Évaluation préalable à l’approbation Après une demande, par un assureur ou un réassureur en vertu du présent règlement, d’augmentation d’actions ou d’acquisition ou de transfert de participation importante ou contrôle d’intérêt, l’Autorité de contrôle, avant de décider d’approuver ou de ne pas approuver la demande, examine si la transaction : 1° ne compromet pas les intérêts des souscripteurs ; 2° ne compromet pas la gouvernance de l’assureur ou du réassureur; 3° ne porte pas atteinte aux intérêts publics;

Official Gazette n° Special of 17/06/2022 113 4° kitazabangamira ukutajegajega n’ukudahungabana by’umwishingizi cyangwa umwishingizi w’abishingizi; 5° kitazaba imbogamizi ku igenzura nyaryo ry’umwishingizi cyangwa umwishingizi w’abishingizi umwe ukwe cyangwa ahujwe n’abandi; 6° kitazabangamira urwego rw’ubwishingizi muri rusange. Ikigo cy’ubwishingizi cyangwa cy’ubwishingizi bw’abishingizi kivutse kigomba kubahiriza ibipimo ngenderwaho bisabwa n’Urwego rw’Ubugenzuzi. UMUTWE WA II: IBISABWA MU KONGERA NO KWEGUKANA IMIGABANE MU KIGO CY’UBWISHINGIZI CYANGWA ICY’UBWISHINGIZI BW’ABISHINGIZI Ingingo ya 8: Ugusaba gushyikirizwa Urwego rw’Ubugenzuzi Umwishingizi cyangwa umwishingizi w’abishingizi agomba, mu izina ry’umuntu wifuza kongera, kwegukana cyangwa guhererekanya imigabane ihwanye n’uruhare rugaragara cyangwa igenzura ry’inyungu, 4° not compromise soundness and/or stability of an insurer or reinsurer; 5° not hinder effective supervision of the insurer or reinsurer on solo and consolidated basis; 6° not be detrimental to the insurance sector in general. The resulting insurer or reinsurer shall comply with all prudential norms as required by the Supervisory Authority. CHAPTER II: REQUIREMENTS FOR INCREASE AND ACQUISITION OF SHARES IN AN INSURER OR REINSURER Article 8: Application to the Supervisory Authority An insurer or reinsurer shall, on behalf of a person who is seeking to increase, acquire or transfer shares equivalent to significant holding or controlling interest, apply in writing to the Supervisory Authority 4° ne compromet pas la solidité et/ou la stabilité d’un assureur ou d’un réassureur; 5° n’entrave pas une surveillance efficace de l’assureur ou du réassureur à titre individuel ou consolidé; 6° ne porte pas atteinte au secteur d’assurances en général. L’assureur ou réassureur issu de la fusion doit se conformer à toutes les normes prudentielles requises par l’Autorité de contrôle. CHAPITRE II : EXIGENCES RELATIVES À L’AUGMENTATION ET À L’ACQUISITION D’ACTIONS DANS UNE SOCIÉTÉ D’ASSURANCE OU DE RÉASSURANCE Article 8 : Demande à l’Autorité de contrôle Un assureur ou un réassureur doit, au nom d’une personne désirant augmenter, acquérir ou transférer des actions équivalant à une participation importante ou contrôle d’intérêt, adresser une demande écrite à l’Autorité de

Official Gazette n° Special of 17/06/2022 114 kubisaba mu nyandiko Urwego rw’Ubugenzuzi agatanga ibisobanuro birambuye ku miterere y’iyongera, iyegukana cyangwa ihererekanya n’andi makuru Urwego rw’Ubugenzuzi rushobora gusaba. Umwishingizi cyangwa umwishingizi w’abishingizi agomba gutanga amakuru bwite cyangwa yerekeye ikigo ku bireba umuntu wifuza kongera, kugura cyangwa guhererekanya uruhare rugaragara cyangwa igenzura ry’inyungu nk’uko bisobanuwe mu MIGEREKA y’Amabwiriza yerekeye ibisabwa mu kwemerera abishingizi n’abishingizi b’abishingizi gukora. Umwishingizi cyangwa umwishingizi w’abishingizi agomba kandi gutanga ibisobanuro birambuye ku ngaruka yaba ku migabane ye no ku miterere y’imikorere itewe n’umushinga wo kongera imigabane, kwegukana cyangwa guhererekanya uruhare rugaragara mu migabane cyangwa igenzura ry’inyungu. Umwishingizi cyangwa umwishingizi w’abishingizi agomba kandi gutanga ikimenyetso kigaragaza ingufu mu rwego rw’imari n’ubushobozi usaba afite bwo gutanga imari shingiro y’inyongera igihe ikenewe. providing details on the nature of the increase, acquisition or transfer and any such information that may be requested by the Supervisory Authority. An insurer or reinsurer shall provide personal or corporate information in respect of a person who is seeking to increase, acquire or alienate significant holding or controlling interest as specified in the APPENDIXES of Regulation on licensing conditions for insurers. The insurer or reinsurer shall also provide details of the impact on its ownership and operational structure that will result from the proposed increase, acquisition or alienation of significant shareholding or controlling interest. The insurer or reinsurer shall also provide the proof of financial strength and ability of the applicant to provide additional capital if needed. contrôle en donnant des détails sur la nature de l’augmentation, de l’acquisition ou du transfert et toute information pouvant être demandée par l’Autorité de contrôle. Un assureur ou un réassureur doit fournir des informations personnelles ou d’entreprise concernant une personne désirant augmenter, acquérir ou aliéner une participation importante ou contrôle d’intérêt, tel que spécifié dans les ANNEXES du règlement sur les conditions d’agrément des assureurs. L’assureur ou le réassureur doit également donner des détails de l’impact sur sa structure de propriété et sa structure opérationnelle qui peut résulter de l’augmentation, de l’acquisition ou de la cession proposée d’une participation importante ou contrôle d’intérêt. L’assureur ou le réassureur doit également fournir la preuve de la solidité financière et de la capacité du demandeur à fournir un capital supplémentaire, si nécessaire.

Official Gazette n° Special of 17/06/2022 115 Gutanga amakuru atari ukuri cyangwa ayobya bituma usaba afatwa nk’umuntu utari inyangamugayo kandi udafite ubushobozi kandi biba impamvu ishingirwaho mu kwanga ugusaba kwe kwerekeye kongera, iyegukana cyangwa guhererekanya imigabane. Umunyamigabane mushya agomba kwemeza ko imari ateganya gutanga cyangwa ishoramari ateganya gukora bidakomoka ku bikorwa bitemewe n’amategeko, bidakomoka ku cyaha cyangwa bikemangwa. Ingingo ya 9: Kwemera cyangwa kwanga ubusabe Urwego rw’Ubugenzuzi rushobora kwemera ugusaba kongera, kwegukana cyangwa guhererekanya uruhare rugaragara mu migabane cyangwa igenzura ry’inyungu, iyo rwizeye ko ubusabe bwujuje ibisabwa n’aya Mabwiriza rusange n’ibisabwa n’amategeko n’amabwiriza ajyanye na byo. Ingingo ya 10: Ibipimo byo kugenzura uruhare rugaragara Ukwiyongera kw’uruhare rugaragara kuri hejuru ya 5% by’ibipimo by’igenzura byagenwe mbere ku mwishingizi cyangwa umwishingizi w’abishingizi rikozwe n’abantu The submission of any untrue or misleading information shall render the applicant a person not fit and proper and shall constitute grounds for rejection of the application for the increase, acquisition or alienation of shares. A new shareholder shall submit a statement to the effect that the proposed funding or investment is not from illegal, criminal and suspicious activities. Article 9: Approval or rejection of application The Supervisory Authority may approve the application for increase, acquisition or transfer of significant holding or controlling interest, if it is satisfied that the application satisfies both the requirements of this Regulation and applicable legal and Supervisory Authority requirements. Article 10: Supervisory control levels of significant holding Any significant holding increases above 5% of the predetermined control levels in an insurer or reinsurer by legal or natural person, whether obtained individually or in Toute soumission d’une information jugée fausse ou trompeuse rend le demandeur une personne ne répondant pas aux critères d’intégrité et de compétence et constitue un motif de rejet de la demande d’augmentation, d’acquisition ou d’aliénation d’actions. Un nouvel actionnaire doit déclarer que le financement ou l’investissement proposé ne provient pas d’activités illégales, criminelles ou suspectes. Article 9 : Approbation ou rejet de la demande L’Autorité de contrôle peut approuver la demande d’augmentation, d’acquisition ou de transfert d’une participation importante ou contrôle d’intérêt, s’il est convaincu que la demande satisfait aux exigences du présent règlement et aux exigences légales et réglementaires applicables. Article 10: Niveaux de contrôle de supervision de la participation importante Toute participation importante au-dessus de 5% des niveaux de contrôle prédéterminés pour un assureur ou un réassureur de personne morale ou physique, obtenue individuellement

Official Gazette n° Special of 17/06/2022 116 ku giti cyabo cyangwa ibigo bifite ubuzimagatozi, ryaba ribonetse ku mwishingizi rigomba kubanza kwemerwa n’Urwego rw’Ubugenzuzi. Iyo ukongera kuvugwa mu gika kibanziriza iki byatuma mu buryo buziguye cyangwa butaziguye, igipimo cy’uburenganzira bwo gutora cyangwa cy’imari shingiro, gishobora kugera cyangwa kurenga ibipimo bikorerwaho igenzura bivugwa mu gika cya mbere cy’iyi ngingo, umwishingizi cyangwa umwishingizi w’abishingizi agomba kubanza kubisabira uruhushya mu Rwego rugenzura. Ingingo ya 11: Ibindi bisabwa byihariye ku ihererekanya ry’uruhare rugaragara mu migabane n’igenzura ry’inyungu Ikigo cy’ubwishingizi cyangwa cy’ubwishingizi bw’abishingizi gishyikiriza Urwego rw’Ubugenzuzi kibinyujije muri raporo ngarukagihe cyangwa amasuzuma abera ahakorerwa imirimo, amazina n’imitungo by’abantu bose bafite uruhare rugaragara cyangwa abafite ububasha mu kugenzura ikigo, harimo imyirondoro ya ba nyiri uburenganzira ku migabane ifitwe n’intumwa, abaragijwe imitungo n’imiterere y’ikigo yakwifashishwa mu guhishira nyir’imitungo nyakuri. association with others shall obtain prior approval by the Supervisory Authority. If the increase specified in Paragraph One of this Article by persons indicated there would directly or indirectly reach or exceed the supervisory levels of control referred to in Paragraph One of this Article, the insurer/reinsurer shall obtain prior permission from the Supervisory Authority. Article 11: Other specific requirements on the transfer of significant holding and controlling interests The Supervisory Authority obtains from insurer or reinsurer, through periodic reporting or on-site examinations, the names and holdings of all significant shareholders or those that exert control over an institution, including the identities of beneficial owners who hold shares through nominees, custodians or vehicles that might be used to disguise ownership. ou en association avec d’autres doit obtenir l’approbation préalable de l’Autorité de contrôle. Lorsque l’augmentation précisée à l’alinéa premier du présent article par les personnes qui y sont citées résulterait directement ou indirectement au dépassement des niveaux de supervision du contrôle visés au paragraphe premier du présent article, l’assureur/ le réassureur doit obtenir l’autorisation préalable de l’Autorité de contrôle. Article 11 : Autres exigences spécifiques concernant le transfert de participation importante dans et contrôle d’intérêt L’Autorité de contrôle obtient de l’assureur ou du réassureur, par le biais de rapports périodiques ou d’examens sur place, les noms et les actions de tous les actionnaires importants ou exerçant un contrôle sur une institution, y compris l’identité des ayants droit qui détiennent des actions par l'intermédiaire mandataires, les dépositaires et structures sociales pouvant être utilisés pour dissimuler le véritable propriétaire.

Official Gazette n° Special of 17/06/2022 117 Urwego rw’Ubugenzuzi rushobora gusaba guhindura, gukuraho cyangwa rukagira ikindi rukora ku igenzura mu kigo cy’ubwishingizi cyangwa cy’ubwishingizi bw’abishingizi. Ikigo cy’ubwishingizi cyagwa cy’umwishingizi bw’abishingizi kigomba kumenyesha Urwego rw’Ubugenzuzi kikimenya amakuru afatika ashobora kubangamira isura ya nyir’uruhare rugaragara mu migabane ubikwiriye cyangwa uruhande rufite igenzura ry’inyungu. Bitabangamiye ibiteganyijwe mu bika bibanziriza iki by’iyi ngingo, umwishingizi cyangwa umwishingizi w’abishingizi agomba kumenyesha Urwego rw’Ubugenzuzi impinduka yose ibaye mu migabane. UMUTWE WA III: IKOMATANYA, IHEREREKANYA RY’IMITUNGO N’IMYENDA N’ UGUHINDURA UBWISHINGIZI MAGIRIRANE Icyiciro cya mbere: Ikomatanya n’ihererekanya ry’imitungo n’imyenda Ingingo ya 12: Gusaba icyemezo gihamya ko nta nzitizi Ikigo cy’ubwishingizi cyangwa cy’ubwishingizi bw’abishingizi cyose cyifuza The Supervisory Authority may recommend the modification, reverse or otherwise address a change of control within an insurer or reinsurer. An insurer or reinsurer shall notify to the Supervisory Authority as soon as they become aware of any material circumstance, which may negatively affect the suitability of a significant owner or a party that has a controlling interest. Without prejudice to the previous Paragraphs of this Article, an insurer or reinsurer shall notify to the Supervisory Authority any change in the shareholding structure. CHAPTER III: AMALGAMATION, PORTFOLIO TRANSFER AND DEMUTUALIZATION Section One: Amalgamation and portfolio transfer Article 12: Application for non-objection Any insurer or reinsurer seeking to affect amalgamation or portfolio transfer shall seek L’Autorité de contrôle peut recommander la modification, l’annulation ou autrement prendre en charge un changement de contrôle au sein de l’assureur ou de réassureur. Un assureur ou un réassureur doit notifier à l’Autorité de contrôle dès qu’il en prend connaissance de toute information importante qui pourrait avoir une incidence défavorable sur l’adéquation d’un propriétaire important ou d’une partie qui détient le contrôle d’intérêt. Sans préjudice des alinéas précédents du présent article, un assureur ou un réassureur doit notifier à l’Autorité de contrôle toute modification de la structure de l’actionnariat. CHAPITRE III : FUSION, TRANSFER DE PORTEFEUILLE ET DÉMUTUALISATION Section première : Fusion et transfert de portefeuille Article 12 : Demande de non-objection Tout assureur ou réassureur désirant procéder à une fusion ou à un transfert de portefeuille

Official Gazette n° Special of 17/06/2022 118 gukora ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda kigomba gusaba Urwego rw’Ubugenzuzi gihamya igaragaza ko nta nzitizi. Ugusaba kuvugwa mu gika cya mbere cy’iyi ngingo kugomba kuba gushyizweho umukono n’abayobozi bakuru b’ibigo by’ubwishingizi cyangwa by’ubwishingizi bw’abishingizi bashaka gukora amasezerano kandi guherekejwe n’ibi bikurijkira: 1° inyandiko-mvugo z’inteko rusange y’abanyamigabane ba buri kigo cy’ubwishingizi cyifuza gukora ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda n’ibyumvikanyweho n’ibisabwa mu masezerano bijyana; 2° raporo y’imari igenzuwe riheruka ry’ibigo by’ubwishingizi bishaka gukora ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda; 3° icyemezo kivuga ko nta nzitizi cy’Urwego rw’Ubugenzuzi rwo mu bihugu abishingizi cyangwa abishingizi b’abishingizi bakomokamo n’urw’abandi bagenzuzi mu gihe ari ikigo cyabyawe n’ikindi kiri mu itsinda; non-objection from the Supervisory Authority. The application referred to in Paragraph One of this Article shall be signed by Managing Directors/CEOs of the insurers or reinsurers to the transaction and accompanied by the following documents/ information: 1° an extract of minutes of the general meeting of the shareholders of each of the insurers seeking to affect amalgamation or portfolio transfer and terms and conditions of the relevant agreement; 2° latest audited accounts for all the insurers involved in the amalgamation or portfolio transfer; 3° no objection letter from home Supervisory Authority and other involved supervisors in case of a subsidiary belonging to an insurance￾led group; doit demander la non-objection auprès de l’Autorité de contrôle. La demande visée à l’alinéa premier du présent article doit être signé par les Directeurs généraux/DG des assureurs ou des réassureurs impliqués dans la transaction et accompagnée de : 1° un extrait du procès-verbal de l’assemblée générale des actionnaires de chacun des assureurs désirant entérinant la fusion ou le transfert de portefeuille ainsi que les termes et conditions des accords concerné; 2° les derniers comptes audités de tous les assureurs impliqués dans la fusion ou le transfert de portefeuille; 3° lettre de non objection issue de l’Autorité de contrôle du pays d’origine et des autres autorités de surveillance impliquées dans le cas d’une filiale appartenant à un groupe dirigé par une assurance;

Official Gazette n° Special of 17/06/2022 119 4° ingamba zashyizweho zigamije kurengera inyungu z’abafatabwishingizi; 5° imvugo igaragaza niba ihererekanya rizaba ku mitungo n’imyenda yose cyangwa ku gice cyayo; 6° inyandiko y’imiterere n’icyo ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda bigamije; 7° kopi y’umushinga w’amasezerano agamije ikomatanya cyangwa hererekanya ry’imitungo n’imyenda; 8° akamaro ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda byazagirira abafatabwishingizi; n’ 9° indi nyandiko iyo ari yo yose Urwego rw’Ubugenzuzi rwasaba cyangwa uwasabye abona ko yafasha Urwego rw’Ubugenzuzi mu gusuzuma dosiye ye. Ingingo ya 13: Imenyesha ry’ikomatanya cyangwa iry’ihererekanya ry’imitungo n’imyenda Nyuma yo kumenyeshwa n’Urwego rw’Ubugenzuzi ko nta nzitizi ihari, 4° measures in place to protect the interests of policyholders; 5° a statement indicating whether the portfolio transfer is in whole or in part; 6° a statement of the nature and objectives of amalgamation or portfolio transfer; 7° a copy of the proposed agreement for amalgamation or portfolio transfer; 8° expected impact to policyholders by amalgamation or portfolio transfer; and 9° any other document that the Supervisory Authority may enquire or the applicant may think can help the Supervisory Authority in assessment of the application. Article 13: Notice of amalgamation or portfolio transfer After securing a non-objection of the Supervisory Authority, insurers or reinsurers 4° les mesures mises en place pour protéger les intérêts des souscripteurs d’assurance ; 5° une déclaration indiquant si le transfert de portefeuille est en totalité ou en partie; 6° une déclaration de la nature et des objectifs de la fusion ou du transfert de portefeuille; 7° une copie du contrat de fusion ou de transfert de portefeuille envisagé; 8° impact attendu pour les assurés suite à la fusion ou au transfert de portefeuille; et 9° tout autre document que l’Autorité de contrôle peut demander ou que le demandeur juge qu’il pourra aider l’Autorité de contrôle dans l’évaluation de la demande. Article 13 : Annonce de fusion ou de transfert de portefeuille Après l’obtention de la non-objection de l’Autorité de contrôle, les assureurs ou les

Official Gazette n° Special of 17/06/2022 120 abishingizi cyangwa abishingizi b’abishingizi bifuza kwikomatanya cyangwa guhererekanya imitungo n’imyenda bacisha itangazo bahuriyeho nibura muri ibi bikurikira: 1º ku maradiyo abiri nibura yumvwa mu gihugu hose kurusha ayandi; 2º ku rubuga rwa interineti rw’ikigo cy’ubwishingizi cyangwa rw’icy’ubwishingizi bw’abishingizi bireba; 3º mu binyamakuru byandika nibura bibiri kandi bisomwa na benshi muri Repubulika y’u Rwanda; na 4º ikindi gitangazamakuru umwishingizi cyangwa umwishingizi w’abishingizi yihitiyemo. Itangazo rimenyekanisha urugendo rutangiwe rwo kwikomatanya cyangwa guhererekanya imitungo n’imyenda by’abishingizi cyangwa by’abishingizi b’abishingizi. Abishingizi cyangwa abishingizi b’abishingizi bireba, bagaragaza kandi muri iryo tangazo itariki icyo gikorwa giteganyirijwe kurangiriraho. Imenyesha rivuzwe mu gika cya mbere cy’iyi ngingo rihamagarira umufatabwishingizi cyangwa umufatabwishingizi bw’abishingizi seeking to affect amalgamation or portfolio transfer shall, publish a joint-notice on at least: 1° on two radio channels of national coverage; 2° on the insurer’s or reinsurer’s respective website; 3° two newspapers of wide circulation in the Republic of Rwanda; and 4° any other media channel of the insurer’s or reinsurer’s choice. The announcement shall communicate the process of amalgamation or transfer of insurer or reinsurer’s portfolio. The concerned insurers or reinsurers specify, within that announcement, the proposed date on which transaction is to be completed. The notice referred to in Paragraph One of this Article shall invite any policyholder or reinsured who has reasonable ground to réassureurs souhaitant procéder à une fusion ou à un transfert de portefeuille doivent publier un avis conjoint au moins : 1º sur deux chaînes de radio de couverture nationale; 2º sur le site internet de la société d’assurance ou de réassurance concernée; 3º dans deux journaux à large diffusion en République du Rwanda ; et 4º toute autre chaîne médiatique au choix de l’assureur ou du réassureur. L’annonce communique le processus de fusion ou de transfert du portefeuille de l’assureur ou du réassureur. Les assureurs ou les réassureurs concerné précisent, dans cette annonce, la date proposée pour la finalisation de la transaction. L’avis mentionné à l’alinéa 1 du présent article invite toute souscripteur ou réassuré ayant un motif raisonnable de croire qu’elle serait lésée

Official Gazette n° Special of 17/06/2022 121 wese ufite impamvu zumvikana zituma atekereza ko ashobora kugirwaho ingaruka n’ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda by’umwishingizi cyangwa by’umwishingizi w’abishingizi, kubigaragariza Urwego rw’Ubugenzuzi mu nyandiko asobanura ingaruka icyo gikorwa gishobora kumugiraho. Kugaragaraza ingaruka kuvugwa mu gika kibanziriza iki bikorwa mu minsi mirongo itatu (30) uhereye ku munsi wa nyuma imenyesha ryatangarijweho. Igingo ya 14: Gusaba kwemererwa burundu Abasaba kwikomatanya cyangwa guhererekanya imitungo n’imyenda bagomba, mu minsi itarenze icumi (10) y’akazi uhereye itariki inyandiko imwemerera ko nta nzitizi yatangiwe, gushyikiriza Urwego rw’Ubugenzuzi inyandiko zikurikira: 1° kopi y’ibyemezo by’Inama z’ubutegetsi z’ibigo by’ubwishingizi byose bireba yemeza ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda; believe that he or she would be adversely affected by the amalgamation or transfer of insurer or reinsurer’s portfolio, to make written petition to the Supervisory Authority specifying possible effect that such transaction may have on him or her. The mention of the adverse effect stated in the previous paragraph shall be done within thirty (30) days from the last day of publication. Article 14: Application for final approval The applicants of either amalgamation or portfolio transfer shall, within ten (10) working days from the date of issue of non￾objection letter, submit to the Supervisory Authority the following documents: 1° a copy of resolutions of the board of directors of all the participating insurers approving the proposed amalgamation or portfolio transfer; par la fusion ou le transfert du portefeuille de l’assureur ou du réassureur à faire par écrit une pétition à l’Autorité de contrôle précisant l'effet possible qu'une telle transaction pourrait avoir sur lui. La mention des effets défavorable comme mentionné au paragraphe précédent doit être fait, en indiquant les raisons, dans les trente (30) jours à compter du dernier jour de publication. Article 14 : Demande d’approbation finale Les demandeurs de la fusion ou du transfert de portefeuille doivent, dans un délai de dix (10) jours ouvrables à compter de la date d’émission de la lettre de non-objection, soumettre à l’Autorité de contrôle les documents suivants: 1º une copie des résolutions du conseil d’administration de tous les assureurs concernés approuvant le projet de fusion ou de transfert de portefeuille;

Official Gazette n° Special of 17/06/2022 122 2° kopi y’inyandiko z’ibaruramari rikomatanyijwe zemejwe n’ikigo cyigenga cy’abagenzuzi b’ibigo by’imari ku itariki y’isaba ry’uruhushya; 3° inyandiko y’ubwumvikane n’inyandiko z’ishingwa ry’ikigo cy’ubwishingizi kivutse; 4° raporo z’umuhanga mu mibare y’ubwishingizi n’incamake ku byerekeye umurimo w’ubwishingizi bw’igihe kirekire, nka raporo n’incamake zerekeye ikigo cy’ubwishingizi gitanga bihuye n’itariki y’ikomatanya iteganyijwe; cyangwa ihererekanya ry’imitungo n’imyenda bitewe n’igiteganyijwe gukorwa; 5° iteganyamari ku myaka itatu (3) ya mbere y’ibikorwa nyuma y’ibikorwa by’ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda; 6° umushinga urambuye werekeye uburyo bwo gukora isuzumagaciro n’urikora kimwe n’imiterere y’ikigo cy’ubwishingizi kivutse; 2° insurers’ copy of consolidated accounts duly certified by an independent firm of auditors as at the date of application for approval; 3° memorandum and articles of association of the resulting insurer; 4° actuarial reports and abstract in respect of long term insurance business of both insurers, such as reports and abstract of the transferor insurer as at the date of proposed amalgamation; or portfolio transfer, as the case may be; 5° financial projections for the first three (3) years of operation after amalgamation or portfolio transfer transactions; 6° proposed details of the method of valuation and the valuator and proposed organizational structure of the resulting insurer; 2º la copie des comptes consolidés des assureurs dûment certifiée par un cabinet d’audit indépendant à la date de la demande d’approbation; 3º mémorandum d’association et les statuts de l’assureur issu de la fusion; 4º les rapports actuariels et les résumés relatifs aux activités d’assurance à long terme des deux assureurs, tels que les rapports et les résumés de l’assureur cédant à la date de la fusion envisagée; ou du transfert de portefeuille, selon le cas; 5º les projections financières pour les trois (3) premières années d’activité suivant l’opération de fusion ou de transfert de portefeuille; 6º la proposition détaillée de la méthode d’évaluation, et l’évaluateur ainsi que la structure organisationnelle de l'assureur résultant de la fusion;

Official Gazette n° Special of 17/06/2022 123 7° uko imiterere y’imigabane izaba imeze; 8° gutanga amakuru akwiriye yerekeye abanyamigabane n’undi muntu uwo ari we wese ugira uruhare mu kugenzura ikigo mu buryo buziguye cyangwa butaziguye; 9° abateganywa kujya mu nama y’ubutegetsi, imiterere y’ikigo n’ubuyobozi bukuru bw’ikigo cy’ubwishingizi kivutse, igihe ari ngombwa; 10° uko abakozi bateganywa gushyirwa mu myanya nyuma ya gahunda y’ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda; 11° isuzuma ry’ingaruka ku misoro zaterwa n’ikorwa; 12° ibibazo byakwitegwa mu mikorere y’ikigo na gahunda y’imirimo y’imenyekanishabikorwa; 13° gahunda ngengamikorere ikubiyemo gahunda igaragaza uko imirimo izakomeza nta ngorane nyuma y’igikorwa; 7° proposed shareholding structure; 8° provide appropriate information on their shareholders and any other person directly or indirectly exercising control; 9° proposed board of directors, organizational structure and senior management of the resulting insurer, if applicable; 10° proposed staff rationalization of post￾amalgamation or portfolio transfer program; 11° assessment of tax implications of the transaction; 12° operational contingencies and marketing plan; 13° business strategy plan including business continuity management; 7º la proposition de la structure de l’actionnariat; 8º fournir des informations appropriées sur leurs actionnaires et toute autre personne exerçant un contrôle directement ou indirectement; 9º le conseil d’administration proposé, la structure organisationnelle et la direction générale de l’assureur issu de la fusion, le cas échéant; 10º la proposition de rationalisation du personnel après le programme de fusion ou de transfert de portefeuille; 11º l’évaluation des implications fiscales sur la transaction; 12º les imprévus opérationnels et le plan de marketing; 13º plan stratégique des activités y compris la gestion continue des activités;

Official Gazette n° Special of 17/06/2022 124 14° uburyo bw’ikoranabuhanga bugomba gukoreshwa; 15° raporo y’isuzuma ku byerekeye amategeko yita ku mpande zose z’ibibazo byerekeye amategeko ikigo cy’ubwishingizi kivutse cyahura na byo hagaragarazwa ku buryo bugaragara imanza zihari n’izishobora kuvuka; 16° izina riteganywa kuzakoreshwa mu gihe izina rihindutse; 17° gahunda y’itumanaho ku bantu bose; n’ 18° indi nyandiko iyo ari yo yose Urwego rw’Ubugenzuzi rwasaba cyangwa uwasabye abona ko yafasha Urwego rw’Ubugenzuzimu gusuzuma dosiye ye. Raporo y’imari igenzuwe ivugwa mu ngingo ya 12 y’aya mabwiriza na raporo z’umuhanga mu mibare y’ubwishingizi n’incamake bivugwa mu gace ka (4°) k’iyi ngingo bitegurwa hakurikijwe itariki ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda biteganyijwe bizabera, kandi icyo gihe ntikigomba kurenga amezi cumi n’abiri (12) mbere y’itariki isaba ryakoreweho. 14° IT system to be adopted; 15° legal due diligence covering all areas of any legal concerns that may face the resulting insurer with specification on current litigations and anticipated litigation; 16° the name under which they intend to use in case of change of name; 17° communication plan to the public; and 18° any other document that the Supervisory Authority may enquire or the applicant may think can help the Supervisory Authority in assessment of the application. The audited accounts stated in article 12 of this regulation and actuarial reports and abstracts referred to in point (4°) of this Article shall be prepared as at period at which the amalgamation or portfolio transfer is intended to be effected. This period shall not be more than twelve months before the date of the application. 14º le système de la Technologie de l’Information à adopter; 15º le rapport d’évaluation couvrant les domaines de tout problème juridique auxquels l’assureur issu de la fusion pourrait faire face, en précisant les litiges en cours et les litiges prévisibles; 16º le nom sous lequel ils entendent utiliser en cas de changement de nom; 17º plan de communication au public; et 18º tout autre document que l’Autorité de contrôle peut demander ou que le demandeur juge qu’il pourra aider l’Autorité de contrôle dans l’évaluation de la demande. Les derniers comptes audités visés à l’article 12 du présent règlement et les rapports actuariels et les résumés visés au point (4°) du présent article sont préparés à la date à laquelle la fusion ou le transfert de portefeuille est censé être effectué. Ce délai ne peut être supérieur à douze mois avant la date de la demande.

Official Gazette n° Special of 17/06/2022 125 Umuhanga mu mibare y’ubwishingizi agomba kugaragaza muri raporo inkurikizi z’ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda bishobora kugira ku bafatabwishingizi. Umuhanga mu mibare y’ubwishingizi uvugwa muri iyi ngingo ni uwemejwe n’Urwego rw’Ubugenzuzi nk’umuhanga washyizweho. Ingingo ya 15: Igisubizo cya nyuma ku busabe Mu gihe kitarenze ukwezi rumaze kwakira inyandiko zisaba zuzuye, Urwego rw’Ubugenzuzi rukora iperereza rukanafata icyemezo ku isaba. Urwego rw’Ubugenzuzi rushobora: 1° gutanga icyemezo mu gihe rubona ko isaba ryujuje ibisabwa; 2° gutanga icyemezo habanje kuzuzwa ibindi byangombwa rubona ko bikenewe; cyangwa 3° kwanga gutanga icyemezo. An actuary shall indicate in his/her report probable effect of the amalgamation or portfolio transfer to the policyholders. An actuary referred to under this Article is the one approved by the Supervisory Authority as appointed actuary. Article 15: Final decision to the application The Supervisory Authority shall, within one month after receipt of a complete application, investigate and take a decision to the application. The decision of the Supervisory Authority may: 1° grant the approval if it is satisfied that the application satisfies the requirements; 2° grant the approval subject to the fulfilment of certain conditions that it may deem necessary; or 3° refuse to grant the approval. Un actuaire doit indiquer dans son rapport l’effet probable de la fusion ou de transfert de portefeuille sur les preneurs d’assurance. Un actuaire visé par le présent article est celui approuvé par l’Autorité de contrôle comme actuaire nommé. Article 15 : Réponse finale à la demande L’Autorité de contrôle doit, dans un délai d’un mois après réception de la demande complète, enquêter sur la demande et prendre une décision à ce sujet. La décision de l’Autorité de contrôle peut: 1º donner l’accord s’il estime que la demande remplit les conditions; 2º donner l’accord sous réserve de remplir d’autres conditions qu’il peut juger nécessaires; or 3º non pas approuver la demande.

Official Gazette n° Special of 17/06/2022 126 Urwego rw’Ubugenzuzi rumenyesha uwasabye mu nyandiko umwanzuro warwo. Iyo rudatanze icyemezo rusobanura mu nyandiko impamvu rutagitanze. Ingingo ya 16: Kwemererwa burundu ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda Iyo Urwego rw’Ubugenzuzi rubona ko ruzemera ikomatanya ry’amasosiyete cyangwa guhererekanya imitungo n’imyenda kw’abishingizi cyangwa abishingizi b’abishingizi, rusaba uwasabye kurushyikiriza icyemezo gishya cy’ishingwa ry’isosiyete, imiterere mishya y’imigabane n’iyemererwa yahawe n’izindi inzego zibifitiye ububasha mbere yo kwemererwa burundu. Ingingo ya 17: Ibisabwa nyuma y’ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda Uburenganzira bwose, imyenda n’ibikorwaremezo byari iby’ibigo by’ubwishingizi cyangwa ubwishingizi bw’abishingizi buri mu ikomatanya cyangwa mu ihererekanya ry’imitungo n’imyenda bigomba kwegurirwa ikigo cy’ubwishingizi cyangwa ikigo cy’ubwishingizi The Supervisory Authority shall inform the applicant, in writing, of its decision. If it denies granting the approval, it gives reasons for such a refusal in writing. Article 16: Final approval of amalgamation or portfolio transfer In case the Supervisory Authority is satisfied that it will approve amalgamation or portfolio transfer of insurers or reinsurers, it requires the applicant to submit the new certificate of incorporation, the new shareholding structure and any other approval from any competent authorities before granting the final approval. Article 17: Requirements for post amalgamation or portfolio transfer All rights, liabilities and facilities enjoyed by the merging insurer or reinsurer shall be transferred to the resulting insurer or reinsurer and any hire purchase or finance leases shall be assigned or transferred. L’Autorité de contrôle informe le demandeur, par écrit, de sa décision. S'il refuse d’approuver la demande, il donne raisons de ce refus par écrit. Article 16 : Approbation finale de la fusion de sociétés ou le transfert de portefeuille Si l’Autorité de contrôle estime qu’il approuvera la fusion de sociétés ou le transfert de portefeuille des assureurs ou des réassureurs, il exige le demandeur de soumettre le nouveau certificat d’enregistrement de la société, la nouvelle structure de l’actionnariat et toute approbation des autorités compétentes avant d’accorder l’approbation finale. Article 17 : Conditions exigées après la fusion ou transfert du portefeuille Tous les droits, obligations et les facilités dont bénéficient assureur or réassureur qui fusionnent doivent être transférés à l’assureur ou le réassureur issu de la fusion et tout contrat de location-vente ou de location financement devra être cédé ou transféré.

Official Gazette n° Special of 17/06/2022 127 bw’abishingizi kivutse ndetse n’ikodesha￾gurisha cyangwa ikodesha-mari bigomba kwegurirwa cyangwa guharirwa icyo kigo. Ikigo cy’ubwishingizi cyangwa ikigo cy’ubwishingizi bw’abishingizi kivutse kigomba kumenyesha rubanda impinduka yose yatumye habaho igikorwa gishobora kubagiraho ingaruka. Iyo ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda y’umwishingizi cyangwa umwishingizi w’abishingizi byamaze kwemezwa, ibigo by’ubwishingizi cyangwa by’abishingizi b’abishingizi byakoze ikomatanya, mu gihe cy’iminsi icumi (10) uhereye itariki y’isozwa ry’ikomatanya cyangwa ihererekanya ry’imitungo nímyenda ryakoreweho, gushyikiriza Urwego rw’Ubugenzuzi kopi zemejwe n’umugenzuzi wigenga: 1° imenyakanisha ry’imitungo n’imyenda; 2° inyandiko zakoreshejwe mu ikomatanya cyangwa mu ihererekanya ry’imitungo n’imyenda. The resulting insurer or reinsurer shall inform the public of any change that resulted in the transaction that may affect them. Where an amalgamation or transfer of insurer or reinsurer’s portfolio has been approved, the merged insurers or reinsurer or the transferee insurer or reinsurer shall, within ten (10) days from the date of completion of the amalgamation or transfer of insurer’s portfolio, deposit with the Supervisory Authority the following copies certified by an external auditor: 1° statements of the respective assets and liabilities; 2° documents under which the amalgamation or portfolio transfer was effected. L'assureur ou le réassureur issu de la fusion doit informer le public de tout changement ayant entraîné la transaction qui pourrait les affecter. En cas d’approbation de la fusion ou du transfert du portefeuille de l’assureur ou du réassureur, l’assureur ou le réassureur fusionné ou l’assureur ou réassureur cessionnaire doivent, dans les dix (10) jours suivant la date à laquelle la fusion ou le transfert du portefeuille sont achevés, déposer auprès de l’Autorité de contrôle des copies suivants certifiées par l’auditeur externe: 1° les états des actifs et des passifs respectifs; 2° les documents en vertu desquels la fusion ou le transfert de portefeuille a été effectué.

Official Gazette n° Special of 17/06/2022 128 Ingingo ya 18: Ibikwa ry’ibitabo Mu gihe na nyuma yo gushyira mu bikorwa amasezerano yerekeye ikomatanya cyangwa ihererekanya ry’imitungo n’imyenda by’umwishingizi cyangwa umwishingizi w’abishingizi, umwishingizi cyangwa umwishingizi w’abishingizi agomba: 1° kureba ko uburyo bwiza bw’ibaruramutungo n’ibikurikizwa bihari; 2° guhuza imibare mu ibaruramutungo mu bitabo by’umwishingizi nyuma y’ihererekanywa cyangwa iyakirwa ry’imitungo, iyo idahura; 3° gufunga ibitabo by’ibaruramari by’ikigo cyatanzwe mu ikomatanya, iyo bidafunze; 4° gufunga cyangwa guhererekanya amakonti yose ya banki, amadosiye yerekeye imisoro ku nyungu, dosiye zerekeye imisoro ku bihembo, iyo bitahererekanyijwe cyangwa ngo bifungwe; 5° kuvugurura cyangwa gukomatanya politiki n’uburyo bugomba Article 18: Maintenance of records During and after execution of agreement related to the amalgamation or transfer of insurer or reinsurer’s portfolio, the insurer or reinsurer shall: 1° ensure that the right accounting systems and procedures are in place; 2° adjust accounting in the books of an insurer as a result of the portfolio received or transferred; 3° close books of accounts of the entity being absorbed, if not closed; 4° close or transfer all bank accounts, income tax file et Pay As You Earn files, if not closed or were not transferred; and 5° review or consolidate policy and procedures manual, if they were not reviewed or consolidated Article 18 : Tenue des registres Pendant et après l’exécution de l’accord relatif à la fusion ou au transfert du portefeuille de l’assureur ou de réassureur, l’assureur ou le réassureur doit : 1º veiller à ce que les systèmes et procédures comptables adéquats sont en place; 2º ajuster la comptabilité dans les livres d’un assureur à la suite du portefeuille reçu ou transféré; 3º clôturer les livres de comptes de l’entité absorbée s’ils ne sont pas clôturés; 4º clôturer ou transférer tous les comptes bancaires, le dossier d’impôt sur le revenu et les dossiers de taxe proportionnel sur les rémunérations, s’ils n’ont pas été ont été clôturés ou transférés ; 5º revoir et consolider la politique et le manuel des procédures, s’ils n’ont pas été revus ou consolidés.

Official Gazette n° Special of 17/06/2022 129 gukurikizwa, iyo bitavuguruwe cyangwa ngo bikomatanywe. Icyiciro cya 2: Guhindura ubwishingizi magirirane Ingingo ya 19: Gusaba guhindura ubwishingizi magirirane Umwishingizi magirirane ashobora gusaba guhindura ubwishingizi magirirane akajya mu kindi cyiciro cy’ubwishingizi giteganywa n’Itegeko ryerekeye imitunganyirize y’umurimo w’ubwishingizi. Ingingo ya 20: Gahunda y’ihindura ry’ubwishingizi magirirane no kuvugurura amategeko-shingiro Umwishingizi magirirane wifuza guhindura ubwishingizi magirirane agomba kubanza gukora ibikurikira: 1° gushyiraho gahunda y’ihindura ry’ubwishingizi magirirane igomba gutorwa n’abanyamuryango ; no 2° guhindura amategeko shingiro. Gutora gahunda yo guhindura ubwishingizi magirirane bikorwa hakurikijwe uburyo Section 2: Demutualisation Article 19: Application for demutualization A mutual insurer may apply to demutualize to any other category of insurer provided by Law governing organization of insurance business. Article 20: Plan of demutualization and amendment of articles of association A mutual insurer that seeks to demutualize shall initially proceed to the following: 1° put in place a plan for demutualization that must be voted by members; and 2° amend the articles of association. The vote of the plan for demutualization shall be done following the procedure of votes Section 2 : Démutualisation Article 19 : Demande de démutualisation Un assureur mutuel peut démutualiser en toute autre catégorie d’assurance prévue par la loi régissant l’organisation de l’activité d’assurance. Article 20 : Plan de démutualisation et amendement de statuts Un assureur mutuel qui cherche à se démutualiser doit d’abord procéder comme suit: 1° mettre en place un plan de démutualisation voté par les membres; et 2° modifier les statuts. Le vote du plan de démutualisation se fait selon la procédure des votes respectés lors des assemblées générales des membres.

Official Gazette n° Special of 17/06/2022 130 bw’amatora bwubahirizwa mu nteko rusange y’abanyamuryango. Urwego rw’Ubugenzuzi rwemeza gahunda yo guhindura ubwishingizi magirirane mbere yo kwemerera bidasubirwaho ihindurwa ry’ubwishingizi magirirane. Ingingo ya 21: Ibikubiye muri dosiye isaba Dosiye isaba igomba kuba ikubiyemo amakuru akurikira aherekejwe n’ibisobanuro by’inyongera Urwego rw’Ubugenzuzi rushobora gusaba: 1º gahunda y’ihindura ry’ubwishingizi magirirane; 2º isobanurampamvu y’ihindura ry’ubwishingizi magirirane n’impamvu guhindura ubwishingizi magirirane biri mu nyungu z’umwishingizi magirirane n’abafatabwishingizi ; 3º umubare w’abanyamuryango bemeye cyangwa banze guhara uruhare bafite mu kigo cy’ubwishingizi magirirane; respected during general meetings of members. The Supervisory Authority shall approve the plan of demutualization prior to authorization of the final demutualization. Article 21: Content of application file The application must contain the following information, together with such additional information as the Supervisory Authority may require: 1° the plan of demutualization; 2° a statement of the reasons for the proposed demutualization and why the demutualization is in the best interests of the demutualizing insurer and policyholders; 3° a number of members who accepted or did not accept relinquishing the ownership they have in the mutual insurer; L’Autorité de contrôle doit approuver le plan de démutualisation avant l’autorisation de la démutualisation finale. Article 21 : Contenu du dossier de la demande La demande doit contenir les informations suivantes, ainsi que les informations supplémentaires que l’Autorité de contrôle peut exiger: 1° le plan de démutualisation; 2° un exposé de motifs de la démutualisation proposée et des raisons pour lesquelles la démutualisation est dans le meilleur intérêt supérieur de l’assureur à démutualiser et ses souscripteurs; 3° un nombre de membres qui ont accepté ou non de renoncer à leurs possessions dans l’assureur mutuel;

Official Gazette n° Special of 17/06/2022 131 4º uburyo inyungu z’abanyamuryango banze guhara uruhare rwabo zizitabwaho; 5º gahunda ngengamikorere y’imyaka itanu (5); 6º urutonde rw’abantu bose bari cyangwa bateganyijwe kuzaba abagize inama y’ubutegetsi cyangwa abakozi bo ku rwego rw’ubuyobozi bukuru. Iyo ari bashya, bagomba kubanza kwemererwa n’Urwego rw’Ubugenzuzi mbere yo gutangira imirimo yabo nk’uko biteganywa n’Amabwiriza yerekeye ibisabwa mu kwemerera abishingizi n’abishingizi b’abishingizi gukora; 7º andi makuru y’inyongera, inyandiko, cyangwa ibikoresho umwishingizi uhindura ubwishingizi magirirane abona ko ari ngombwa; 8º andi makuru y’inyongera, inyandiko, cyangwa ibikoresho byasabwa n’Urwego rw’Ubugenzuzi. Isobanurampamvu rivugwa mu gaka ka (2°) k’iyi ngingo rikubiyemo isesengura ry’ibyateza ingorane n’inyungu byava mu guhindura ubwishingizi magirirane 4° how the members who did not accept relinquishing their ownership shall be dealt with; 5° a five (5) year business plan; 6° a list of all individuals who are or have been proposed to become directors or senior managers. If new, they must seek approval of the Supervisory Authority prior to discharging their duties as provided by Regulation on licensing of insurers and reinsurer; 7° any additional information, documents, or materials that the demutualizing insurer determines to be necessary; 8° any other additional information, documents, or materials that the Supervisory Authority may require. The statement under point (2°) of this Article shall include an analysis of the risks and benefits associated to demutualization and a comparison of the risks and benefits of the 4° comment les membres qui n’ont pas accepté de renoncer à leur propriété seront traités; 5° un plan d’affaires de cinq (5) ans; 6° la liste de toutes les personnes qui sont proposées pour devenir administrateurs ou cadres dirigeants S’ils sont nouveaux, ils doivent demander l’approbation de l’Autorité de contrôle avant de d’assumer leurs responsabilités comme prévu dans le règlement sur l’agrément des assureurs et des réassureurs; 7° tout renseignement, document ou matériel supplémentaire que l’assureur en cours de démutualisation juge nécessaire; 8° tout autre renseignement, document ou matériel supplémentaire que l’Autorité de contrôle peut exiger. La déclaration visée au point (2°) du présent Article comprend une analyse des risques et des avantages liés à la démutualisation ainsi qu’une comparaison des risques et avantages

Official Gazette n° Special of 17/06/2022 132 n’igereranya ry’ibyateza ingorane ndetse n’inyungu byavamo igihe hatoranyijwe ubundi buryo butari uguhindura ubwishingizi magirirane. Ingingo ya 22: Kwemererwa guhindura ubwishingizi magirirane Iyo Urwego rw’Ubugenzuzi rusanze ruzemeza ihindura ry’ubwishingizi magirirane, rusaba uwasabye kurushyikiriza icyemezo cy’ishingwa rya sosiyete, imiterere mishya mu migabane ndetse n’ukundi kwemererwa uko ari ko kose kwaba kwaratanzwe n’umuyobozi ubifitieye ububasha mbere y’uko rwemerera guhindura ubwishingizi magirirane. Nyuma yo kwakira izi nyandiko, Urwego rw’Ubugenzuzi rutanga uburenganzira bwo gushyira mu bikorwa gahunda y’ihindura ry’ubwishingizi magirirane. Ingingo ya 23: Gushyira mu bikorwa gahunda yo guhindura ubwishingizi magirirane Iyo umushinga wa gahunda y’ihindura ry’ubwishingizi magirirane umaze gutorwa n’abanyamuryango ukanemezwa n’Urwego rw’Ubugenzuzi, uhindura ubwishingizi magirirane ashobora gushyira mu bikorwa gahunda yateganyije. demutualization with the risks and benefits of reasonable alternatives to a demutualization. Article 22: Approval of demutualization In case the Supervisory Authority is satisfied that it will approve demutualisation of insurer, it shall inform the applicant to submit the certificates of incorporation, the new shareholding structure and any approval from the competent authorities before granting the approval. After the reception of these documents, the Supervisory Authority authorizes the execution of the plan for demutualization. Article 23: Execution of the demutualization plan After the proposed plan of demutualization is voted by members and approved by the Supervisory Authority, the demutualizing insurer may proceed to executing the plan. de la démutualisation avec les risques et les avantages d’autres solutions alternatives à la démutualisation. Article 22: Approbation de la démutualisation Si l’Autorité de contrôle est convaincu d'approuver la démutualisation de l’assureur, il informe le demandeur de soumettre les certificats d’enregistrement de la société, la nouvelle structure de l'actionnariat et toute approbation des autorités compétentes avant d'accorder l'approbation. Après réception de ces documents, l’Autorité de contrôle autorise l'exécution du plan de démutualisation. Article 23 : Exécution du plan de démutualisation Une fois que le plan de démutualisation proposé a été voté par les membres et approuvé par l’Autorité de contrôle, l’assureur en cours de démutualisation peut procéder à l’exécution du plan.

Official Gazette n° Special of 17/06/2022 133 UMUTWE WA IV: INGINGO ZISOZA Ingingo ya 24: Ibihano Iyo umwishingizi anyuranyije n’aya mabwiriza rusange, Urwego rw’Ubugenzuzi rushobora kumufatira ibihano bikwiriye byashyizweho hakurikijwe Itegeko ryerekeye imitunganyirize y’umurimo w’ubwishingizi n’amabwiriza arishyira mu bikorwa. Ingingo ya 25: Itegurwa, isuzumwa n’iyemezwa ry’aya mabwiriza rusange Aya mabwiriza rusange yateguwe, asuzumwa kandi yemezwa mu rurimi rw’Icyongereza. Ingingo ya 26: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Amabwiriza Rusange N° 34/2020 ku wa 08/06/2020 agenga ihinduka ry’imigabane, ikomatanya n’ihererekanya ry’imitungo n’imyenda ku bishingizi n’abishingizi b’abishingizi n’izindi ngingo zose zibanziriza aya mabwiriza rusange zinyuranyije na yo zivanyweho. CHAPTER IV: FINAL PROVISIONS Article 24: Penalties Where an insurer is in violation of this regulation, the Supervisory Authority may apply any relevant sanctions established under the law governing organization of insurance business and its implementing Regulations. Article 25: Drafting, consideration and approval of this Regulation This Regulation was prepared, considered and approved in English. Article 26: Repealing provision Regulation N° 34/2020 of 08/06/2020 governing change in shareholding, amalgamation and transfer of portfolio of insurers and reinsurers and any other prior provisions contrary to this Regulation are hereby repealed. CHAPITRE IV : DISPOSITIONS FINALES Article 24: Sanctions En cas de violation du présent règlement par un assureur, l’Autorité de contrôle peut appliquer les sanctions y relatives prévues par la loi portant sur l’organisation des activités d’assurance et ses règlements d’applications. Article 25 : Initiation, examen et approbation du présent règlement Le présent Règlement a été initié, examiné et approuvé en Anglais. Article 26 : Disposition abrogatoire Règlement N° 34/2020 du 08/06/2020 régissant la modification de l’actionnariat, la fusion et le transfert de portefeuille des assureurs et réassureurs et toutes autres dispositions antérieures contraires au présent règlement sont abrogées.

Official Gazette n° Special of 17/06/2022 134 Kigali, 02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho Ikirango cya Repubulika: Seen and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux Ingingo ya 27: Igihe aya mabwiriza rusange atangira gukurikizwa Aya mabwiriza rusange atangira gukurikizwa ku munsi atangarijwe mu Igazeti ya Leta ya Repubulika y’u Rwanda. Article 27: Commencement This Regulation shall come into force on the date of its publication in the Official Gazette of the Republic of Rwanda. Article 27 : Entrée en vigueur Le présent règlement entre en vigueur à la date de sa publication au Journal Officiel de la République du Rwanda.

Official Gazette n° Special of 17/06/2022 135 AMABWIRIZA RUSANGE N° 47 /2022 YO KU WA 02/06/2022 YEREKEYE ITANGAZWA RYA RAPORO Z’IMARI N’ANDI MAKURU AGARAGAZWA N’ABISHINGIZI REGULATION N° 47/2022 OF 02/06/2022 ON PUBLICATION OF FINANCIAL STATEMENTS AND OTHER DISCLOSURES BY INSURERS RÈGLEMENT N° 47/2022 DU 02/06/2022 SUR LA PUBLICATION DES ÉTATS FINANCIERS ET AUTRES INFORMATIONS À DÉCLARER PAR LES ASSUREURS ISHAKIRO TABLE OF CONTENTS TABLE DES MATIÈRES UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere: Icyo aya mabwiriza rusange agamije Ingingo ya 2: Abarebwa n’aya mabwiriza rusange Ingingo ya 3: Ibisobanuro by’amagambo Ingingo ya 4: Ibipimo ngenderwaho by’amakuru Ingingo ya 5: Ibiranga amakuru agomba gutangazwa Ingingo ya 6: Ibigize amakuru ashyirwa atangazwa Ingingo ya 7: Inshingano z’Inama y’Ubutegetsi CHAPTER ONE: GENERAL PROVISIONS Article One: Purpose Article 2: Scope Article 3: Definitions of terms Article 4: Standards of information Article 5: Criteria for information to be disclosed Article 6: Composition of information to be published Article 7: Responsibilities of the board of directors CHAPITRE PREMIER: DISPOSITIONS GÉNÉRALES Article premier: Objet Article 2: Champ d’application Article 3: Définitions des termes Article 4: Normes de l’information Article 5: Critères des informations à déclarer Article 6: Composition des informations à publier Article 7: Responsabilités du Conseil d’administration

Official Gazette n° Special of 17/06/2022 136 Ingingo ya 8: Inshingano z’ubuyobozi bukuru Ingingo ya 9: Ingorane zaturuka ku itangazwa UMUTWE WA II: GUTANGAZA AMAKURU Ingingo ya 10: Amakuru atangazwa Ingingo ya 11 : Ibikubiye muri raporo z’imari Ingingo ya 12: Ibikubiye muri raporo irambuye Ingingo ya 13: Itangwa ry’amakuru agomba gutangazwa Ingingo ya 14: Ingengabihe y’itangazwa ry’amakuru Ingingo ya 15: Uburyo bwo gutangazwa Ingingo ya 16: Ikimenyetso kigaragaza itangazwa Ingingo ya 17: Ingaruka zo kutubahiriza ingingo ya 5 Article 8: Responsibilities of the senior management Article 9 : Risks inherent to publication CHAPTER II: PUBLICATION OF INFORMATION Article 10: Information to be published Article 11: Contents of the financial statements Article 12: Contents of the integrated report Article 13: Submission of information to be published Article 14: Periodicity of publication of information Article 15: Means of publication Article 16: Evidence of publication Article 17: Effect of breach of article 5 Article 8: Responsabilités de la direction Article 9: Risques inhérents à la publication CHAPITRE II: PUBLICATION DES INFORMATIONS Article 10: États financiers à publier Article 11 : Contenu des états financiers Article 12 : Contenu du rapport intégré Article 13: Soumission des informations à publier Article 14: Périodicité de publication des informations Article 15: Moyens de publication Article 16: Preuve de publication Article 17: Effets de la violation de l’article 5

Official Gazette n° Special of 17/06/2022 137 Ingingo ya 18: Gukomeza kumenyekanisha amakuru n’igihe bimara UMUTWE WA III: AMAKURU ASOBANURA N’AMAKURU MU MIBARE Icyiciro cya mbere: Amakuru asobanura Ingingo ya 19: Imiterere y’ikigo Ingingo ya 20: Imiyoborere y’ikigo Ingingo ya 21: Imari shingiro ihagije Ingingo ya 22: Amafaranga y’ingoboka Ingingo ya 23: Ibyateza ingorane byerekeye ubwishingizi n’uburyo bwo kuzicunga Ingingo ya 24: Imicungire y’icyateza ingorane mu kigo Ingingo ya 25: Amakuru agaragazwa yerekeye ishoramari Ingingo ya 26: Ingengabihe yo kugaragaza amakuru asobanura Article 18: Duration and continuous accessibility of information CHAPTER III: QUALITATIVE AND QUANTITATIVE INFORMATION Section One: Qualitative information Article 19: Institutional profile Article 20: Corporate governance Article 21: Capital adequacy Article 22: Technical provisions Article 23: Insurance risk exposures and their management Article 24: Enterprise risk management Article 25: Investment disclosures Article 26: Qualitative disclosures timeframe Article 18: Durée et accessibilité continue de l’information CHAPITRE III: INFORMATIONS QUALITATIVES ET QUANTITATIVES Section première: Informations qualitatives Article 19: Profil de l’institution Article 20: Gouvernance d’entreprise Article 21: Adéquation du capital Article 22: Les provisions techniques Article 23: Engagement aux risques d’assurance et leur gestion Article 24: Gestion des risques de l’entreprise Article 25: Informations à fournir sur les investissements Article 26: Calendrier de publication des informations qualitatives

Official Gazette n° Special of 17/06/2022 138 Icyiciro cya 2: Gutangaza amakuru mu mibare Ingingo ya 27: Amakuru mu mibare Ingingo ya 28: Ingengabihe yo gutangaza amakuru mu mibare UMUTWE WA IV: INGINGO ZINYURANYE N’IZISOZA Ingingo ya 29: Inama y’impande ebyiri ihuza ibigo n’abagenzuzi bigenga Ingingo ya 30: Ibyemezo bikosora Ingingo ya 31: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Ingingo ya 32: Igihe aya mabwiriza rusange atangira gukurikizwa Section 2: Disclosure of quantitative information Article 27 : Quantitative information Article 28: Quantitative disclosures timeframe CHAPTER IV: MISCELLANEOUS AND FINAL PROVISIONS Article 29: Bilateral meeting with external auditors Article 30 : Corrective measures Article 31 : Repealing provisions Article 32: Commencement Section 2: Publication des informations quantitatives Article 27: Informations quantitatives Article 28: Calendrier de divulgation des informations quantitatives CHAPITRE IV: DISPOSITIONS DIVERSES ET FINALES Article 29: Réunion bilatérale avec les auditeurs externes Article 30: Mesures correctives Article 31 : Dispositions abrogatoires Article 32: Entrée en vigueur

Official Gazette n° Special of 17/06/2022 139 AMABWIRIZA RUSANGE N° 47/2022 YO KU WA 02/06/2022 YEREKEYE ITANGAZWA RYA RAPORO Z’IMARI N’ANDI MAKURU AGARAGAZWA N’ABISHINGIZI REGULATION N° 47/2022 OF 02/06/2022 ON PUBLICATION OF FINANCIAL STATEMENTS AND OTHER DISCLOSURES BY INSURERS RÈGLEMENT N° 47/2022 DU 02/06/2022 SUR LA PUBLICATION DES ÉTATS FINANCIERS ET AUTRES INFORMATIONS À DÉCLARER PAR LES ASSUREURS Ishingiye ku Itegeko N° 48/2017 ryo ku wa 23/09/2017 rigenga Banki Nkuru y’u Rwanda nk’uko ryahinduwe kugeza ubu, cyane cyane mu ngingo zaryo, iya 6, iya 6 bis, iya 8, iya 9, iya 10, n’iya 15; Ishingiye ku Itegeko N° 030/2021 ryo ku wa 30/06/2021 rigenga imitunganyirize y’umurimo w’ubwishingizi, cyane cyane mu ngingo zaryo, iya 56, iya 57, iya 58 n’iya 60; Isubiye ku Mabwiriza rusange N° 30/2019 yo ku wa 16/12/2019 yerekeye itangazwa rya raporo z’imari n’andi makuru agaragazwa n’abishingizi Mu rwego rwo kugaragariza rubanda ibibakorerwa hagamijwe guteza imbere urwego rw’ubwishingizi rukora nta buriganya kandi ku murongo; Banki Nkuru y’u Rwanda, yitwa « Urwego rw’Ubugenzuzi »mu ngingo zikurikira, ishyizeho amabwiriza rusange akurikira: Pursuant to Law N° 48/2017 of 23/09/2017 governing the National Bank of Rwanda as amended to date especially in Articles 6, 6 bis, 8, 9 and 10, and 15; Pursuant to Law N° 030/2021 of 30/06/2021 governing the organisation of insurance business, especially in its articles 56, 57, 58, 60; Having reviewed Regulation N° 30/2019 of 16/12/2019 on publication of financial statements and other disclosures by insurers In the context of being accountable to the public for the growth of fair and orderly insurance sector; The National Bank of Rwanda, hereinafter referred to as “ Supervisory Authority”, issues the following regulation: Vu la Loi N° 48/2017 du 23/09/2017 régissant la Banque Nationale du Rwanda telle que modifiée à ce jour, spécialement en ses articles 6, 6bis, 8, 9 et 10; et 15 ; Vu la Loi N° 030/2021 du 30/06/2021 régissant l’organisation d’activité d’assurance, spécialement en ses articles 56, 57, 58 et 60; Revu le Règlement N° 30/2019 du 16/12/2019 sur la publication des états financiers et autres divulgations d’informations par les assureurs Dans le cadre de rendre compte au public pour la croissance d’un secteur de l’assurance juste et ordonné; La Banque Nationale du Rwanda, ci-après dénommée « l’Autorité de contrôle », édicte le présent règlement:

Official Gazette n° Special of 17/06/2022 140 UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere: Icyo aya mabwiriza rusange agamije Aya Mabwiriza Rusange agamije gushyiraho ibisabwa abishingizi bijyanye no gushyira ahagaragara amakuru ya ngombwa, yuzuye kandi ahagije ku gihe no mu buryo buhoraho mu rwego rwo guha abafatabwishingizi n’abashaka gufata ubwishingizi n’abandi bagira uruhare ku isoko ry’ubwishingizi ishusho nyayo y’umurimo w’ubwishingizi bakora hagamijwe: 1° kugenzura ko buri mwishingizi akomeje gukorera mu mucyo uhagije utuma abashaka gufata ubwishingizi kimwe n’abandi bagira uruhare kw’isoko bafata ibyemezo bishingiye ku makuru ahagije; 2° gutuma rubanda rurushaho kugirira icyizere urwego rw’ubwishingizi no gutuma kigumaho; 3° gutuma isoko rikorera ku murongo; no 4° guteza imbere ihiganwa hagati y’abakora umurimo w’ubwishingizi. CHAPTER ONE: GENERAL PROVISIONS Article One: Purpose The purpose of this Regulation is to establish the requirements for publication of relevant, comprehensive and adequate financial statements and other disclosures on a timely and regular basis by insurers in order to give policyholders and potential policyholders and other insurance market participants a clear view of their business activities in order to: 1° ensure that every insurer maintains a level of adequate transparency enabling potential policyholders and other market participants to make informed decisions; 2° promote and maintain public confidence in the insurance sector; 3° enhance market discipline; and 4° promote competition among market players. CHAPITRE PREMIER: DISPOSITIONS GÉNÉRALES Article premier: Objet Le présent Règlement a pour objet d’établir les exigences relatives à la publication des états financiers et autres informations appropriés, complets et adéquat par les assureurs de manière opportune et régulière afin de donner aux assurés, assurés potentiels et autres acteurs du marché d’assurance une vision claire de leurs activités commerciales dans le but de: 1° s’assurer que chaque assureur maintient un niveau de transparence suffisant permettant aux assurés potentiels et autres participants du marché de prendre des décisions éclairées ; 2° promouvoir et maintenir la confiance du public dans le secteur des assurances; 3° renforcer la discipline du marché ; et 4° promouvoir la concurrence entre les acteurs du marché.

Official Gazette n° Special of 17/06/2022 141 Ingingo ya 2: Abarebwa n’aya mabwiriza rusange Aya Mabwiriza Rusange areba abishingizi bose bakorera ku butaka bwa Repubulika y’u Rwanda. Ingingo ya 3: Ibisobanuro by’amagambo Ku bw’aya Mabwiriza Rusange, amagambo akurikira asobanura: 1° umwishingizi: ikigo gifite ubuzima gatozi cyahawe uruhushya cyangwa cyemerewe gukora umurimo w’ubwishingizi ; 2° umurimo w’ubwishingizi : ibikorwa byo kwirengera ibyago byishingirwa cyangwa kwishingira ubwishyu hashingiwe ku masezerano y’ubwishingizi n’ay’ubwishingizi bw’abishingizi hakurikijwe ibiteganywa n’itegeko rigenga imitunganyirize y’umurimo w’ubwishingi cyangwa andi mategeko akurikizwa mu Rwanda; 3° Amafaranga y’ingoboka ku bwishingizi butararangira: konti y’ubwizigame umwishingizi afungura mu bushishozi bwe iyo abona ko Article 2: Scope This Regulation applies to all insurers operating on the territory of the Republic of Rwanda. Article 3: Definitions of terms For the purpose of this Regulation, the following terms mean: 1° insurer: a licensed or authorized legal entity which carries out insurance business; 2° insurance business: activity of assuming risks or undertaking liability related to insurance arrangements and reinsurance in accordance with the Law governing organization of insurance business or other laws applicable in Rwanda; 3° Unexpired Risks Reserve (URR): a reserve account opened at the discretion of an insurer when it believes the amount of funds kept in Article 2: Champ d’application Ce Règlement s’applique à tous les assureurs opérant sur le territoire de la République du Rwanda. Article 3: Définitions des termes Aux fins du présent Règlement, les termes suivants signifient: 1° assureur : personne morale agréée ou autorisée d’exercer l’activité d’assurance ; 2° activité d’assurance: activité de prise en charge au titre d’un arrangement d’assurance et de réassurance en vertu de la loi régissant l’activité d’assurance ou d’autres lois applicables au Rwanda; 3° Réserve des risques non expirés : compte de réserve ouvert à la discrétion de l’assureur lorsqu’il estime que le montant des fonds conservés sur le

Official Gazette n° Special of 17/06/2022 142 umubare w’amafaranga y’ingoboka ateganyirijwe ubwishingizi butararangira adahagije mu kwishingira umubare witezwe w’ibyateza ingorane; 4° amafaranga y’ingoboka agenewe ikiguzi cy’ubwishingizi kitaregukanwa: amafaranga y’ikiguzi cy’ubwishingizi ahuye n’igihe gisigaye kugirango ubwishingizi burangire kandi ajyanye n’igice cy’ingorane zishingiwe zisigaye kugirango amasezerano asaze; 5° amafaranga y’ingoboka azigamiwe ibyangiritse ariko bitaramenyeshwa umwishingizi : amafaranga umwishingizi agomba abishyuza bose bemewe bagezweho n’ingorane ariko bataramenyekanisha ; 6° amafaranga y’ingoboka yerekeranye n’ubwishingizi bw’igihe kirekire: ikigereranyo cy’agaciro katanzwe n’umuhanga mu mibare y’ubwishingizi ku bijyanye n’ibyo umwishingizi yaryozwa byerekeye ibyo azishyura yemeye n’ibindi byose yaryozwa yemeye mu the unearned premium reserve account is not sufficient to cover the amount of risk perceived; 4° provision for Unearned Premiums: the premium corresponding to the time period remaining on an insurance policy and it is proportionate to the unexpired portion of the insurance; 5° reserve for Incurred But Not Reported claims (IBNR): amount owed by an insurer to all valid claimants who have had a covered event but have not yet reported it; 6° life assurance provisions: actuarially estimated value of an insurer’s liabilities for future benefits payments and other policy liabilities that a life insurance company allocates to fulfil its policy obligations. compte de réserve pour prime non acquise n’est pas suffisant pour couvrir le montant du risque perçu. 4° provision pour primes non acquises: la prime correspondant à la période restant à courir sur une police d'assurance et elle est proportionnelle à la partie non expirée de l'assurance; 5° provision pour sinistres survenus, mais non déclarés : Montant dû par un assureur à tous les demandeurs valables ayant encouru un sinistre couvert mais ne l’ayant pas encore déclaré ; 6° les provisions d’assurance vie : la valeur actuarielle des engagements de l’assureur pour le payement des prestations futures et d’autres engagements liés aux polices qu’une compagnie d’assurance-vie désigne pour s’acquitter de ses obligations d’assurances.

Official Gazette n° Special of 17/06/2022 143 masezerano isosiyete y’ubwishingizi bw’igihe kirekire ishyira ku ruhande kugira ngo yuzuze ibyo yemeye mu masezerano. Ingingo ya 4: Ibipimo ngenderwaho by’amakuru Inama y’ubutegetsi y’ikigo cy’ubwishingizi igomba kugenzura ko raporo y’imikoreshereze y’imari itegurwa hakurikijwe amahame mpuzamahanga yo gutanga raporo y’imikoreshereze y’imari (IFRS). Raporo y’ibaruramari ndetse n’igenzura ry’ibigo by’ubwishingizi bya Leta bikorwa hakurikijwe Itegeko ryerekeye imari n'umutungo bya Leta ndetse n’amategeko agenga ibyo bigo. Ingingo ya 5: Ibiranga amakuru agomba gutangazwa Amakuru yose atangazwa n’umwishingizi ajyanye n’aya mabwiriza rusange agomba : 1° kuba yuzuye, asobanutse kandi yumvikana; 2° kuba yizewe, nk’umusingi uherwaho Article 4: Standards of information The board of directors of an insurer shall ensure that financial statements are prepared in accordance with International Financial Reporting Standards (IFRS). The financial statement and audit of public insurers shall be done in accordance with the laws relating to audit and public accounting and the laws governing such institutions. Article 5: Criteria for information to be disclosed Every information to be disclosed by an insurer under this Regulation shall be: 1° comprehensive, meaningful and concise; 2° reliable, as a basis upon which Article 4: Normes de l’information Le conseil d’administration d’un assureur veille à ce que les états financiers soient préparés conformément aux normes internationales d’information financière (IFRS). Les états financiers et l'audit des assureurs publics sont établis conformément aux lois sur l'audit et la comptabilité publique et aux lois régissant ces institutions. Article 5: Critères des informations à déclarer Toute information devant être publiée par l’assureur en vertu du présent Règlement doit être: 1° complète, significative et concise; 2° fiable, en tant que base même de prise

Official Gazette n° Special of 17/06/2022 144 mu ifatwa ry’ibyemezo; 3° gutangarizwa igihe kandi ahujwe n’igihe, igihe cy’ifatwa ry’ibyemezo; 4° gutangwa mu buryo buhuye n’ubuteganywa muri politiki yo gutangaza amakuru; 5° kuba atangwa ku buryo bumwe kandi buhoraho kugira ngo hagaragazwe impinduka za ngombwa zagiye zibaho; 6° kuba atarimo amakosa, adafite inenge, kandi atayobya. Ingingo ya 6: Ibigize amakuru agomba gutangazwa Amakuru atangazwa agizwe n’ibi bikurikira: 1° imibare cyangwa ibisobanuro byayocyangwa byombi; 2° amakuru y’igihe cyahise, ay’igihe cya none cyangwa ay’ahazaza, cyangwa yose akomatanyirijwe hamwe. decisions are made; 3° timely published and up-to-date at the time decisions have to be made; 4° presented under the same format as described in the disclosure policy; 5° consistent over time so as to enable relevant trends to be discerned; 6° without error, not defective, not misleading. Article 6: Composition of information to be published The information to be disclosed shall comprise of the following: 1° qualitative or quantitative elements, or any appropriate combination thereof ; 2° historical, current or prospective elements, or any appropriate combination thereof. des décisions; 3° publiée en temps opportun et actualisée, au moment où les décisions doivent être prises; 4° présentée sous le même format que celui décrit dans la politique de déclaration d’informations; 5° cohérente au fil du temps afin de permettre de dégager les tendances appropriées ; 6° sans erreur, non défectueuse et non trompeuse. Article 6: Composition des informations à publier Les informations à communiquer comprennent les éléments suivants : 1° les éléments qualitatifs ou quantitatifs, ou toute combinaison appropriée de ceux-ci et; 2° éléments historiques, actuels ou prospectifs, ou toute combinaison appropriée de ceux-ci.

Official Gazette n° Special of 17/06/2022 145 Ingingo ya 7: Inshingano z’inama y’ubutegetsi Inama y’Ubutegetsi y’umwishingizi ni yo ishinzwe kubahiriza no gukurikiza ibiteganyijwe muri aya Mabwiriza Rusange. Haseguriwe ibiteganywa n’aya mabwiriza rusange inama y’ubutegetsi y’umwishingizi igomba gutegura politiki y’itangazwa ry’amakuru igomba kuba, nibura, yita kuri ibi bikurikira: 1° ibigize amakuru, ibyifashishwa mu kuyatangaza, ururimi atangazwamo, ireme ryayo n’inshuro atangazwa; 2° uburyo bukurikizwa mu gutangaza amakuru y’ingenzi; 3° ingamba zigamije kugenzura cyangwa gusuzuma ukuri kw’amakuru yatangajwe ; 4° uburyo bukurikizwa mu gucunga ibishobora guteza ingorane byakomoka ku makuru yatangajwe; no 5° indi ngingo iyo ari yo yose inama y’ubutegetsi ibona ko ari ingirakamaro. Article 7: Responsibilities of the board of directors The Board of Directors of an insurer shall be responsible for the adherence and compliance with the provisions of this Regulation. Subject to the provisions of this Regulation, the board of directors of an insurer shall develop a policy on publication of information that shall, at minimum, consider the following: 1° contents, medium, language, quality and frequency of the publication of information ; 2° the procedure for publication of material information; 3° mecanisms for verifying or reviewing the accuracy of the published information; 4° procedures for managing possible risk that may result from publication of information; and 5° any other element that the board may consider useful. Article 7: Responsabilités du Conseil d’administration Le Conseil d’administration d’un assureur est responsable du respect et de la conformité aux dispositions du présent Règlement. Sous réserve des dispositions du présent règlement, le conseil d’administration d’un assureur doit élaborer une politique de publication d’information qui, à tout le moins, tenir compte des éléments suivants: 1° le contenu, le support, la langue, la qualité et la périodicité de publication de l’information ; 2° la procédure de publication d’informations importantes; 3° les mécanismes permettant de vérifier ou d’examiner l’exactitude des informations publiées; 4° les procédures de gestion des risques pouvant résulter de la publication d’informations; et 5° tout autre élément que le Conseil d’administration pourrait juger utile.

Official Gazette n° Special of 17/06/2022 146 Inyandiko ya politiki y’itangazwa ry’amakuru igomba kuba ihuje n’aya mabwiriza rusange kandi igashyikirizwa Urwego rw’Ubugenzuzi mbere y’uko ikoreshwa ku mpamvu z’aya mabwiriza rusange. Ingingo ya 8: Inshingano z’ubuyobozi bukuru Ubuyobozi bukuru bw’umwishingizi bufite inshingano zo gutegura no gushyira mu bikorwa uburyo bw’isuzuma ry’imbere hagamijwe kugenzura ko amakuru y’ukuri, yuzuye kandi y’ingirakamaro atangazwa ku gihe. Ingingo ya 9: Ingorane zaturuka ku itangazwa Umwishingizi agomba kumenya ibyateza ingorane zikomeye zituruka ku makuru atangazwa, ubukana bwabyo, inshuro zigenda zigaruka ndetse n’uburyo zicugwa. Bisabwe n’umwishingizi, Urwego rw’Ubugenzuzi rushobora kwemerera umwishingizi kudatangaza amakuru kubera iyo ari yo yose kubera imwe mu mpamvu zikurikra : 1° iyo iryo tangaza ryatuma abahiganwa na we ku isoko babona inyungu The document of policy on publication of information shall be consistent with this Regulation and shall be filled with the Supervisory Authority before it is used to serve the purpose of this Regulation. Article 8: Responsibilities of the senior management Senior management of an insurer shall be responsible for developing and implementing an internal review system to ensure timely publication of accurate, complete and relevant information. Article 9: Risks inherent to publication An insurer shall identify material risks, their severity and frequency inherent to the information to be disclosed and their management. At the request of an insurer, the Supervisory Authority may permit to not publish certain information for any of the following reasons: 1° the publication would enable its competitors to gain significant undue Le document de la politique de publication d’information doit être conforme au présent règlement et doit être déposée auprès de l’Autorité de contrôle avant d’être utilisée aux fins du présent règlement. Article 8: Responsabilités de la direction La direction d’un assureur est chargée d’élaborer et de mettre en œuvre un système d’évaluation interne pour assurer la publication à temps d’informations précises, complètes et pertinentes. Article 9: Risques inhérents à la publication Un assureur doit identifier des risques importants, leur gravité et leur périodicité inhérents aux informations à publier, ainsi que leur gestion. A la demande de l’assureur, l’Autorité de contrôle peut autoriser au demandeur de ne pas publier certaines informations pour une des raisons suivantes : 1° telle publication permettrait à ses concurrents d’obtenir un avantage indu

Official Gazette n° Special of 17/06/2022 147 z’ikirenga zidakwiriye; 2° iyo hari inshingano ku bafatabwishingizi cyangwa ku bandi bafitanye amasano zifatwa nk’itegeko ku mwishingizi ryo kugira ibanga; 3° itangazwa rishobora kubangamira umwishingizi cyangwa urwego rw’ubwishingizi muri rusange. UMUTWE WA II: GUTANGAZA AMAKURU Ingingo ya 10: Amakuru atangazwa Umwishingizi agomba kugaragaza amakuru akurikira: 1° raporo z’imari z’igihembwe zitagenzuwe; 2° raporo z’imari z’umwaka zagenzuwe; na 3° raporo irambuye . Ingingo ya 11 : Ibikubiye muri raporo z’imari Raporo z’imari z’igihembwe zitagenzuwe na raporo z’imari z’umwaka zigenzuwe advantage; 2° there are obligations to policyholders or other counterparty relationships binding an insurer to secrecy or confidentiality; 3° the publication can cause harm to the insurer or the insurance sector in general. CHAPTER II: PUBLICATION OF INFORMATION Article 10: Information to be published An insurer shall publish the following information: 1° quarterly unaudited financial statements; 2° annual audited financial statements; and 3° an integrated report. Article 11: Contents of the financial statements The quarterly unaudited financial statements and the annual audited financial statements significatif ; 2° il existe des obligations vis-à-vis des assurés ou d’autres relations de contrepartie obligeant un assureur au secret ou à la confidentialité ; 3° lorsque la publication peut nuire à l’assureur ou au secteur d’assurance en général. CHAPITRE II: PUBLICATION DES INFORMATIONS Article 10: États financiers à publier Un assureur doit communiquer les informations suivantes: 1° les états financiers trimestriels non audités; 2° les états financiers annuels audités ; et 3° un rapport intégré. Article 11 : Contenu des états financiers Les états financiers trimestriels non audités et les états financiers annuels audités à publier

Official Gazette n° Special of 17/06/2022 148 zitangazwa zigomba kuba zikubiyemo ibi bikurikira kandi mu buryo buteganijwe ku mugereka wa mbere w’aya mabwiriza: 1° raporo y’uko imari ihagaze ku mpera z’igihe kirebwa; 2° raporo y’ibyinjiye byose mu gihe kirebwa; 3° raporo igaragaza ihinduka ry’imari shingiro y’ibanze mu gihe kirebwa; 4° raporo igaragaza amafaranga yinjiye n’ayasohotse; 5° inyandiko nsobanurampamvu y’impindukamu mari y’umwishingizi; na 6° andi makuru asabwa n’aya Mabwiriza Rusange. Raporo z’imari z’igihembwe itagenzuwe kimwe n’ishusho y’umutungo y’umwaka yagenzuwe zishyirwaho umukono n’Umuyobozi Mukuru kandi zikemezwa na Perezida w’Inama y’Ubutegetsi cyangwa Perezida wa Komite y’Inama y’Ubutegetsi ishinzwe Ubugenzuzi. to be published shall be presented in the format prescribed in Appendix 1 of this Regulation and comprised of the following: 1° the statement of financial position at the end of the concerned period; 2° statement of comprehensive income for the concerned period; 3° statement of changes in equity for the period; 4° statement of cash-flows; 5° explanatory note for important changes in financial position of the insurer; and 6° other disclosures as required under this Regulation. The quarterly unaudited financial statements and the annual audited financial statements shall be dully signed by the Managing Director/Chief Executive Officer and be attested by the Chairperson of the Board of Directors or the Chairperson of the Board Audit Committee. doivent être présentés dans le format prescrit à l’Annexe 1 du présent Règlement et comprendre ce qui suit : 1° l’état de la situation financière à la clôture de la période concernée; 2° état du résultat global de la période concernée ; 3° état des variations des capitaux propres pour la période; 4° état des flux de trésorerie ; 5° note explicative des changements importants dans la situation financière de l’assureur ; et 6° autres déclarations requises en vertu du présent Règlement. Les états financiers trimestriels non audités et les états financiers annuels audités sont dûment signés par le Directeur Général et attestés par le Président du Conseil d’Administration ou le Président du Comité d’Audit du Conseil d’Administration.

Official Gazette n° Special of 17/06/2022 149 Ingingo ya 12: Ibikubiye muri raporo irambuye Raporo irambuye igomba kuba nibura irimo: 1° ibikorwa umwishingizi yakoze mu gihe cy’umwaka; 2° incamake y’ingamba, iy’imiyoborere n’iy’imyitwarire by’umwishingizi ; 3° isano iri hagati y’imyitwarire y’umwishingizi n’imibereho y’abantu, ibidukikije ndetse n’ubukungu ; 4° uko umwishingizi yazamuye agaciro mu gihe kigufi, mu gihe kiringaniye ndetse no mu gihe kirekire ; 5° amakuru ashingiye ku ireme cyangwa ashingiye ku mibare avugwa muri aya Mabwiriza Rusange. Ingingo ya 13: Itangwa ry’amakuru agomba gutangazwa Umwishingizi agomba gushyikiriza Urwego rw’Ubugenzuzi, amakuru agomba gutangazwa mu gihe cy’iminsi 3 y’akazi mbere y’itariki y’itangazwa. Article 12: Contents of the integrated report The integrated report shall at least contain: 1° the annual activities of the insurer; 2° the concise insurer’s strategy, governance and performance; 3° the link between the insurer’s financial performance and its wider social, environmental and economic context; 4° the way how the insurer’s create value over the short, medium and long term; 5° Qualitative and quantitative information provided in this Regulation. Article 13: Submission of information to be published An insurer shall submit to the Supervisory Authority, for notification, information to be published within 3 working days before publication date. Article 12 : Contenu du rapport intégré Le rapport intégré doit au moins contenir: 1° les activités annuelles de l’assureur; 2° la stratégie, la gouvernance et la performance concises de l’assureur; 3° le lien entre la performance financière de l’assureur et son contexte social, environnemental et économique plus large; 4° la voie par laquelle l’assureur ajoute de la valeur à court, à moyen et à long terme; 5° informations qualitatives et quantitatives prévues dans le présent Règlement. Article 13: Soumission des informations à publier Un assureur doit soumettre à l’Autorité de contrôle, pour notification, les informations à publier dans les 3 jours ouvrables avant la date de publication.

Official Gazette n° Special of 17/06/2022 150 Ingingo ya 14: Ingengabihe y’itangazwa ry’amakuru ya buri gihembwe Umwishingizi agomba gutangaza raporo z’imari z’igihembwe hakurikijwe ingengabihe ikurikira: Itariki raporo ibonekeraho Amatariki ntarengwa y’itangazwa Ikigo cy’ubwishi ngizi kigenga Ikigo cy'ubwi￾shingizi cya Leta 31/3/20… 31/5/20… 31/5/20… 30/6/20… 31/8/20… - 30/9/20… 30/11/20… 30/11/20.. 31/12/20… - 28/12/20.. Umwishingizi atangaza raporo ye y’imari y’umwaka igenzuwe mu gihe cy’amezi atatu uhereye igihe umwaka warangiriye. Raporo yaguye y’umwaka igomba gutangazwa mu gihe cy’amazi atanu uhereye igihe umwaka warangiriye kandi igahita igashyikirizwa Urwego rw’Ubugenzuzi. Ingingo ya 15: Uburyo bwo gutangaza Umwishingizi agomba gutangaza raporo y’imari y’igihembwe na raporo yaguye Article 14: Periodicity of publication of quarterly information An insurer shall publish its quarterly financial statements in accordance with the following periodicities: Availability of the report Publication deadline Private insurer Public insurer 31/3/20… 31/5/20… 31/5/20… 30/6/20… 31/8/20… - 30/9/20… 30/11/20… 30/11/20... 31/12/20… - 28/12/20... An insurer shall publish its year-end audited financial statements within three months from the year-end. The integrated report shall be published within 5 months from the year-end, and it shall be subsequentitly submitted to the Supervisory Authority. Article 15: Means of publication The quarterly unaudited financial statements and the integrated report shall be published Article 14: Périodicité de publication des informations trimestrielles Un assureur doit publier ses états financiers trimestriels selon la périodicité suivante: Date de disponibilité du rapport Date limite pour la publication Assureur privé Assureur public 31/3/20… 31/5/20… 31/5/20… 30/6/20… 31/8/20… - 30/9/20… 30/11/20… 30/11/20... 31/12/20… - 28/12/20... Un assureur doit publier ses états financiers annuels audités dans les trois mois suivant la fin de l’exercice. Le rapport intégré doit être publié dans les trois mois suivant la fin de l’exercice et subséquemment soumis à l’Autorité de contrôle. Article 15: Moyens de publication Les états financiers trimestriels non audités, ainsi que le rapport intégré, sont publiés sur le

Official Gazette n° Special of 17/06/2022 151 y’umwaka nibura ku rubuga rwa interineti rw’umwishingizi. Raporo z’imari z’umwaka zagenzuwe zigomba gutangazwa nibura muri kimwe mu binyamakuru bisomwa na benshi mu Rwanda, hagati yo ku wa Mbere no ku wa Gatanu havanywemo iminsi y’ikiruhuko, ndetse no ku rubuga rwa interineti rw’umwishingizi. Ingingo ya 16: Ikimenyetso kigaragaza itangazwa Mu gihe cy’iminsi itatu (3) uhereye igihe itangazwa ryakorewe, umwishingizi agomba gushyikiriza Urwego rw’Ubugenzuzi ikimenyetso kigaragaza itangazwa ryakozwe. Iyo itangazwa ryakorewe mu binyamakuru, umwishingizi atanga kopi z’impapuro z’ikinyamakuru ziriho ibyatangajwe. Ingingo ya 17: Ingaruka zo kutubahiriza ingingo ya 5 Urwego rw’Ubugenzuzi rushobora gutegeka icyo ari cyo cyose muri ibi bikurikira iyo amakuru yatangajwe mu buryo bunyuranyije n’ibiteganywa mu ngingo ya 5 y’aya Mabwiriza Rusange: 1° guhindura cyangwa gukosora at least on the insurer’s official website. The annual audited financial statements shall be published in at least one newspaper of wide circulation in Rwanda, between Mondays and Fridays excluding public holidays, as well as on the insurer’s website. Article 16: Evidence of publication Within three (3) working days as from the date of publication, an insurer shall submit to the Supervisory Authority an evidence of accomplished publication. In case of publication in newspapers, the insurer shall submit a copy of pages of the newspaper containing the accomplished publication. Article 17: Effect of breach of article 5 The Supervisory Authority may order any of the following in case an information has been published in breach of Article 5 of this Regulation: 1° amendment or correction of site Web officiel de l’assureur. Les états financiers annuels audités sont publiés au moins dans un journal à large diffusion au Rwanda, entre le lundi et le vendredi, à l’exclusion des jours fériés, ainsi que sur le site Web de l’assureur. Article 16: Preuve de publication Dans un délai de trois (3) jours ouvrables à partir de la date de publication, l’assureur doit soumettre à l’Autorité de contrôle une preuve de publication réalisée. En cas de publication dans les journaux, l’assureur soumet une copie des pages du journal renfermant la publication réalisée. Article 17: Effets de la violation de l’article 5 L’Autorité de contrôle peut exiger l'un des éléments suivants dans le cas où une information a été publiée en violation des dispositions de l’Article 5 du présent Règlement : 1° modification ou correction de

Official Gazette n° Special of 17/06/2022 152 amakuru; 2° gutangaza amakuru ahinduwe cyangwa akosowe; 3° gushyikiriza Urwego rw’Ubugenzuzi inyandiko z’inyongera, amakuru cyangwa ibisobanuro byerekeye inyandiko cyangwa amakuru. Impamvu yatumye mbere amakuru atangazwa hirengagijwe ibiteganywa n’ingingo ya 5 y’aya mabwiriza rusange igomba gusesengurwa igakorerwa inyandiko ishyikirizwa Urwego rw’Ubugenzuzi iherekejwe n’amakuru yakosowe nibura iminsi 5 mbere y’itariki yo kongera kuyatangaza. Ingingo ya 18: Gukomeza kumenyekanisha amakuru n’igihe bimara Raporo y’imari igenzuwe ndetse na raporo yaguye biguma ku rubuga rwa interineti rw’umwishingizi bireba nibura mu gihe cy’imyaka itanu (5) uhereye itariki yatangarijwe. Raporo y’imari y’umwaka yagenzuwe yatangajwe mu kinyamakuru igomba kuba ikubiyemo inyandiko igaragaza ko izo raporo z’imari zishobora no kuboneka ku rubuga rwa information; 2° publication of the amended or corrected information; 3° submission to the Supervisory Authority of any required additional document, information or explanation. The cause of previously information published without consideration of the provisions of article 5 of this Regulation shall be documented and submitted to the Supervisory Authority together with corrected information at least 5 days before the republication date. Article 18: Duration and continuous accessibility of information The annual audited financial statements and integrated report shall be available on the relevant insurer’s website for a minimum period of at least five (5) years from the date of publication. The annual audited financial information published in the newspaper shall include a statement stating that the same financial statements can also be found on the insurer’s l’information; 2° publication de l’information modifiée ou corrigée; 3° la soumission à l’Autorité de contrôle de tout document, information ou explication complémentaires. La cause de la publication des informations précédemment faite sans tenir compte des dispositions de l’article 5 du présent règlement doit être documentée et transmise à l’Autorité de contrôle avec les informations corrigées au moins cinq (5) jours avant la date de la nouvelle publication. Article 18: Durée et accessibilité continue de l’information Les états financiers audités et rapport intégré doivent être disponibles sur le site web de l’assureur concerné pendant au moins cinq (5) ans à compter de la date de leur publication. Les informations financières annuelles auditées publiées dans le journal doivent inclure une déclaration indiquant que les mêmes états financiers peuvent également être consultés sur

Official Gazette n° Special of 17/06/2022 153 interineti rw’umwishingizi. Izina ry’urubuga rigomba kugaragazwa muri raporo y’imari y’umwaka. Umwishingizi agomba kandi kugaragaza ahantu icyicaro cye gikuru giherereye aho raporo z’imari n’andi makuru bishobora kuboneka. UMUTWE WA III: AMAKURU ASOBANURA N’AMAKURU MU MIBARE Icyiciro cya mbere: Amakuru asobanura Ingingo ya 19: Imiterere y’ikigo Buri mwishingizi agomba kugaragariza rubanda amakuru nyayo kandi arambuye yerekeye imiterere y’ikigo mu buryo abafatanyabikorwa bacyo bashobora kuyageraho. Amakuru yerekeye imiterere y’umwishingizi agaragaza ibi bikurikira: 1° imiterere y’imirimo, n’ibisobanuro rusange bya serivisi z’ingenzi; 2° imiterere y’isoko umwishingizi akoreramo; 3° ibyo umwishingizi agamije website. The name of the website shall be specified in the annual published statement. An insurer shall also disclose the physical address of its head office where the financial statements and other disclosures can be accessed. CHAPTER III: QUALITATIVE AND QUANTITATIVE INFORMATION Section One: Qualitative information Article 19: Institutional profile Every insurer shall disclose to the public detailed information on institution profile in a way that is accessible to market participants. The information about insurer’s profile shall cover the following: 1° the nature of business, and a general description of key products; 2° the external environment in which it operates; 3° the insurer’s objectives, and le site Internet de l’assureur. Le nom du site Internet doit être spécifié dans l’état annuel publié. Un assureur doit également indiquer l’adresse physique de son siège social où les états financiers et autres informations peuvent être consultés. CHAPITRE III: INFORMATIONS QUALITATIVES ET QUANTITATIVES Section première: Informations qualitatives Article 19: Profil de l’institution Tout assureur est tenu de divulguer au public des informations suffisamment détaillées sur son profil de manière accessible aux participants du marché. Les informations concernant le profile institutionnel contient ce qui suit: 1° la nature des activités, et une description générale des produits clés; 2° l’environnement extérieur dans lequel il opère; 3° les objectifs de l’assureur, ainsi que les

Official Gazette n° Special of 17/06/2022 154 n’ingamba yashyizeho kugira ngo abigereho; 4° ibyahindutse mu buyobozi, imiterere n’imitunganyirize y’imirimo y’ingenzi; 5° impinduka zose zikomeye zabayeho mu mwaka; 6° gahunda z’ingenzi ndetse n’impamvu zatumye habaho ingaruka nziza cyangwa mbi kw’iterambere cyangwa imyitwarire by’ikigo; 7° ibisobanuro by’umutungo w’ingenzi ndetse n’ibyateza ingorane byagira ingaruka zabangamira ibyo umwishingizi agamije. Ku bw’igika cya mbere n’icya kabiri by’iyi ngingo, umwishingizi agomba kwita ku buryo ikigo cyubatse, yibanda ku ngingo z’ingenzi haba mu byerekeye imiterere y’ikigo no mu mirimo ikorerwa mu itsinda ry’ibigo. Ingingo ya 20: Imiyoborere y’ikigo Umwishingizi agomba kumenyekanisha imiterere y’ingenzi iranga imiyoborere strategies in place to achieve those objectives; 4° the change in the management, structure and organization of key functions; 5° any material changes that have taken place during the year; 6° the main trends and factors that have contributed positively or negatively to the development and performance of the institution; 7° a description of key resources and risks that could have an impact on the insurer’s objectives. For the purpose of Paragraphs One and Two of this Article, an insurer shall take into account its corporate structure focusing on material aspects both in terms of the legal entities within the corporate structure and the business functions undertaken within the group. Article 20: Corporate governance An insurer shall disclose the key features of its corporate governance framework and stratégies mises en place pour leur réalisation; 4° le changement dans la direction, la structure et l’organisation des fonctions clés; 5° tout changement important survenu au cours de l’exercice; 6° les principales tendances et facteurs ayant contribué positivement ou négativement au développement et à la performance de l’institution; 7° une description des ressources clés et des risques pouvant avoir eu un impact sur les objectifs de l’assureur. Aux fins du premier et deuxième paragraphe du présent article, l’assureur doit tenir compte de sa structure d’entreprise, en mettant l’accent sur les aspects matériels au niveau institutionnel dans la structure d’entreprise et de fonctions exercées au sein du groupe. Article 20: Gouvernance d’entreprise L’assureur doit publier les principales caractéristiques de son cadre de gouvernance

Official Gazette n° Special of 17/06/2022 155 y’ikigo cye n’igenzura ry’imicungire hibandwa ku bikurikira: 1° amakuru rusange yerekeye uburyo bw’imiyoborere; 2° ibisabwa byerekeye ubunyangamugayo n’ubushobozi(garagaza, iyo bihari, ibyahindutse mu buyobozi bukuru cyangwa mu nama y’ubutegetsi y’ikigo cy’ubwishingizi ku mpamvu z’ibibazo by’ubunyangamugayo n’ubushobozi); 3° uburyo imirimo y’ingenzi ipanzwe mu miterere y’inzego z’imirimo; 4° uburyo bw’isuzuma ry’imbere; 5° umurimo w’ubugenzuzi bw’imbere; 6° umurimo w’ubuhanga mu by’imibare y’ubwishingizi; 7° imirimo yaragijwe abantu bo hanze y’ikigo; 8° uburyo Inama y’Ubutegetsi yifashisha mu gukurikirana imirimo, impinduka zakozwe mu bakozi b’ingenzi n’ibindi bikorwaremezo by’imicungire. management controls with due emphasis to: 1° general information on the system of governance; 2° fit and proper requirements (mention, if any, change in the company’s management or board of directors due to fit and proper issues) 3° the manner in which key business functions are organized within the organization structure; 4° internal control system; 5° internal audit function; 6° actuarial function; 7° outsourced services; 8° the mechanism used by the board of directors to oversee the functions, changes to key personnel and other management infrastructure. d’entreprise et de ses contrôles de gestion en mettant l’accent sur: 1° des informations générales relatives au système de gouvernance ; 2° les exigences de dignité et de compétence (mention, le cas échéant, de changements dans la direction ou le Conseil d’administration de la société en raison de problèmes de dignité et de compétence) ; 3° la manière dont les fonctions d’activités clés sont organisées au sein de sa structure organisationnelle; 4° système de contrôle interne; 5° fonction d’audit interne; 6° fonction actuarielle; 7° services externalisés ; 8° le mécanisme utilisé par le Conseil d’administration pour superviser les fonctions, les modifications du personnel clé et les autres

Official Gazette n° Special of 17/06/2022 156 Ingingo ya 21: Imari shingiro ihagije Umwishingizi agomba gutangariza amakuru abayifashisha kugira ngo babashe gusuzuma intego ze, politiki ze n’imikorere ye byerekeye gucunga imari shingiro no kugenzura ko imari shingiro ye ihagije. Itangazwa ry’ayo makuru rigomba kuba ririmo igisobanuro cy’imiterere y’imicungire y’imari shingiro kigomba kugaragaza nibura ibi bikurikira: 1° ibyerekeye imari shingiro biteganywa mu mabwiriza; 2° impapuro mvunjwafaranga zifatwa nk’imari shingiro ihari; 3° politiki n’uburyo bukurikizwa mu micungire y’imari shingiro; 4° ingorane z’ingenzi hamwe n’ingamba bigira uruhare mu kubara imari shingiro; na 5° politiki umwishingizi akurikiza mu kwihanganira ibyateza ingorane. Article 21: Capital adequacy An insurer shall disclose to users information that enables them to evaluate its objectives, policies and processes for managing the capital and to assess its capital adequacy. The disclosure of such information shall encompass a description of the capital management that shall include at least the following: 1° the regulatory capital requirements; 2° instruments regarded as available capital; 3° the policies and processes for managing capital; 4° key risks and measures which influence the capital calculation; and 5° the insurer’s risk tolerance policy. infrastructures de gestion. Article 21: Adéquation du capital L’assureur doit communiquer aux utilisateurs des informations leur permettant d’évaluer ses objectifs, ses politiques et ses processus de gestion du capital et d’évaluer son adéquation du capital. La communication de ces informations doit inclure une description de la gestion du capital, qui doit comprendre au moins les éléments suivants: 1° les exigences réglementaires du capital; 2° les instruments considérés comme capital disponible; 3° les politiques et processus de gestion du capital; 4° les principaux risques et mesures qui influencent le calcul du capital ; et 5° la politique de l’assureur pour la tolérance au risque.

Official Gazette n° Special of 17/06/2022 157 Ingingo ya 22: Amafaranga y’ingoboka Umwishingizi agomba gutangariza rubanda amakuru akurikira ku birebana n’uburyo akoresha mu kugena amafaranga y‘ingoboka: 1° uburyo bukoreshwa mu kugena ingano y’imyenda n’agaciro k’umutungo; 2° amakuru yerekeye amafaranga yinjiye n’ayasohotse; 3° impamvu yatumye haba guhitamo igabanya ry’ibipimo by’inyungu; 4° uburyo bukoreshwa mu kugabanyaingorane, igihe bwakoreshejwe; na 5° andi makuru, igihe bibaye ngombwa, atuma hasobanurwa uburyo bwakoreshejwe mu kugena amafaranga y’ingoboka. Ingingo ya 23: Ibyateza ingorane byerekeye ubwishingizi n’uburyo bwo kuzicunga Gutangaza ibyerekeye ibyateza ingorane mu bwishingizi ikigo cyahura na zo hatangwa Article 22: Technical provisions An insurer shall disclose to the public the following information in regards to the methodology used in determination of technical provisions: 1° valuation methods of liabilities and assets; 2° the future cash flow assumptions; 3° the rationale for the choice of discount rates; 4° risk adjustment methodology, where used; and 5° other information as appropriate to provide a description of the method used to determine technical provisions. Article 23: Insurance risk exposures and their management The disclosure about insurance risk exposure shall give information on all reasonably Article 22: Les provisions techniques L’assureur doit communiquer au public les informations suivantes sur la méthode utilisée pour déterminer les provisions techniques: 1° méthodes d'évaluation du passif et de l’actif; 2° les hypothèses de flux de trésorerie futurs; 3° la justification du choix des taux de rabais; 4° la méthodologie d’ajustement du risque, le cas échéant ; et 5° d’autres informations, le cas échéant, permettant de décrire la méthode utilisée pour déterminer les provisions techniques. Article 23: Engagement aux risques d’assurance et leur gestion La déclaration sur les engagements aux risques d’assurance doit fournir des informations sur

Official Gazette n° Special of 17/06/2022 158 amakuru ku bintu byose byateza ingorane zikomeye mu bwishingizi kandi bigaragara ko zashoboraga guteganywa no gucungwa uko bikwiye. Hakurikijwe igika kibanziriza iki, hagomba gutangazwa ibi kurikira: 1° intego na politiki; 2° imiterere y’icyitegererezo na tekiniki mu micungire y’ibyateza ingorane mu bwishingizi; 3° amakuru yerekeye imiterere, ubukana n’urusobe rw’ingorane zishingiye ku masezerano y’ubwishingizi hibandwa ku bikurikira: a) ingorane mu gufata ubwishingizi ; b) ingorane ituruka ku buryozwe; c) ingorane ishingiye ku isoko ; d) ingorane ituruka ku nguzanyo ; e) ingorane ituruka ku mafaranga abitse ; foreseeable and relevant material insurance risk exposures and their management. For the purpose of the preceding paragraph, the following shall be disclosed: 1° its objectives and policies; 2° models and techniques for managing insurance risks; 3° information about the nature, scale and complexity of risks arising from insurance contracts with due emphasis to: a) underwriting risk b) insurance liability risk c) market risk; d) credit risk; e) liquidity risk; tous les engagements significatifs au risque d’assurances raisonnablement prévisibles et pertinentes, ainsi que sur leur gestion. Aux fins du paragraphe précédent, les éléments suivants doivent être communiqués: 1° ses objectifs et ses politiques; 2° modèles et techniques de gestion des risques d’assurance; 3° informations sur la nature, l’ampleur et la complexité des risques liés aux contrats d’assurance, en insistant sur: a) le risque de souscription b) le risque de responsabilité d’assurance ; c) le risque du marché ; d) le risque de crédit ; e) le risque de liquidité ;

Official Gazette n° Special of 17/06/2022 159 f) ingorane ituruka ku ngamba ; g) ingorane ituruka ku muntu ufitanye isano n’ikigo ; h) ingorane ituruka ku bikorwa ; i) ingorane ituruka ku kutubahiriza amategeko ; j) indi ngorane ikomeye. 4° uburyo umwishingizi akoresha ubwishingizi bw’abishingizi cyangwa ubundi bwoko bw’ihererekanya ry’icyateza ingorane; 5° ubwumvikane mu mikoranire hagati y’imari shingiro ihagije n’icyateza ingorane. Ingingo ya 24: Imicungire y’icyateza ingorane mu kigo Abishingizi bagomba kugaragariza rubanda imicungire y’ibyateza ingorane ikigo ikubiyemo imicungire y’icyuho kiboneka hagati y’umutungo n’imyenda. Aya makuru aba akubiyemo nibura uburyo bwakoreshejwe n’imibare y’ingenzi f) strategic risk; g) related party risk h) operational risk; i) compliance risk; j) other material risk. 4° how the insurer uses reinsurance or other forms of risk transfer; 5° an understanding of the interaction between capital adequacy and risk. Article 24: Enterprise risk management Insurers shall disclose to the public the enterprise risk management that shall include asset-liability management. At a minimum, this information includes the methodology used and the key assumptions f) le risque stratégique ; g) le risque lié à une personne apparentée ; h) le risque opérationnel ; i) le risque de conformité ; j) autre risque important. 4° la manière dont l’assureur utilise la réassurance ou d’autres formes de transfert de risque; 5° une compréhension de l’interaction entre l’adéquation du capital et le risque. Article 24: Gestion des risques de l’entreprise Les assureurs doivent divulguer au public la gestion des risques de l’entreprise, qui comprend la gestion de l’actif et du passif. Ces informations incluent, au moins, la méthodologie utilisée et les principales

Official Gazette n° Special of 17/06/2022 160 yifashishijwe mu gupima umutungo n’imyenda hagamije kugabanya icyuho hagati yabyo n’indi mari shingiro na/cyangwa ingoboka ibitse ikomoka ku kinyuranyo hagati y’umutungo n’imyenda. Ingingo ya 25: Kugaragaza amakuru yerekeye ishoramari Umwishingizi agomba kugaragaza amakuru yerekeye uko imari y’ikigo cye ihagaze yerekana amakuru mu mibare ndetse n’amakuru asobanura yerekeye impapuro mvunjwafaranga n’ibindi bikorwa by’ishoramari, akurikije ibyiciro. Abishingizi bagomba kugaragaza amakuru y’inyongera akurikira: 1° ibigamijwe mu ishoramari; 2° politiki n’uburyo bukoreshwa; 3° agaciro, imibare yashingiweho n’uburyo bwakoreshejwe hagamijwe gutanga raporo zerekeye imari n’ubushobozi bwo kwishyura ndetse n’igisobanuro cy’ibyuho (aho bigaragara); na 4° amakuru yerekeye uko ikigo gihagaze ugereranyije n’imiterere y’isoko employed in measuring assets and liabilities for asset-liability management purposes and any capital and/or provisions held because of a mismatch between assets and liabilities. Article 25: Investment information disclosures Insurer shall disclose the financial position of an insurer that includes appropriately detailed quantitative and qualitative information about financial instruments and other investments by class. Insurers shall disclose the following additional information: 1° investment objectives; 2° policies and processes; 3° values, assumptions and methods used for financial reporting and solvency purposes, as well as an explanation of the differences (where applicable); and 4° information concerning the level of sensitivity to market variables hypothèses utilisées pour évaluer les actifs et les passifs aux fins de la gestion actif-passif, ainsi que les fonds propres et/ou les provisions détenus en conséquence d’un écart entre les actifs et les passifs. Article 25: Divulgation des informations sur les investissements L’assureur doit fournir des informations sur sa situation financière, y compris des informations quantitatives et qualitatives détaillées sur les instruments financiers et les autres investissements, par catégorie. Les assureurs doivent déclarer les informations supplémentaires suivantes: 1° objectifs d’investissement; 2° politiques et procédures ; 3° les valeurs, hypothèses et méthodes utilisées pour des fins de production des rapports financiers et de solvabilité, ainsi que des explications des différences (le cas échéant); et 4° des informations concernant le degré de sensibilité aux variables de marché

Official Gazette n° Special of 17/06/2022 161 ifitanye isano n’ingano y’imari yagaragajwe. Ingingo ya 26: Ingengabihe yo kugaragaza amakuru asobanura Gutangaza amakuru asobanura bisabwa muri iki cyiciro bikorwa buri mwaka akaba kimwe mu bigize raporo yaguye. Icyiciro cya 2: Gutangaza amakuru mu mibare Ingingo ya 27: Amakuru mu mibare Umwishingizi agomba gutangaza amakuru mu mibareavugwa mu MIGEREKA YA I, II, III na IV y’aya mabwiriza rusange. Ingingo ya 28: Ingengabihe yo gutangaza amakuru mu mibre Amakuru mu mibare asabwa gutangazwa avugwa mu MUGEREKA WA I n’uwa II y’aya mabwiriza agomba gutangazwa buri gijembwe na buri mwaka. Amakuru ku mibare igaragaza imikoreshereze y’umutungo asabwa kugaragazwa mu MUGEREKA WA III n’uwa IV y’aya mabwiriza rusange agomba gutangazwa buri mwaka kandi akaba kimwe associated with disclosed amounts. Article 26: Qualitative disclosures timeframe Qualitative disclosures that are required in this regulation shall be disclosed annually and shall be part of the integrated report. Section 2: Disclosure of quantitative information Article 27 : Quantitative information An insurer shall disclose quantitative information required in APPENDIX I, II, III and IV of this Regulation. Article 28: Quantitative disclosures timeframe Quantitative disclosures required in APPENDIX I AND II of this regulation shall be published on quarterly and annual basis. Quantitative disclosures required in APPENDIX III and IV of this regulation shall be published on annual basis and shall be part of the annual integrated report. associées aux montants déclarés. Article 26: Calendrier de publication des informations qualitatives Les informations qualitatives requises dans la présente section doivent être publiées chaque année et faire partie du rapport intégré. Section 2: Publication des informations quantitatives Article 27: Informations quantitatives Un assureur doit divulguer les informations quantitatives figurant aux ANNEXES I, II, III et IV du présent règlement. Article 28: Calendrier de divulgation des informations quantitatives Les informations quantitatives requises aux ANNEXES I et II du présent règlement doivent être publiées sur une base trimestriellement et annuellement. Les informations quantitatives requises aux ANNEXES III et IV du présent règlement doivent être publiées sur une base annuelle et faire partie du rapport annuel intégré.

Official Gazette n° Special of 17/06/2022 162 mu bigize raporo y’umwaka yaguye. UMUTWE WA IV: INGINGO ZINYURANYE N’IZISOZA Ingingo ya 29: Inama y’impande ebyiri ihuza ibigo n’abagenzuzi bigenga Urwego rw’Ubugenzuzi rushobora gutumiza inama ihuza abagenzuzi bigenga nibura rimwe mu mwaka n’igihe cyose Urwego rw’Ubugenzuzi rubona ari ngombwa kugira ngo baganire ku bibazo by’inyungu basangiye zijyanye n’imikorere y’imirimo y’umwishingizi. Ingingo ya 30: Ibyemezo bikosora Umwishingizi udatangariza igihe raporo z’imari atabanje kubyemererwa n’Urwego rw’Ubugenzuzi, ugaragaje isura itariyo ya raporo z’imari cyangwa utubahiriza ibikubiye muri aya mabwiriza rusange, afatirwa ibyemezo bikosora hamwe n’ibihano. Ingingo ya 31 : Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Amabwiriza rusange N° 30 /2019 yo ku wa 16/12/2019 yerekeye itangazwa rya raporo z’imari n’andi makuru agaragazwa CHAPTER IV: MISCELLANEOUS AND FINAL PROVISIONS Article 29: Bilateral meeting with external auditors The Supervisory Authority may convene a meeting with external audit firms at least once year and whenever deemed necessary by the Supervisory Authority to discuss issues of common interest relating to the insurer’s operations. Article 30 Corrective measures If an insurer fails to publish its financial statements on time without prior authorization of the Supervisory Authority, misrepresent its financial statements or fails to comply with the provisions of this regulation, it shall be subject to applicable corrective actions and sanctions. Article 31: Repealing provisions Regulation N° 30 /2019 of 16/12/2019 on publication of financial statements and other disclosures by insurers and all prior CHAPITRE IV: DISPOSITIONS DIVERSES ET FINALES Article 29: Réunion bilatérale avec les auditeurs externes L’Autorité de contrôle peut convoquer une réunion avec des cabinets d’audit externe au moins une fois par an et autant de fois que l’Autorité de contrôle le juge nécessaire pour aborder les questions d’intérêt commun relatives aux activités de l’assureur. Article 30: Mesures correctives S’expose aux mesures correctives et aux sanctions applicables, tout assureur qui omet de publier ses états financiers dans les délais impartis sans l’autorisation préalable de l’Autorité de contrôle, donne une image inexacte de ses états financiers ou ne respecte pas les dispositions du présent règlement. Article 31 : Disposition abrogatoires Règlement N° 30 /2019 du 16/12/2019 sur la publication des états financiers et autres divulgations d’informations par les assureurs et

Official Gazette n° Special of 17/06/2022 163 n’abishingizi n’izindi ngingo zose zinyuranyije n’aya mategeko zivanyweho. Ingingo ya 32: Igihe aya mabwiriza rusange atangira gukurikizwa Aya mabwiriza rusange atangira gukurikizwa ku munsi atangarijweho mu Igazeti ya Leta ya Repubulika y’u Rwanda. provisions contrary to this regulation are hereby repealed. Article 32: Commencement This regulation shall come into force on the date of its publication in the Official Gazette of the Republic of Rwanda. toutes autre disposition contraires au présent règlement sont abrogées. Article 32: Entrée en vigueur Le présent règlement entre en vigueur le jour de sa publication au Journal Officiel de la République du Rwanda.

Official Gazette n° Special of 17/06/2022 164 Kigali, 02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho Ikirango cya Repubulika: Seen and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux

Official Gazette n° Special of 17/06/2022 165 UMUGEREKA WA I A. RAPORO YEREKEYE AMAFARANGA YINJIJWE N’UMWISHINGIZI UTANGA UBWISHINGIZI BW’IGIHE KIGUFI : UMWAKA WARANGIYE KU WA ……………. Amafaranga yinjijwe n’umwishingizi utanga ubwishingizi rusange Imibare mu bihumbi Uyu mwaka Umwaka ushize 20.. 20… Umubare mbumbe w’ikiguzi cy’ubwishingizi XXX XXX Ibyahindutse mu mafaranga y’ubwishingizi atarinjiye (xxx)xxx (xxx)xxx Umubare mbumbe w’amafaranga y’ubwishingizi yinjiye xxx xxx Havuyemo ayeguriwe abishingizi b’abishingizi (xxx) (xxx) Umubare nyakuri w’amafaranga y’ubwishingizi yinjiye xxx xxx Kongeraho: umufuragiro winjiye xxx xxx Havuyemo: umufuragiro wishyuwe (xxx) (xxx) Umubare nyakuri w’amafaranga y’ubwishingizi yinjiye mu musaruro xxx xxx Ibyishyujwe byishyuwe xxx xxx havuyemo: amafaranga yishyuzwa abishingizi b’abishingizi (xxx) (xxx) Icyahindutse mu mpanuka zitarishyurwa (xxx)xxx (xxx)xxx Icyahindutse mu mafaranga y’ingoboka azigamiwe ibyangiritse ariko bitaramenyeshwa umwishingizi (xxx)xxx (xxx)xxx Umubare nyakuri w’amafaranga yishyuzwa xxx xxx Ayasohotse yishyuwe ku bihembo (Xxx) (xxx) Ayakoreshejwe mu micungire y’ibyishyuzwa (xxx) (xxx) Umubare nyakuri w’urwunguko cyangwa igihombo byatewe no xxx xxx

Official Gazette n° Special of 17/06/2022 166 gutanga ubwishingizi urwunguko rukomoka ku ishoramari xxx xxx Indi nyungu ku mirimo yakozwe xxx xxx Ayinjiye aturutse ku nyungu xxx xxx Urundi rwunguko xxx xxx Igiteranyo cy’amafaranga yinjiye xxx xxx Amafaranga yasohotse atari ay’imicungire y’ikigo xxx xxx Ayasohotse ku nyungu/ikiguzi mu mari xxx xxx Andi mafaranga yasohotse xxx xxx Inyungu mbere y’imisoro ku bihembo xxx xxx Ayasohotse mu kwishyura umusoro ku bihembo (xxx) (xxx) Urwunguko cyangwa igihombo ku mwaka Xxx/(xxx) Xxx/(xxx) Andi mafaranga yose yinjiye (Sobanura) xxx xxx Igiteranyo cy’amafaranga yose yinjiye mu mwaka XXX/(xxx) XXX/(xxx) Amafaranga yose abarwa mu nyungu Amafaranga atagenewe igihombo/inyungu yimuwe mu wundi mwaka xxx xxx Igiteranyo cy’umubare w’urwunguko rwabonetse rushyirwa mu mutungo xxx xxx Amafaranga yimurirwa mu ngoboka (xxx) (xxx) Inyungu ku migabane zishyuwe cyangwa zigomba kwishyurwa (xxx) (xxx) Andi mafaranga abarwa mu mutungo (xxx) (xxx) urwunguko/igihombo bitabarwa mu mutungo byimuwe xxx xxx

Official Gazette n° Special of 17/06/2022 167 B. AMAFARANGA YINJIJWE N’UMWISHINGIZI UTANGA UBWISHINGIZI BW’IGIHE KIREKIRE MU MWAKA WARANGIYE KU WA ……….. Imibare mu bihumbi Umwaka turimo Umwaka ushize 20.. 20… Umubare mbumbe w’amafaranga y’ubwishingizi Umubare mbumbe w’amafaranga y’ikiguzi cy’ubwishingizi XXX XXX Havuyemo : umufuragiro wishyuwe abahuza mu bwishingizi (XXX) (XXX) Havuyemo: Ubwishingizi bw’abishingizi bwafashwe n’umwishingizi (XXX) (XXX) Kongeraho: umufuragiro ku bwishingizi bw’abishingizi winjiye XXX XXX Umubare nyakuri w’ikiguzi cy’ubwishingizi yinjiye XXX XXX Impanuka, imisanzu yasubijwe, ayishyuwe buri mwaka n’ibindi bigenerwa abishingiwe XXX XXX Havuyemo: ayishyujwe abishingizi b’abishingizi (XXX) (XXX) Icyahindutse nyakuri mu buryozwe bw’ubwishingizi XXX/(XXX) X XX/(XXX) Umubare nyakuri w’ibyishyuzwa n’ibigenerwa abishyuza (XXX) (XXX) Igihombo/inyungu cyaturutse mu gutanga ubwishingizi XXX XXX Andi mafaranga yinjiye Ayinjijwe n’ibikorwa by’ishoramari XXX XXX Izindi nyungu zaturutse ku mirimo ikorwa XXX XXX Izindi nyungu XXX XXX Igiteranyo cy’inyungu zaturutse ku mirimo ikorwa XXX XXX Ayasohotse Ikiguzi cy’imari (XXX) (XXX) Ayatanzwe ku mirimo ikorwa n’ayatanzwe mu kazi (XXX) (XXX)

Official Gazette n° Special of 17/06/2022 168 Amafaranga yasohotse mu kwakira ibikorwa by’ubucuruzi bishya (XXX) (XXX) Ayasohotse ku mifuragiro yahawe abahuza mu bwishingizi (XXX) (XXX) Agaciro nyakuri kahererekanywe ku migabane iri ku isoko (XXX) (XXX) Andi mafaranga yasohotse ku mirimo yakozwe (XXX) (XXX) Igiteranyo cy’amafaranga yasohotse (XXX) (XXX) Igiteranyo cy’amafaranga yinjiye XXX XXX Urwunguko hataravanwamo umusoro XXX XXX Inguzanyo ku musoro ku nyungu/(amafaranga akatwa) XXX XXX Urwunguko /igihombo nyakuri by’umwaka XXX/(xxx) XXX/(xxx) Andi mafaranga yose yinjiye (sobanura) XXX XXX Igiteranyo cy’amafaranga yose yinjiye mu mwaka XXX/(xxx) XXX/(xxx) Amafaranga yose abarwa mu rwunguko Amafaranga atabarwa mu rwunguko/ gihombo yimuwe mu wundi mwaka xxx xxx Igiteranyo cy’umubare w’inyungu ibonetse ishyirwa mu mutungo xxx xxx Amafaranga yimurirwa mu ngoboka (xxx) (xxx) Inyungu ku migabane zishyuwe cyangwa zigomba kwishyurwa (xxx) (xxx) Andi mafaranga abarwa mu mutungo (xxx) (xxx) Urwunguko/igihombo bitabarwa mu mutungo byimuwe mu wundi mwaka xxx xxx

Official Gazette n° Special of 17/06/2022 169 C. UKO IMARI Y’UMWISHINGIZI UTANGA UBWISHINGIZI BW’IGIHE KIGUFI IHAGAZE MU MWAKA WARANGIYE KU WA ………….. Imibare mu bihumbi Uyu mwaka 20.. Umwaka ushize 20… IMITUNGO Imitungo idahindurwa vuba mu mafaranga Amazu n’ibikoresho xxx xxx Imitungo idafatika xxx xxx Ishoramari mu mazu xxx xxx Ishoramari mu bo bafitanye isano xxx xxx Ishoramari mu migabane itarashyizwe ku isoko xxx xxx Ishoramari kugeza igihe kigenwe cyo kwishyurwa xxx xxx Ishoramari mu migabane yashyizwe ku isoko xxx xxx Imitungo mu mpapuro mvunjwafaranga – ku kiguzi cy’ubwicungure xxx xxx Imitungo mumpapuro mvunjwafaranga- ku gaciro nyako mu nyungu n’igihombo xxx xxx Imitungo ikomoka ku byasigaye ku byangiritse byeguriwe umwishingizi no ku isimbura mu masezerano xxx xxx Igiteranyo cy’imitungo idahindurwa vuba mu mafaranga xxx xxx Imitungo ihindurwa mu mafaranga mu gihe kigufi: Amafaranga y’ikiguzi cy’ubwishingizi yishyuzwa xxx xxx Amafaranga y’ikiguzi cy’ubwishingizi bw’abishingizi yishyuzwa xxx xxx Andi mafaranga yishyuzwa xxx xxx Imitungo yimuriwe isoreshwa xxx xxx Amafaranga yimuwe azishyurwa mu kugura ibikoresho xxx xxx Umusoro ku bihembo agaruzwa xxx xxx Imitungo y’imari – Amafaranga abitse mu gihe kigenwe xxx xxx Amafaranga ari mu isanduku n’asigaye abitse ku makonti xxx xxx Igiteranyo cy’imitungo ihindurwa mu mafaranga mu gihe kigufi Indi mitungo y’imari itari amafaranga abikiwe gukoreshwa mu gihe kigenwe xxx xxx

Official Gazette n° Special of 17/06/2022 170 Igiteranyo cy’imitungo xxx xxx IMARI SHINGIRO BWITE N’IMYENDA xxx xxx Imari shingiro bwite xxx xxx Imari shingiro xxx xxx Inyungu yabyawe n’imigabane yashyizwe ku isoko xxx xxx Ingoboka y’igenagaciro rishya ry’amazu xxx xxx Ingoboka y’agaciro nyako xxx xxx Izindi ngoboka xxx xxx Urwunguko ukuyemo inyungu ku migabane /igihombo mu mwaka Xxx/(xxx) Xxx/(xxx) Inyungu yabonetse ukuyemo inyungu ku migabane / ibihombo byabonetse xxx xxx Igiteranyo cy’imari shingiro bwite xxx xxx Imyenda Amafaranga y’ingoboka: Ibyishyuzwa bitarishyurwa / ibyishyuzwa byakwishyurwa xxx xxx Amafaranga y’ingoboka azigamiwe ibyangiritse ariko bitaramenyeshwa umwishingizi (IBNR) xxx xxx Ingoboka yo kwishingira amafaranga y’ubwishingizi atarinjiye xxx xxx Amafaranga y’ingoboka ku byishingiwe bitarangiye xxx xxx Igiteranyo cy’amafaranga y’ingoboka xxx xxx Indi myenda: Ubwishingizi bw’abishingizi bwishyuzwa xxx xxx Imifuragiro yakwishyurwa abahuza mu bwishingizi xxx xxx Amafaranga aberewemo abantu bafitanye isano n’ikigo xxx xxx Umusoro ku bihembo wimuriwe ikindi gihe xxx xxx Umusoro ku bihembo wishyuzwa xxx xxx Ibindi byishyuzwa n’amafaranga yabyawe n’ibirarane xxx Xxx Igiteranyo cy’imyenda xxx xxx Igiteranyo cy’imari shingiro bwite n’imyenda xxx xxx

Official Gazette n° Special of 17/06/2022 171 D. UKO IMARI Y’UMWISHINGIZI UTANGA UBWISHINGIZI BW’IGIHE KIREKIRE IHAGAZE MU MWAKA WARANGIYE KU WA……… Imibare mu bihumbi Umwaka turimo Umwaka ushize Imitungo Imitungo idashobora guhindurwa mu mafaranga mu gihe kigufi Amazu n’ibikoresho xxx xxx Umutungo w’igihe kirekire w’abishingizi b’abishingizi xxx xxx Umutungo ushingiye ku izina ry’ubucuruzi xxx xxx Indi mitungo idafatika xxx xxx Ishoramari mu migabane itarashyizwe ku isoko xxx xxx Ishoramari mu myenda igeze igihe cyo kwishyurwa xxx xxx Ishoramari mu migabane yashyizwe ku isoko xxx xxx Ishoramari mu mafaranga abitswa no mu bigega by’ishoramari xxx xxx Ishoramari mu bigo bibishamikiyeho no mu masosiyete akorana n’ibigo xxx xxx Ishoramari mu mazu xxx xxx Igiteranyo cy’imitungo idashobora guhindurwa mu mafaranga mu gihe kigufi xxx xxx Imitungo ishobora guhindurwa mu mafaranga mu gihe kigufi Amafaranga yimuwe azishyurwa mu kugura ibikoresho xxx xxx Umutungo usoreshwa wimuwe xxx xxx Amafaranga y’ikiguzi cy’ubwishingizi cyishyuzwa xxx xxx Amafaranga y’ikiguzi cy’ubwishingizi bw’abishingizi cyishyuzwa xxx xxx Indi mitungo yishyuzwa xxx xxx Amafaranga abitswe mu gihe kigenwe xxx xxx Amafaranga ari mu isanduku n’asigaye ku makonti xxx xxx Igiteranyo cy’imitungo ishobora guhindurwa mu mafaranga mu gihe kigufi xxx xxx

Official Gazette n° Special of 17/06/2022 172 Igiteranyo cy’imitungo xxx xxx Imari shingiro bwite n’imyenda Imari shingiro bwite Imari shingiro xxx xxx Agaciro k’umugabane ugurishwa xxx xxx Amafaranga azigamiwe imari shingiro xxx xxx Amafaranga azigamiwe ibyateza ingorane xxx xxx Urwunguko /igihombo mu mwaka Xxx/(xxx) Xxx/(xxx) Igihombo cyavutse / inyungu yabyawe n’imigabane xxx xxx Igiteranyo cy’imari shingiro bwite xxx xxx Imyenda Amafaranga y’ingoboka Igiteranyo cy’amafaranga y’ingoboka xxx xxx Uburyozwe bukomoka ku masezerano y’ubwishingizi xxx xxx Uburyozwe bukomoka ku masezerano y’ishoramari xxx xxx Amafaranga y’ingoboka azigamiwe ibyangiritse ariko bitaramenyeshwa umwishingizi (IBNR) xxx xxx Ingoboka ku mafaranga y’ubwishingizi atarinjiye xxx xxx Ingoboka ku byishingiwe bitarangiye xxx xxx Indi myenda: Imari y’igihe kirekire/inguzanyo xxx xxx Amafaranga azishyurwa abishingizi b’abishingizi xxx xxx Inguzanyo zivuye mu bigo ikigo cyashoyemo imigabane xxx xxx Amafaranga aberewemo abafitanye isano n’ikigo xxx xxx Imisoro yimuwe yishyuwe ku bihembo xxx xxx Umusoro usanzwe wishyuwe xxx xxx Ibindi byishyuwe xxx xxx Igiteranyo cy’imyenda xxx xxx

Official Gazette n° Special of 17/06/2022 173 E. IBYAHINDUTSE MU MARI SHINGIRO BWITE Y’UMWISHINGIZI UTANGA UBWISHINGIZI BW’IGIHE KIGUFI MU MWAKA WARANGIYE KU WA …………… Umwaka warangiye ku wa …. Ukuboza 20… Imari shingiro Agaciro kiyongereye ku mugabane Imigabane igurishwa Ingoboka y’igenaga ciro rishya ry’amazu Ingoboka y’agaciro nyako Andi mafaran ga agomba kubikwa Igihombo cyavutse/Urwungu ko Igiteranyo ‘000 Ku wa 1 Ukuboza 20… XXX xxx Urwunguko mu mwaka xxx Imigabane mishya ishyizwe ku isoko xxx Andi mafaranga yose yinjiye xxx xxx Inyungu ku migabane (xxx) Ishoramari riri mu gaciro nyako k’umutungo xxx Ayimuriwe mu nyungu yabonetse xxx Ku wa 31 Ukuboza 20…. xxx Umwaka warangiye ku wa 31 Ukuboza 20… Ku wa 1 Mutarama 20… xxx

Official Gazette n° Special of 17/06/2022 174 Guhuza n’amahame mpuzamahanga ngenderwaho mu gutanga raporo z’imari Ku wa 1 Mutarama 20.. xxx Urwunguko mu mwaka xxx Imigabane mishya ishyizwe ku isoko xxx Andi mafaranga yose yinjiye xxx xxx Impapuro mpeshwamwenda zashyizwe ku isokoku kiguzi cy’ubwicungure xxx Ayimuriwe mu nyungu isanzwe ihari xxx Ku wa 31 Ukuboza 20… xxx

Official Gazette n° Special of 17/06/2022 175 F. IBYAHINDUTSE MU MARI SHINGIRO BWITE Y’UMWISHINGIZI UTANGA UBWISHINGIZI BW’IGIHE KIREKIRE MU MWAKA WARANGIYE KU WA ……………….. Imari shingiro Agaciro kiyongereye ku mugabane Amafaranga azigamiwe kwishyura ibyatungurana Amafaranga azigamiwe imari shingiro Andi mafaranga azigamye Igihombo/ urwunguko Igiteranyo ‘000 Ku wa 1 Mutarama 20… XXX Igiteranyo cy’igihombo cyose mu mwaka xxxx Ayimuriwe mu ngoboka izigamirwa imari shingiro xxx Ayimuriwe mu mafaranga azigamiwe kwishyura ibyatungurana xxx Inyungu zabyawe n’imigabane (xxx) Andi mafaranga yose yinjiye xxx Ku wa 31 Ukuboza 20… xxx Ku wa 1 Mutarama 20… xxx Igiteranyo cy’igihombo cyose xxx

Official Gazette n° Special of 17/06/2022 176 mu mwaka Ayimuriwe mu ngoboka izigamirwa imari shingiro xxx Ayimuriwe mu mafaranga azigamiwe kwishyura ibyatungurana xxx Inyungu yabyawe n’imigabane (xxx) Andi mafaranga yose yinjiye xxx Ku wa 31 Ukuboza 20… xxx

Official Gazette n° Special of 17/06/2022 177 G. AMAFARANGA YINJIYE N’AYASOHOTSE KU MWISHINGIZI UTANGA UBWISHINGIZI RUSANGE MU MWAKA WARANGIYE KU WA …………………. Imibare mu bihumbi Uyu mwaka Umwaka ushize 20.. 20… Urwunguko hataravamo umusoro xxx xxx Ihuza ryakozwe ku Itakazagaciro ku mazu n’ibikoresho XXX XXX Igabanuka ry’umwenda xxx xxx Igabanuka ry’agaciro ku mazu xxx xxx Icyahindutse mu ngoboka z’imyenda itishyurwa xxx/(xxx) xxx/(xxx) Kugaruza ingoboka y’imyenda itishyurwa xxx xxx Ikiguzi cy’imari xxx xxx Itakazagaciro k’izina ry’ubucuruzi xxx xxx Ayinjiye n’ayasohotse ku nyungu (xxx)/xxx (xxx)/xxx Inyungu/igihombo mu ivunjisha (xxx)/xxx (xxx)/xxx Inyungu ku migabane yabonetse (xxx) (xxx) Inyungu yabonetse mu bigo bikorana n’ikigo (xxx) (xxx) Inyungu/igihombo ku igurishwa ry’amazu n’ibikoresho (xxx)xxx (xxx)xxx Inyungu yabonetse mbere y’ibyahindutse mu mafaranga akoreshwa xxx xxx Ibyahindutse mu mari shingiro ikoreshwa Inyongera mu kiguzi cy’ubwishingizi kitarishyurwa xxx xxx Izamuka/imanuka mu mafaranga yimuwe azishyurwa mu kugura ibikoresho xxx/(xxx) xxx/(xxx) Izamuka/imanuka ry’imitungo yerekeye ubwishingizi bw’abishingizi xxx/(xxx) xxx/(xxx) Izamuka/imanuka ryavuye ku mufuragiro agomba kwishyurwa abahuza xxx/(xxx) xxx/(xxx) Izamuka /imanuka ku mafaranga yishyuwe abafitanye isano n’ikigo xxx/(xxx) xxx/(xxx) Izamuka/imanuka ry’amafaranga y’ubwishingizi azishyurwa xxx/(xxx) xxx/(xxx)

Official Gazette n° Special of 17/06/2022 178 Izamuka/imanuka ry’ibindi bizishyurwa xxx/(xxx) xxx/(xxx) Izamuka/imanuka ry’ubwishingizi bw’abishingizi buzishyurwa xxx/(xxx) xxx/(xxx) Izamuka/imanuka ry’imifuragiro izishyurwa abahuza mu bwishingizi xxx/(xxx) xxx/(xxx) Izamuka/imanuka mu mafaranga y’ingoboka xxx/(xxx) xxx/(xxx) Izamuka/imanuka ry’ibyishyuzwa mu bwishingizi xxx/(xxx) xxx/(xxx) Amafaranga yabyawe n’ibikorwa byakozwe xxx xxx Inyungu yishyuwe (xxx) (xxx) Umusoro wishyuwe mu mwaka (xxx) (xxx) Amafaranga nyakuri yasohotse n’ayinjiye aturutse mu mirimo yakozwe xxx (xxx) xxx (xxx) Ibikorwa byashowemo imari Kugura ibikoresho byo mu mazu (xxx) (xxx) Kugura imitungo idafatika (xxx) (xxx) Gushora imari mu mpapuro mpeshamwenda za Leta n’uzigurisha zitarageza igihe cyo kwishyurwa (xxx) (xxx) Gushora imari mu mafaranga abitswa igihe kirekire ku kiguzi (xxx) (xxx) Gushora imari mu mitungo y’imari (y’amafaranga) ku gaciro nyako (xxx) (xxx) Ubukode bwishyuwe (xxx) (xxx) Amafaranga abitswe mu gihe kizwi mu bigo by’imari (xxx) (xxx) Irindi shoramari (xxx) (xxx) Amafaranga ava mu bukode xxx xxx Amafaranga ava mu mazu n’ibikoresho byagurishijwe xxx xxx Inyungu yakiriwe yakomotse ku migabane xxx xxx Inyungu zakiriwe xxx xxx Amafaranga yose hamwe yabyawe n’ibikorwa by’ishoramari xxx/(xxx) xxx/(xxx) Amafaranga yinjiye n’ayasohotse mu bikorwa by’imari Amafaranga yaturutse: Mu migabane mishya yashyizwe ku isoko xxx xxx Mu bukode xxx xxx

Official Gazette n° Special of 17/06/2022 179 Amafaranga yaturutse mu migabane nguzanyo xxx xxx Inguzanyo yatswe xxx xxx Amafaranga yishyuwe ku Igurwa ry’imigabane mishya (xxx) (xxx) Kwishyura inguzanyo (xxx) (xxx) Kwishyura ikodeshagurisha (xxx) (xxx) Inyungu yishyuwe yaturutse ku migabane (xxx) (xxx) Amafaranga nyakuri yasohotse n’ayinjiye mu bikorwa by’imari xxx/(xxx) xxx/(xxx) Izamuka /imanuka nyakuri mu mafaranga n’ibihwanye nayo xxx/(xxx) xxx/(xxx) Amafaranga n’ibihwanye nayo mu ntangiriro y’umwaka xxx/(xxx) xxx/(xxx) Amafaranga n’ibihwanye nayo mu mpera z’umwaka xxx xxx Bihujwe na Amafaranga ahari atari muri banki Amafaranga ari muri banki Amafaranga abitswa igihe kigufi ku buryo amanuka mu ngano

Official Gazette n° Special of 17/06/2022 180 H. IMARI YINJIYE N’IYASOHOTSE Y’UMWISHINGIZI UTANGA UBWISHINGIZI BW’IGIHE KIREKIRE MU MWAKA WARANGIYE KU WA……………………… Imibare mu bihumbi Uyu mwaka 20.. Umwaka ushize 20… Urwunguko hataravanwamo umusoro XXX XXX Buhujwe na : Ibyahindutse nyakuri mu kwishyura ibyo yaryozwa hakurikijwe amasezerano y’ubwishingizi XXX/(XXX) XXX/(XXX) Ibyahindutse nyakuri mu kwishyura ibyo yaryozwa n’amasezerano y’ishoramari XXX/(XXX) XXX/(XXX) Amafaranga yinjiye ku nyungu yiyongereye ku yindi XXX XXX Itakazagaciro ry’amazu n’ibikoresho XXX XXX Igabanuka ry’umwenda XXX XXX Inyungu yabyawe n’imigabane (xxx) (xxx) Inyungu/igihombo byakomotse ku igurishwa ry’amazu n’ibikoresho XXX/(XXX) XXX/(XXX) Icyahindutse mu gaciro nyako k’imigabane yashyizwe ku isoko XXX/(XXX) XXX/(XXX) Inyungu/igihombo mbere y’ibyahindutse mu mari shingiro ikoreshwa XXX/(xxx) XXX/(XXX) Imihindagurikire mu mari shingiro ikoreshwa: Ikiguzi cy’ubwishingizi kitarishyurwa XXX/(XXX) XXX/(XXX) Ubundi bucuruzi n’ibyishyuzwa XXX/(XXX) XXX/(XXX) Imyenda iberewemo abishingizi b’abishingizi XXX/(XXX) XXX/(XXX) Imyenda abishingizi b’abishingizi babereyemo ikigo XXX/(XXX) XXX/(XXX) Amafaranga yimuriwe mu yasigaye y’abafitanye isano n’ikigo XXX/(XXX) XXX/(XXX) Amafaranga y’ingoboka XXX/(XXX) XXX/(XXX) Amafaranga ashorwa mu mpapuro z’agaciro zifite igihe zishyurirwa XXX/(XXX) XXX/(XXX) Ibihembo byishyurwa abahuza mu bwishingizi XXX/(XXX) XXX/(XXX) Ubundi bucuruzi bwishyurwa XXX/(XXX) XXX/(XXX) Izamuka/igabanuka mu yindi mitungo isanzwe XXX/(XXX) XXX/(XXX) Izamuka/imanuka mu yindi myenda isanzwe XXX/(XXX) XXX/(XXX) Amafaranga yavuye mu mirimo yakozwe XXX/(XXX) XXX/(XXX)

Official Gazette n° Special of 17/06/2022 181 Umusoro ku bihembo wishyuwe XXX/(XXX) XXX/(XXX) Amafaranga yose yakoreshejwe mu mirimo XXX/(XXX) XXX/(XXX) Ibikorwa by’ishoramari Kugura ibikoresho byo mu mazu (XXX) (XXX) Kugura indi mitungo y’imari (XXX) (XXX) Ubukode bwishyuwe (XXX) (XXX) Amafaranga yaguzwe imigabane yashowe mu masosiyete yabyawe n’ikigo /abakorana n’ikigo (XXX) (XXX) Kugura imitungo idafatika (XXX) (XXX) Amafaranga abikijwe ageze igihe cyo kwishyurwa (XXX) (XXX) Amafaranga ava mu igurishwa ry’imitungo idashobora guhindurwa mu mafaranga mu gihe kigufi ngo igurishwe XXX XXX Amafaranga ava mu rindi shoramari XXX XXX Amafaranga ava mu igurishwa ry’amazu n’ibikoresho XXX XXX Inyungu zahawe abafite imigabane XXX XXX Amafaranga yavuye mu bukode XXX XXX Inyungu zakiriwe XXX XXX Amafaranga nyakuri yakoreshejwe mu bikorwa by’ishoramari XXX/(XXX) XXX/(XXX) Ibikorwa by’imari Umusanzu w’abanyamigabane XXX XXX Amafaranga yavuye mu nguzanyo zatswe XXX XXX Kwishyura inguzanyo yatswe (xxx) (xxx) Kwishyura ikodeshagurisha (xxx) (xxx) Inyungu ku migabane zishyuwe (xxx) (xxx) Amafaranga nyakuri yinjiye n’ayasohotse mu bikorwa by’imari XXX/(XXX) XXX/(XXX) Izamuka/imanuka mu mafaranga n’ibihwanye n’amafaranga XXX/(XXX) XXX/(XXX) Ihererekanywa ry’amafaranga n’ibihwanye nayo Ku wa 1 Mutarama XXX/(XXX) XXX/(XXX) Izamuka/imanuka ry’amafaranga n’ibihwanye n’amafaranga Ku wa 31 Ukuboza XXX/(XXX) XXX/(XXX)

Official Gazette n° Special of 17/06/2022 182 UMUGEREKA WA II: GUTANGAZA AMAKURU MU MIBARE Inyito Aho kurebera/ uko abarwa/ igisobanuro Umubare/ igipimo Uyu mwaka Umwaka ushize A. Ibyishingiwe hakurikijwe ubushobozi bwo kwishyura a. Ubushobozi bwo kwishyura busabwa b. Umutungo wemewe umwishingizi ahorana c. Agaciro k’ibyakwishyuzwa byose d. Ubushobozi bwo kwishyura buhari e. Ibirenga mu bushobozi bwo kwishyura cyangwa icyuho kibugaragaramo f. Igipimo cy’ubushobozi bwo kwishyura ibyishyuzwa B. Ingufu z’imari shingiro a. igiteranyo cy’imari shingiro ihari b. Imari Shingiro Isabwa hakurikijwe ibyateza ibyago umwishingizi yiyemeje kwishingira c. Igipimo cy’Imari Shingiro Ihagije C. Ingorane zerekeye uko umwishingizi azunguka a. Igipimo cy’Ibyishyuzwa Ibyishyuzwa ku mpanuka zabaye/ikiguzi cy’ubwishingizi cyishyuwe b. Igipimo cy’amafaranga agenda ku micungire n’imikorere y’ikigo Amafaranga akoreshwa mu micungire/Amafaranga y’ubwishingizi yinjiye

Official Gazette n° Special of 17/06/2022 183 c. Igipimo cy’Amafaranga agenda ku gutanga ubwishingizi Amafaranga yatanzwe ku mifuragiro yishyuwe abahuza/ Amafaranga y’ubwishingizi yinjiye d. Igipimo Gikomatanyije (Bireba Ubwishingizi bw’igihe kigufi gusa) Igipimo cy’ibyishyuzwa ku mpanuka+ igipimo cy’amafaranga akoreshwa mu mikorere y’ikigo n’imicungire yacyo+Igipimo cy’amafaranga nyakuri y’ikiguzi cy’ubwishingizi D. IBISHORWAMO IMARI a. Ibishorwamo Imari Ishoramari ryose rirengeje icumi ku ijana (10%) ku giteranyo cy’imitungo (izina n’umubare wayo) b. Igipimo cy’Imitungo yinjiza imari Imitungo yinjiye/igiteranyo cy’imitungo c. Igipimo cy’amazu yashowemo Imari Imitungo yashowemo imari/igiteranyo cy’imitungo d. Igipimo cy’imitungo iri mu mari shingiro bwite Imari shingiro bwite yashowemo imari/ igiteranyo cy’imitungo E. Ingorane zo kubura amafaranga a. Igipimo cy’Amafaranga abitse Imitungo iri mu mafaranga/ imyenda b. Igipimo cy’Isuzuma ry’ibibangamira amafaranga F. Imyenda iberewemo abafitanye isano n’ikigo a. Inguzanyo zahawe abagize inama y’ubutegetsi n’abayobozi bakuru b. Inguzanyo zahawe abakozi c. Inguzanyo zahawe amasosiyete yabyawe n’ikigo n’abakorana na cyo d. Inguzanyo zahawe abanyamigabane/sosiyete ibumbye izindi e. Imari yashowe mu masosiyete afitanye isano n’ikigo

Official Gazette n° Special of 17/06/2022 184 G. Ingorane zituruka ku mikorere y’imirimo a. Umubare n’ubwoko bw’ibikorwa by’uburiganya n’umubare w’amafaranga ujyana na byo H. Abagize umushinga w’ubucuruzi a. Umubare w’abishingiwe kuri buri shami b. Umubare w’amasezerano y’ubwishingizi agikurikizwa kuri buri shami I. Ubuyobozi n’Abagize Inama y’Ubutegetsi a. Umubare w’abagize Inama y’Ubutegetsi (Baturuka mu kigo n’abaturuka hanze) b. Umubare wa komite z’Inama y’Ubutegetsi c. Umubare w’abakozi bo mu buyobozi bukuru hakurikijwe ihame ry’uburinganire bw’abagabo n’abagore J. Abakozi Igiteranyo cy’umubare w’abakozi batari mu bayobozi bakuru hakurikijwe ihame ry’uburinganirebw’abagabo n’abagore K. Abahuza mu bwishingizi a. Umubare w’abahuza mu bwishingizi basanzwe b. Umubare w’abahuza mu bwishingizi bigenga c. Umubare w’abahuza igihombo n’ubwishyu busabwa/ abasuzumagaciro L. Amashami Umubare w’Amashami kuri buri Ntara harimo n’Umujyi wa Kigali

Official Gazette n° Special of 17/06/2022 185 UMUGEREKA WA III: Uko serivisi y’ubwishingizi yitwaye (Ubwishingizi bw’igihe kigufi) Ubwoko bwa serivisi Ikiguzi cy’ubwishi￾ngizi mbumbe (1) Amafaranga y’ikiguzi cy’ubwishin gizi yahawe umwishingiz i w’abishingiz i (2) Amafaranga y’ikiguzi cy’ubwishingi zi umwishingizi yasigaranye (3) Icyahinduts e mu mafaranga y’ubwishing izi atarinjiye (4) Umubare nyakuri w’amafar anga y’ubwishi -ngizi yinjiye (5) (3-4) umufuragir o winjiye cyangwa wishyuwe abahuza mu bwishingizi (6) Ibyishyuzw a ku mpanuka zabaye (7) Amafaran ga akoreshwa mu micungire( 8) Urwunguk o rwabyawe n’iyo serivisi (9) (5-6-7-8)

Official Gazette n° Special of 17/06/2022 186 UMUGEREKA WA IV: Uko serivisi y’ubwishingizi yitwaye (Ubwishingizi bw’igihe kirekire) Ubwok o bwa serivisi Ikiguzi cy’ubwish i-ngizi mbumbe (1) amafaranga y’ikiguzi cy’ubwishin gizi yahawe umwishingiz i w’abishingiz i (2) Amafarang a y’ikiguzi cy’ubwishi￾ngizi umwishingi zi yasigarany e (3) (1-2) Igiterany o cy’ibyishy uzwa hagendew e ku gihe cyo kwishyur a, urupfu cyangwa ibindi (4) Imisanz u yasubij we abishing iwe (5) Umufura gi-ro winjiye cyangwa wishyuwe abahuza mu bwishingi zi (6) Ubwishy u ngaruka -mwaka (7) Ibyishyu￾zwa, amafaran ga yahariwe n’agener wa abishingi we (8) (4+5+6+7) Ibihemb o ku bahuza (9) Amafa ranga yatanz we ku micung ire (10) Urwung uko rwabya￾we n’iyo serivisi (11) (3-8-9- 10) Igiteran yo xxx xxxx xxx xxxx xxxx xxx

Official Gazette n° Special of 17/06/2022 187 APPENDIX I A. STATEMENT OF COMPREHENSIVE INCOME: GENERAL INSURER FOR THE PERIOD ENDED…………….. Statement of comprehensive income of a General Insurer Figures in '000 current year Previous year 20.. 20… Gross written premiums XXX XXX Change in unearned premium (xxx)xxx (xxx)xxx Gross earned premium xxx xxx Less premium ceded to reinsurers (xxx) (xxx) Net premium revenue xxx xxx Add: commission earned xxx xxx less: commission paid (xxx) (xxx) Net Earned premium Revenue xxx xxx Gross claims paid xxx xxx Less: Amount recoverable from re-insurers (xxx) (xxx) change in outstanding claims (xxx)xxx (xxx)xxx change in Reserve for Incurred But Not Reported claims (IBNR)claims (xxx)xxx (xxx)xxx Net insurance claims incurred xxx xxx Commission expenses (Xxx) (xxx) Management expenses (xxx) (xxx) Net Underwriting profit/loss xxx xxx

Official Gazette n° Special of 17/06/2022 188 Investment income xxx xxx other operating income xxx xxx interest income xxx xxx other income xxx xxx Total operating income xxx xxx operating expenses other than management xxx xxx interest expenses/finance costs xxx xxx other expenses xxx xxx Profit before income tax xxx xxx Income tax expense/(charge) (xxx) (xxx) Net Profit or loss for the year Xxx/(xxx) Xxx/(xxx) Other comprehensive income( Specify) xxx xxx Total Comprehensive income for the year XXX/(xxx) XXX/(xxx) Profit appropriation Unappropriated profit/loss brought forward xxx xxx Total amount of profit available for appropriation xxx xxx Transfers to reserves (xxx) (xxx) Dividends paid or to be paid (xxx) (xxx) Other appropriations (xxx) (xxx) Unappropriated profit/loss carried forward xxx xxx

Official Gazette n° Special of 17/06/2022 189 B. STATEMENT OF COMPREHENSIVE INCOME OF LIFE INSURER FOR THE PERIOD ENDED……….. Figures in '000 current year previous year 20.. 20… Gross premiums Gross earned premiums XXX XXX Less : Insurance commission paid (XXX) (XXX) Less: Reinsurance ceded (XXX) (XXX) Add: Reinsurance commission Earned XXX XXX Net earned premium XXX XXX Claims, surrenders, Annuities and other policyholders’ benefits XXX XXX Less: reinsurance recoveries (XXX) (XXX) Net change in insurance liabilities XXX/(XXX) X XX/(XXX) Net claims and benefits (XXX) (XXX) Underwriting profit/loss XXX XXX Other income Investment income XXX XXX Other operating income XXX XXX Other income XXX XXX Total operating income XXX XXX Expenses Finance costs (XXX) (XXX) Operating and administrative expenses (XXX) (XXX) Acquisition cost (XXX) (XXX) Commissions expense (XXX) (XXX) Fair value movement on quoted shares (XXX) (XXX) Other operating expenses (XXX) (XXX) Total Expenses (XXX) (XXX)

Official Gazette n° Special of 17/06/2022 190 Total comprehensive income XXX XXX Profit before tax XXX XXX Income tax credit/(charge) XXX XXX Net Profit / Loss for the year XXX/(xxx) XXX/(xxx) Other comprehensive income(Specify) XXX XXX Total Comprehensive income for the year XXX/(xxx) XXX/(xxx) Profit appropriation Unappropriated profit/loss brought forward xxx xxx Total amount of profit available for appropriation xxx xxx Transfers to reserves (xxx) (xxx) Dividends paid or to be paid (xxx) (xxx) Other appropriations (xxx) (xxx) Unappropriated profit/loss carried forward xxx xxx

Official Gazette n° Special of 17/06/2022 191 C. STATEMENT OF FINANCIAL POSITION OF GENERAL INSURER AS AT "PERIOD ENDED ………….." Figures in '000 current year previous year 20.. 20… ASSETS Non -Current Assets: Property and equipment xxx xxx Intangible assets xxx xxx investment in properties xxx xxx investment in associates xxx xxx investment in unquoted shares xxx xxx held to maturity investment xxx xxx investment in quoted shares xxx xxx Financial assets- at amortized cost xxx xxx Financial assets- at FVPL xxx xxx salvage and subrogation assets xxx xxx total non- current assets xxx xxx Current Assets: Premium Receivables xxx xxx Reinsurance Receivables xxx xxx other receivables xxx xxx Deferred tax assets xxx xxx Deferred acquisition costs xxx xxx income tax recoverable xxx xxx Financial assets - Term deposits xxx xxx cash and bank balances xxx xxx Total current assets xxx xxx Total assets xxx xxx

Official Gazette n° Special of 17/06/2022 192 EQUITY AND LIABILITIES xxx xxx Equity xxx xxx Share capital xxx xxx Share premium xxx xxx Property revaluation reserve xxx xxx fair value reserve xxx xxx other reserves xxx xxx Profit/loss for the year Xxx/(xxx) Xxx/(xxx) Retained earnings/Accumulated losses xxx xxx Total equity xxx xxx Liabilities Technical provisions: Outstanding claims / claims payable xxx xxx Provision for Incurred But Not Reported claims (IBNR) xxx xxx Provision for unearned premium xxx xxx Unexpired Risks Reserve (URR) xxx xxx Total technical provision xxx xxx Other liabilities: Reinsurance payable xxx xxx commission payable xxx xxx Due to related parties xxx xxx Deferred income tax payable xxx xxx Current income tax payable xxx xxx Other payables and accruals xxx Xxx total liabilities xxx xxx Total equity and liabilities xxx xxx

Official Gazette n° Special of 17/06/2022 193 D. STATEMENT OF FINANCIAL POSITION OF LIFE INSURER AS AT " PERIOD ENDED ………" Figures in '000 current year previous year Assets Non- current assets Property and equipment xxx xxx Long term reinsurance assets xxx xxx Goodwill xxx xxx other Intangible assets xxx xxx Investment in Unquoted shares xxx xxx Held to maturity investments xxx xxx Investment in quoted shares xxx xxx investment in deposits and investment funds xxx xxx investment in subsidiaries and associated companies xxx xxx investment in properties xxx xxx Total non -current assets xxx xxx Current assets: Deferred acquisition costs xxx xxx Deferred tax asset xxx xxx Premium Receivables xxx xxx Reinsurance receivables xxx xxx Other receivables xxx xxx Term deposits xxx xxx Cash and bank balances xxx xxx Total current assets xxx xxx Total assets xxx xxx Equity and Liabilities Equity

Official Gazette n° Special of 17/06/2022 194 Share capital xxx xxx Share premium xxx xxx Capital reserve xxx xxx Contingency reserve xxx xxx Profit/loss for the Year Xxx/(xxx) Xxx/(xxx) Accumulated loss/ Retained earnings xxx xxx Total Equity xxx xxx Liabilities Technical provisions: Total Technical Provisions xxx xxx Insurance contract liabilities xxx xxx Investment contract liabilities xxx xxx Provision forIncurred But Not Reported claims (IBNR) xxx xxx Provision for unearned premium xxx xxx Unexpired Risks Reserve (URR) xxx xxx Other Liabilities: Long term finance/ loan xxx xxx Reinsurance payable xxx xxx Loan from subsidiaries xxx xxx Amount due to related parties xxx xxx Deferred income tax payable xxx xxx Current tax payable xxx xxx Other payables xxx xxx Total liabilities xxx xxx

Official Gazette n° Special of 17/06/2022 195 E. STATEMENT OF CHANGES IN EQUITY OF GENERAL INSURER Year ended…. Dec 20X8 Share capital Share Premium Available for sale property Revaluation reserve fair value reserve Other reserve Accumulated losses/Retained earnings TOTAL '000 At 1st December 20X7 XXX xxx Profit for the year xxx issue of new shares xxx other comprehensive income xxx xxx Dividend (xxx) investment at fair value through other Comprehensive Income (FVOCI) xxx Transfer to retained earnings xxx At 31 December 20X7 xxx Year ended 31 Dec 20X8 At 1st January20X8 xxx "IFRS9 Adjustment As at 1 January 20X8 xxx Profit for the year xxx issue of new shares xxx other comprehensive income xxx xxx Government securities xxx

Official Gazette n° Special of 17/06/2022 196 at amortised cost Transfer to retained earnings xxx At 31 December 20X8 xxx

Official Gazette n° Special of 17/06/2022 197 F. STATEMENT OF CHANGES IN EQUITY OF LIFE INSURER Share capital Share Premium Contingency reserve Capital reserve Other reserves Accumulated losses/Retained earnings TOTAL '000 At 1 January 20x… XXX Total comprehensive loss for the year xxxx Transfer to capital reserve xxx Transfer to contingency reserves xxx Dividends (xxx) Other comprehensive Income xxx At 31 December 20x… xxx At 1 January 20x… xxx Total comprehensive loss for the xxx Year Transfer to capital reserve xxx Transfer to contingency resere xxx Dividends (xxx) Other comprehensive Income xxx At 31 December 20…. xxx

Official Gazette n° Special of 17/06/2022 198 G. STATEMENT OF CASH FLOWS OF GENERAL INSURER AS AT PERIOD ENDED …………………. Figures in '000 current year previous year 20.. 20… Profit before tax xxx xxx Adjustments for: Depreciation properties of properties and equipment XXX XXX Amortisation xxx xxx impairment provision xxx xxx Change in provision bad debt xxx/(xxx) xxx/(xxx) recovery of provision for bad debt xxx xxx finance cost xxx xxx goodwill impairement xxx xxx interest income/expense (xxx)/xxx (xxx)/xxx foreign exchange gain/loss (xxx)/xxx (xxx)/xxx Dividend received (xxx) (xxx) share of profit in associate (xxx) (xxx) Gain/Loss on sale of property and equipment (xxx)xxx (xxx)xxx Operating profit before changes in working capital xxx xxx Changes in working capital increase of premium outstanding xxx xxx increase/decrease in deferred acquisition cost xxx/(xxx) xxx/(xxx) increase/decrease of reinsurance assets xxx/(xxx) xxx/(xxx) increase/decrease in commision income xxx/(xxx) xxx/(xxx) increase/decrease in due to related parties xxx/(xxx) xxx/(xxx) increase /decrease of insurance payable xxx/(xxx) xxx/(xxx)

Official Gazette n° Special of 17/06/2022 199 increase/decrease in other payable xxx/(xxx) xxx/(xxx) increase/decrease in reinsurance payable xxx/(xxx) xxx/(xxx) increase/ decrease in commission payable xxx/(xxx) xxx/(xxx) increase/decrease in technical reserves xxx/(xxx) xxx/(xxx) increase /decrease of insurance receivables xxx/(xxx) xxx/(xxx) Cash generated from operating activities xxx xxx interest paid (xxx) (xxx) tax paid in the year (xxx) (xxx) Net cash flows generated from operating activities xxx (xxx) xxx (xxx) Investment activities Purchase of property equipment (xxx) (xxx) Purchase of intangible assets (xxx) (xxx) Investment in government securities (xxx) (xxx) Investment in long term deposits at amortised cost (xxx) (xxx) Investment in financial assets at fair value (xxx) (xxx) Rents paid (xxx) (xxx) Term deposits with financial institutions (xxx) (xxx) other investment (xxx) (xxx) Proceeds from rents xxx xxx Proceeds from disposal of property and equipment xxx xxx Dividend Received xxx xxx Interests received xxx xxx Net cash generated from investmentactivities xxx/(xxx) xxx/(xxx) cash flows from financing activities cash receipt from: Cash proceeds from Issue of new shares xxx xxx Proceeds from rents xxx xxx

Official Gazette n° Special of 17/06/2022 200 cash proceeds from the issue of debentures xxx xxx Loan borrowed xxx xxx cash paid for: purchase of new shares (xxx) (xxx) loan repayment (xxx) (xxx) repayment of finance lease (xxx) (xxx) dividend paid (xxx) (xxx) Net cashflow from financing activities xxx/(xxx) xxx/(xxx) Net(decrease)/increase in cash and cash equivalents xxx/(xxx) xxx/(xxx) Cash and cash equivalents at the beginning of the year xxx/(xxx) xxx/(xxx) Cash and cash equivalents at the end of the year xxx xxx Reconciled to; Cash in hand Cash at bank Short term deposits at amortised cast

Official Gazette n° Special of 17/06/2022 201 H. STATEMENT OF CASH FLOWS OF LIFE INSURER AS AT PERIOD ENDED ……………………………………… Figures in '000 current year previous year 20.. 20… Profit before tax XXX XXX Adjustments for: Net change in insurance contract liabilities XXX/(XXX) XXX/(XXX) Net change in investment contract liabilities XXX/(XXX) XXX/(XXX) Accrued interest income XXX XXX Depreciation of properties and equipment’s XXX XXX Amortization XXX XXX Dividend received (xxx) (xxx) Gain/Loss on sale of property and equipment XXX/(XXX) XXX/(XXX) Change in fair value of quoted shares XXX/(XXX) XXX/(XXX) Operating profit/loss before changes in operating working capital XXX/(xxx) XXX/(XXX) Movement in working capital: Premium receivables XXX/(XXX) XXX/(XXX) Other trade and receivables XXX/(XXX) XXX/(XXX) due to Reinsurers XXX/(XXX) XXX/(XXX) Due from reinsurers XXX/(XXX) XXX/(XXX) Movement in related party balances XXX/(XXX) XXX/(XXX) Technical reserves XXX/(XXX) XXX/(XXX) Held to maturity financial instruments XXX/(XXX) XXX/(XXX) commission payable XXX/(XXX) XXX/(XXX) Other trade payables XXX/(XXX) XXX/(XXX) Increase/Decrease in other current assets XXX/(XXX) XXX/(XXX) increase/Decrease in other current liabilities XXX/(XXX) XXX/(XXX) Cash generated from operations XXX/(XXX) XXX/(XXX) Income Tax paid XXX/(XXX) XXX/(XXX)

Official Gazette n° Special of 17/06/2022 202 Net cash used in operating activities XXX/(XXX) XXX/(XXX) Investment activities Purchase of property equipment (XXX) (XXX) Purchase of other financial assets (XXX) (XXX) Rents paid (XXX) (XXX) Acqusition of investment in sudsidiaries /associates (XXX) (XXX) Purchase of intangible assets (XXX) (XXX) statutory deposits-maturities (XXX) (XXX) proceeds from disposal of Non-current assets held for sale XXX XXX Proceeds from other investment XXX XXX Proceeds from disposal of property and equipment XXX XXX Dividend received XXX XXX Proceeds from rents XXX XXX Interests received XXX XXX Net cash utilized in investment activities XXX/(XXX) XXX/(XXX) Financing activities Shareholders’ contribution XXX XXX Proceeds from borrowed loan XXX XXX Repayment of borrowed loan (xxx) (xxx) Repayment of finance lease (xxx) (xxx) Dividend paid (xxx) (xxx) Net cash flows from financing activities XXX/(XXX) XXX/(XXX) Increase/(decrease) in cash and cash equivalents XXX/(XXX) XXX/(XXX) Movement in cash and cash equivalents At 1 January XXX/(XXX) XXX/(XXX) Increase/(decrease) in cash and cash equivalents At 31 December XXX/(XXX) XXX/(XXX)

Official Gazette n° Special of 17/06/2022 203 APPENDIX II: Quantitative disclosures Item Formula/ description Amount/ Ratio Current period Previous period A. Solvency coverage a. Solvency required b. Admitted assets c. Admitted liabilities d. Solvency available e. Solvency surplus (gap) f. Solvency coverage ratio B. Capital Strength a. TAC (Total Available Capital) b. RCR (Risk Based Capital Required) c. CAR (Capital Adequacy ratio) C. Earnings risk a. Claims Ratio Net Claims Incurred/ Net Earned Premiums b. Management Expenses Ratio Management expenses/ Net Earned Premiums c. Underwriting expenses ratio Commission expenses/ net earned Premiums d. Combined Ratio ( For General insurance Only) Claims ratio+ Management expenses ratio+ Underwriting expenses ratio D. INVESTMENT EXPOSURE a. Investment Exposure (s) Any investment above ten percent of total assets (name and amount)

Official Gazette n° Special of 17/06/2022 204 b. Earning assets ratio Earning Assets/ total assets c. Investment property ratio Investment property/ total assets d. Equities assets ratio Investment Equities/ total assets E. Liquidity Risk a. Liquidity Ratio (LCR) Liquid assets/ current liabilities b. Liquidity stress test ratio F. Exposures to related parties a. Loans to Directors and senior management b. Loans to employees/ staff c. Loans to subsidiaries and affiliates d. Loans to shareholders/ holding company e. Investments in related parties G. Operational Risk a. Number and types of frauds and their corresponding amount H. Business composition a. Number of policyholders per branch b. Number of policies in force per branch I. Management and Board Composition a. Number of Board members (Independent and non-independent) b. Number of Board committees c. Number of senior management staff by gender J. Staff a. Total Number of non-managerial Staff by gender K. Insurance Intermediaries a. Number of insurance agents b. Number of loss adjusters/ assessors L. Branches a. Number of Branches by Province including Kigali City

Official Gazette n° Special of 17/06/2022 205 Appendix III: Product performance account (General insurance) Product type Gross premium written (1) Ceded premium (2) Net premium written (3) Change in unearned premium (4) Net earned premium (5) (3-4) Net commission income or expenses (6) Net claims incurred (7) Managem ent expense (8) Technical profit/loss (9) (5-6-7-8)

Official Gazette n° Special of 17/06/2022 206 Appendix IV: Product performance account (Life insurance) Product type Gross premium written (1) Ceded premiu m (2) Net premium written (3) (1-2) Total claims by maturity, death or others (4) Surrend ers(5) Bonuses paid in cash or deduction of premium (6) Annuit ies paid(7) Net claims, surrenders and benefits (8) (4+5+6+7) Net commi ssion (9) Manage ment expense s(10) Technic al profit/lo ss (11) (3-8-9- 10) Total xxx xxxx xxx xxxx xxxx xxxa

Official Gazette n° Special of 17/06/2022 207 ANNEXE I A. ETAT DU RESULTAT GLOBAL: ASSUREUR GENERAL POUR L’EXERCICE CLOS …………….. Etat du résultat global de l’Assureur général Chiffres en milliers Exercice courant Exercice précédent 20.. 20… Primes brutes souscrites XXX XXX Variation de prime non-acquise (xxx)xxx (xxx)xxx Prime brute acquise xxx xxx Moins les primes cédées aux réassureurs (xxx) (xxx) Revenu de prime net xxx xxx Plus: commission perçue xxx xxx moins: commission versée (xxx) (xxx) Revenu de prime net acquise xxx xxx Sinistres payés sur une base brute xxx xxx Moins: montant recouvrable auprès des réassureurs (xxx) (xxx) Variation des créances en suspens (xxx)xxx (xxx)xxx Variation des sinistres survenus mais non déclarés (IBNR) (xxx)xxx (xxx)xxx Sinistres d’assurance nets encourus xxx xxx Frais de commission (Xxx) (xxx) Frais de gestion (xxx) (xxx) Résultat net de souscription xxx xxx

Official Gazette n° Special of 17/06/2022 208 Revenu d’investissement xxx xxx Autres produits d’exploitation xxx xxx Revenu d’intérêts xxx xxx autre revenu xxx xxx Résultat total d’exploitation xxx xxx Frais d’exploitation autres que de gestion xxx xxx Frais d’intérêts / frais financiers xxx xxx Autres dépenses xxx xxx Bénéfice avant impôt sur le revenu xxx xxx Charge d’impôt sur le bénéfice/ (charge) (xxx) (xxx) Bénéfice net ou perte nette pour l’exercice Xxx/(xxx) Xxx/(xxx) Autres éléments du résultat global (préciser) xxx xxx Total du résultat global pour l’exercice XXX/(xxx) XXX/(xxx) Affectation du bénéfice Bénéfice non affecté / pertereporté xxx xxx Montant total du bénéfice disponible pour affectation xxx xxx La mise en réserve des bénéfices (xxx) (xxx) Dividendes versés ou à verser (xxx) (xxx) Autres affectations (xxx) (xxx) bénéfices non affecté ou perte reportée xxx xxx

Official Gazette n° Special of 17/06/2022 209 B. ETAT DU RESULTAT GLOBAL DE L’ASSURANCE VIE POUR L’EXERCICE CLOS ……….. Chiffres en milliers Exercice courant Exercice précédent 20.. 20… Primes brutes Primes brutes acquises XXX XXX Moins : Commission d’assurance versée (XXX) (XXX) Moins: Cession à la réassurance (XXX) (XXX) Plus: Commission de réassurance perçue XXX XXX Prime acquise nette XXX XXX Demande de règlement de sinistre, rachats, rentes et autres prestations our les assurés XXX XXX Moins: recouvrements de réassurance (XXX) (XXX) Variation nette des passifs d’assurance XXX/(XXX) X XX/(XXX) Créances (capital-décès) nettes et avantages (XXX) (XXX) Bénéfice / perte (résultat) de souscription XXX XXX Autre revenu Revenu d’investissement XXX XXX Autres produits (revenus) d’exploitation XXX XXX Autre revenu XXX XXX Résultat Total d’exploitation XXX XXX Dépenses Charges financières (XXX) (XXX) Frais de fonctionnement et d’administration (XXX) (XXX) Coût d’acquisition (XXX) (XXX) Frais de commissions (XXX) (XXX) Mouvement de juste valeur sur les actions cotées (XXX) (XXX) Autres charges d’exploitation (XXX) (XXX)

Official Gazette n° Special of 17/06/2022 210 Dépenses total (XXX) (XXX) Revenu global total XXX XXX Bénéfice avant impôt XXX XXX Crédit d’impôt sur le revenu/ (charge) XXX XXX Résultat net pour l’exercice XXX/(xxx) XXX/(xxx) Autres éléments du résultat global (préciser) XXX XXX Total du résultat global pour l’exercice XXX/(xxx) XXX/(xxx) Affectation du bénéfice Bénéfice / perte non affecté reporté xxx xxx bénéfice non affectée/ perte reportée xxx xxx La mise en réserve des bénéfices (xxx) (xxx) Dividendes versés ou à verser (xxx) (xxx) Autres affectations (xxx) (xxx) Résultat non affecté/perte reportée xxx xxx

Official Gazette n° Special of 17/06/2022 211 C. ETAT DU RESULTAT DE LA SITUATION FINANCIERE DE L’ASSURANCE GENERALE POUR L’EXERCICE CLOS ………….." Chiffres en milliers Exercice courant 20… Exercice précédent 20… ACTIFS actif immobilisé immobilisations corporelles Immobilisations incorporelles xxx xxx les investissements en immobilisations xxx xxx investissement dans des associés xxx xxx investissement en actions non cotées xxx xxx investissement jusqu'à l'échéance xxx xxx investissement en actions cotées xxx xxx Actifs financiers au coût amorti xxx xxx Actifs financiers au juste valeur par résultat (FVPL) xxx xxx avoirs de sauvetage et de subrogation xxx xxx Le total des actif immobilisés xxx xxx Actifs courants: xxx xxx actif immobilisé Créances de primes xxx xxx Créances de réassurance xxx xxx Autres créances xxx xxx Actif d’impôt différé xxx xxx Frais d’acquisition reportés xxx xxx Impôts sur les bénéfices à recouvrir xxx xxx Actifs financiers – dépôts à terme xxx xxx Soldes bancaires et les soldes de caisse xxx xxx Le total des actifs courants

Official Gazette n° Special of 17/06/2022 212 Le total des actifs xxx xxx CAPITAUX PROPRES ET PASSIFS xxx xxx Capitaux propres xxx xxx Capital-actions xxx xxx Primes d’émission xxx xxx Réserve de revalorisation des immobiliers xxx xxx Réserve de juste valeur xxx xxx Autres réserves xxx xxx Bénéfice perte de l’exercice Xxx/(xxx) Xxx/(xxx) Bénéfices non-distribué /pertes cumulées xxx xxx Total capitaux propres xxx xxx Passifs Provisions techniques: Créances en suspens / créances à payer xxx xxx Provision pour sinistres survenus mais non déclarés (IBNR) xxx xxx Provision pour prime non acquise xxx xxx Provision pour risque non expiré xxx xxx Le total des provisions techniques xxx xxx Autres passifs: Réassurance à payer xxx xxx Commission à payer xxx xxx Dettes aux personnes apparentées xxx xxx Impôts sur le bénéfice reporté xxx xxx Impôt sur le revenu exigible xxx xxx Autres tiers passifs xxx Xxx Le total des passifs xxx xxx L e total des capitaux propres et des passifs xxx xxx

Official Gazette n° Special of 17/06/2022 213 D. ETAT DE LA SITUATION FINANCIERE DE L’ASSUREUR VIE POUR L’EXERCICE CLOS ………" Chiffres en milliers Exercice courant Exercice précédent Actifs Actifs non courants Immobilier et équipement xxx xxx Actifs de réassurance à long terme xxx xxx Fonds de commerce xxx xxx Autres immobilisations incorporelles xxx xxx Investissement en actions non cotées xxx xxx Placements détenus jusqu’à leurs échéances xxx xxx Investissement en actions cotées xxx xxx investissement dans les dépôts et les fonds d’investissement xxx xxx investissement dans des filiales et entreprises associées xxx xxx investissement immobilier xxx xxx Le total des actifs non courants xxx xxx Actifs courants: Report des frais d’acquisitions xxx xxx Actif d’impôt différé xxx xxx Primes d’assurance à recevoir xxx xxx Primes de réassurance à recevoir xxx xxx Autres créances xxx xxx Dépôts à terme xxx xxx Fonds en banques et soldes bancaires xxx xxx Le total des actifs courants xxx xxx Le total des actifs xxx xxx Capitaux propres et passifs Capitaux propres

Official Gazette n° Special of 17/06/2022 214 Capital-actions xxx xxx Primes d’émission xxx xxx Réserve en capital xxx xxx Réserve pour imprévus xxx xxx Bénéfice perte de l’exercice Xxx/(xxx) Xxx/(xxx) Perte cumulée / Bénéfices non répartis xxx xxx Total capitaux propres xxx xxx Passifs Provisions Techniques: L e total des provisions techniques xxx xxx Les Passifs des contrats d’assurance xxx xxx Les passifs des contrats d’investissement xxx xxx Provisions pour sinistres survenus mais non déclarés (IBNR) xxx xxx Provision pour primes non acquises xxx xxx Provision pour risque non expiré xxx xxx Autres passifs: Financement / prêt à long terme xxx xxx Réassurance à payer xxx xxx Dettes auprès des filiales xxx xxx Montant à verser aux personnes apparentées xxx xxx Impôt sur le bénéfice reporté xxx xxx Dettes d’impôt exigible xxx xxx Autres montants à payer xxx xxx Autres passifs xxx xxx

Official Gazette n° Special of 17/06/2022 215 E. ETAT DE VARIATIONS EN FONDS PROPRES DE L’ASSUREUR GENERAL POUR L’EXECICE CLOS LE ……………… Exercice clos…. Déc. 20… Capital￾actions Primes d’émission Titres disponibles à la vente Réserve de réévaluation immobilière Réserve de juste valeur Autres réserves Pertes cumulées/bénéfices non répartis TOTAL ‘000 Au 1er Décembre 20.. XXX xxx Bénéfice pour l’exercice xxx émission de nouvelles actions xxx Autres éléments du résultat global xxx xxx Dividende (xxx) Investissement à la juste valeur par le biais des autres éléments du résultat global (FVOCI) xxx Dotations aux bénéfices non répartis xxx Au 31 Décembre 20… xxx Exercice clos 31 Décembre. 20… Au 1 Janvier20… xxx

Official Gazette n° Special of 17/06/2022 216 Ajustement avec IFRS 9 Au 1 Janvier 20… xxx Bénéfice pour l’exercice xxx Emission de nouvelles actions xxx Autres éléments du résultat global xxx xxx Titres de l’Etat aux coûts amortis xxx Dotations aux bénéfices non répartis xxx Au 31 Décembre 20.. xxx

Official Gazette n° Special of 17/06/2022 217 F. ETAT DES VARIATIONS DES FONDS PROPRES DE L’ASSUREUR VIE POUR L’EXERCICE CLOS LE …………………. Capital￾actions Primes d’émission Réserves aux imprévus Réserve en capital Autres réserves Pertes cumulées/bénéfices non répartis TOTAL ‘000 Au 1 Janvier 20… XXX Pertes totales pour l’exercice xxxx Dotations aux réserves en capital xxx Dotations de réserves aux des imprévus xxx Dividendes (xxx) autres éléments du résultat global xxx Au 31 Décembre 20…. xxx A 1 Janvier 20 xxx Pertes totales pour l’exercice xxx Dotations aux réserves en capital xxx Dotations de réserves aux imprévus xxx Dividendes (xxx) autres éléments du résultat global xxx Au 31 Décembre 20…. xxx

Official Gazette n° Special of 17/06/2022 218 G. ETAT DU FLUX DE TRESORERIE DE L’ASSUREUR GENERAL POUR L’EXERCICE CLOS …………………. Chiffres en milliers Exercice courant Exercice précédent 20.. 20… Bénéfice avant impôt xxx xxx Ajustement pour : Amortissements des immobiliers et des équipements XXX XXX Amortissement xxx xxx Provision pour dépréciation xxx xxx Variation de provision pour créances douteuses xxx/(xxx) xxx/(xxx) Recouvrement de provision pour créances douteuses xxx xxx Coût financier xxx xxx Dépréciation du goodwill xxx xxx Intérêts créditeurs débiteurs (xxx)/xxx (xxx)/xxx Gain/perte sur taux de change (xxx)/xxx (xxx)/xxx Dividende reçu (xxx) (xxx) Part de bénéfice dans les entreprises affiliées (xxx) (xxx) Gain/Perte à la vente d’immobilisations corporelles (xxx)xxx (xxx)xxx Résultat opérationnel avant variation du fonds de roulement xxx xxx Variation du fonds de roulement Augmentation de primes impayées xxx xxx amortissement du goodwill xxx/(xxx) xxx/(xxx) produit des intérêts/depenses Gain de change /perte de change Dividendes reçus part des bénéfices dans les associés

Official Gazette n° Special of 17/06/2022 219 Gain/perte à la vente des immobiliers et équipements Profit de roulement avant l’augumentatio/diminution de fond de roulement Augumentation/diminution de fond de roulement Augumentation des prime impaysées Augumentation/diminution du coût d’acquisition augmentation /diminution des actifs de réassurance xxx/(xxx) xxx/(xxx) augmentation /diminution du revenue de commission xxx/(xxx) xxx/(xxx) augmentation /diminution du montant dû aux parties liées xxx/(xxx) xxx/(xxx) augmentation /diminution de l’assurance à payer xxx/ (xxx) xxx/(xxx) augmentation /diminution des autres dettes xxx/(xxx) xxx/(xxx) augmentation /diminution de la réassurance à payer xxx/(xxx) xxx/(xxx) augmentation / diminution de la commission à payer xxx/(xxx) xxx/(xxx) augmentation /diminution des réserves techniques xxx/(xxx) xxx/(xxx) augmentation /diminution des créances d’assurance xxx/(xxx) xxx/(xxx) Fonds provenant des activités d’exploitation xxx xxx Intérêts payés (xxx) (xxx) Impôt payé en cours d’exercice (xxx) (xxx) Flux de trésorerie nets générés par les activités opérationnelles xxx (xxx) xxx (xxx) Activités d’investissement Achat d’équipement et immobilier (xxx) (xxx) Achat d’actifs incorporels (xxx) (xxx) Investissements dans les titres de l’Etat (xxx) (xxx) Investissements en dépôts à long terme au coût amorti (xxx) (xxx) Investissement en actifs financiers à la juste valeur (xxx) (xxx) Loyers payés (xxx) (xxx) Produit à la cession des biens immobiliers et equipements Dépôts à terme auprès d’institutions financières (xxx) (xxx)

Official Gazette n° Special of 17/06/2022 220 Autres investissements (xxx) (xxx) Produits des loyers xxx xxx Dividendes reçus xxx xxx Intérêts reçus xxx xxx Trésorerie nette générée par les activités d’investissement xxx/(xxx) xxx/(xxx) Flux de trésorerie provenant d’activités de financement Encaissement de: Produit en espèces tiré de l’émission de nouvelles actions xxx xxx Produit des loyers xxx xxx Produit en espèces de l’émission d’obligations xxx xxx Prêt xxx xxx Argent payé pour: Achat de nouvelles actions (xxx) (xxx) Remboursement de prêt (xxx) (xxx) Remboursement de crédit-bail (xxx) (xxx) Dividende payé (xxx) (xxx) Flux de trésorerie net lié aux activités de financement xxx/(xxx) xxx/(xxx) Net (diminution)/augmentation de la trésorerie et des équivalents de trésorerie xxx/(xxx) xxx/(xxx) Trésorerie et équivalents de trésorerie en début d’exercice xxx/(xxx) xxx/(xxx) Trésorerie et équivalents de trésorerie à la fin de l’exercice xxx xxx Réconcilié avec: Avoirs en caisse Avoirs en banque Dépôts à court terme au coût amorti

Official Gazette n° Special of 17/06/2022 221 H. ETAT DU FLUX DE TRESORERIE DE L’ASSUREUR VIE POUR L’EXERICE CLOS ……………………………………… Chiffres en milliers Exercice courant Exercice précédent 20.. 20… Bénéfice avant impôt XXX XXX Ajustement pour: Variation nette du passif des contrats d’assurance XXX/(XXX) XXX/(XXX) Variation nette du passif des contrats d’investissement XXX/(XXX) XXX/(XXX) Revenu d’intérêts accumulés XXX XXX Amortissement des immobilisations et des équipements XXX XXX Amortissement XXX XXX Dividende reçu (xxx) (xxx) Gain/perte à la vente d’immobilisations corporelles et incorporelles XXX/(XXX) XXX/(XXX) Variation de la juste valeur des actions cotées XXX/(XXX) XXX/(XXX) Résultat opérationnel avant variation du fonds de roulement XXX/(xxx) XXX/(XXX) Mouvement en fonds de roulement: Prime à recevoir XXX/(XXX) XXX/(XXX) Autres créances à la clientèle XXX/(XXX) XXX/(XXX) Sommes dues aux réassureurs XXX/(XXX) XXX/(XXX) Sommes recouvrables auprès des réassureurs XXX/(XXX) XXX/(XXX) Mouvement des soldes des parties liées XXX/(XXX) XXX/(XXX) Réserves techniques XXX/(XXX) XXX/(XXX) Instruments financiers détenus jusqu’à l’échéance XXX/(XXX) XXX/(XXX) Commission à verser XXX/(XXX) XXX/(XXX) Dettes commerciales et autres XXX/(XXX) XXX/(XXX) Augmentation /diminution des autres actifs courants XXX/(XXX) XXX/(XXX) augmentation /diminution des autres passifs courants XXX/(XXX) XXX/(XXX) Trésorerie générée par les exploitations XXX/(XXX) XXX/(XXX)

Official Gazette n° Special of 17/06/2022 222 Impôt sur le revenu payé XXX/(XXX) XXX/(XXX) Trésorerie nette utilisée dans les activités d’exploitation XXX/(XXX) XXX/(XXX) Activités d’investissement Achat d’équipement immobilier (XXX) (XXX) Achat d’autres actifs financiers (XXX) (XXX) Loyers payés (XXX) (XXX) Acquisition d’investissements dans les filiales /entreprise associées (XXX) (XXX) Achats d’actifs incorporels (XXX) (XXX) Dépôts statutaires - échéances (XXX) (XXX) Produit de cession d’actifs non courants détenus en vue de la vente XXX XXX Produit d’autres investissements XXX XXX Produit de vente d’immobiliers et d’équipement XXX XXX Dividende reçu XXX XXX Produits de loyers XXX XXX Intérêts reçus XXX XXX Trésorerie nette utilisée dans les activités d’investissement XXX/(XXX) XXX/(XXX) Activités de financement Contribution des actionnaires XXX XXX Produit du provenant deprêt XXX XXX Remboursement de prêt (xxx) (xxx) Remboursement de crédit-bail (xxx) (xxx) Dividende payé (xxx) (xxx) Flux de trésorerie nets liés aux activités de financement XXX/(XXX) XXX/(XXX) Augmentation / (diminution) de la trésorerie et des équivalents de trésorerie XXX/(XXX) XXX/(XXX) Mouvement en trésorerie et équivalents de trésorerie Au 1 Janvier XXX/(XXX) XXX/(XXX) Augmentation / (diminution) de la trésorerie et des équivalents de trésorerie Au 31 Décembre XXX/(XXX) XXX/(XXX)

Official Gazette n° Special of 17/06/2022 223 ANNEXE II: Informations quantitatives Article Référence/ formule/ description Montant / Ratio Période courante Période précédente A. Couverture de Solvabilité a. Solvabilité exigée b. les actifs admis c. les passifs admis d. Solvabilité disponible e. Excédent (écart) de solvabilité f. Ratio de couverture de solvabilité B. Solidité du Capital a. TAC (le Total du Capital disponible) b. RCR (Capital-Risque Requis) c. CAR (Ratio d’Adéquation du Capital) C. Risque de gain a. Ratio de Sinistres Sinistres Encourus/ Primes nettes Acquises b. Ratio de Dépenses de Gestion Frais de Gestion/ Primes nettes acquises c. Ratio des Frais de Souscription Frais de Commission/ Primes nettes Acquises d. Ratio Combiné (Pour les assureurs généraux uniquement) Ratio Sinistres+ Ratio des frais de Gestion+ Ratio des Frais de Souscription D. EXPOSITION AUX INVESTISSEMENTS

Official Gazette n° Special of 17/06/2022 224 a. Exposition aux risques d’investissements (s) Tout investissement supérieur à dix pour cent de l'actif total (nom et montant) b. Ratio d’Actifs Acquis Actifs Acquis/ Total des Actifs c. Ratio d’Investissement Immobilier Investissement immobilier/ total des actifs d. Ratio de capitaux propres Fonds propres en investissement/ total des actifs E. Risque de Liquidités a. Ratio de Liquidité (LCR) Actifs liquides/ passif courant b. Ratio de Test de Crise de Liquidité F. Expositions envers les personnes apparentées a. Prêts aux administrateurs et aux cadres dirigeants b. Prêts aux employés / personnel c. Prêts à des filiales et à des sociétés affiliées d. Prêts aux actionnaires / Société holding e. Investissements dans les parties liées G. Risque Opérationnel a. Nombre et types de fraudes et leur montant correspondant H. Composition des affaires a. Nombre des preneurs d’assurance par branche b. Nombre de police d’assurance en vigueur par branche I. Composition de la Direction et du Conseil d’Administration a. Nombre des membres du Conseil (indépendants et non-indépendant) b. Nombre de Comités du Conseil d’Administration c. Nombre de cadres supérieurs par sexe J. Personnel a. Nombre total du personnel non membre de la haute direction par sexe K. Intermédiaires d’assurance a. Nombre d’agents d’assurance b. Nombre de courtiers en assurance

Official Gazette n° Special of 17/06/2022 225 c. Nombre d’experts en sinistres / évaluateurs L. Branches a. Nombre de Branches par Province y compris la Ville de Kigali Annexe III: Compte de performance des produits (Assurance Générale) Type de Produit Prime brute souscrite (1) Prime cédée (2) Prime nette souscrite (3) Variation de prime non acquise (4) Prime nette acquise (5) (3-4) Revenu net ou dépenses sur les commissions (6) sinistres encourues (7) Frais d’adminis tration (8) Résultat technique (9) (5-6-7-8)

Official Gazette n° Special of 17/06/2022 226 Annexe IV: Compte de performance du produit (Assurance Vie) Type de produ it Prime brute souscrit e (1) Prime cédée (2) Prime nette souscri te (3) (1-2) Total des sinistres par maturité, décès ou autres (4) Rac hats (5) bonus versées en espèces ou déduction faite des primes (6) Rent es versé es(7) Sinistre nets, rachats, et indemnités (8) (4+5+6+7) Commi ssion nette (9) Frais d’admi nistrati on (10) Résultat techniq ue (11) (3-8-9- 10) Total xxx xxxx xxx xxxx xxxx xxx

Official Gazette n° Special of 17/06/2022 227 Bibonywe kugira ngo bishyirwe ku mugereka w’Amabwiriza Rusange N°47 /2022 yo ku wa 02/06/2022 yerekeye itangazwa rya raporo z’imari n’andi makuru agaragazwa n’abishingizi Seen to be annexed to the regulation N° 47/2022 of 02/06/2022 on publication of financial statements and other disclosures by insurers Vu pour être annexé au règlement N°47/2022 du 02/06/2022 sur la publication des états financiers et autres informations à déclarer par les assureurs Kigali, 02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho Ikirango cya Repubulika: Seen and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux

Official Gazette n° Special of 17/06/2022 228 AMABWIRIZA RUSANGE No 48/2022 YO KU WA 02/06/2022 YEREKEYE IBIHANO BYO MU RWEGO RW’UBUTEGETSI N’AMAFARANGA BIFATIRWA ABISHINGIZI ISHAKIRO UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere: Icyo aya mabwiriza rusange agamije Ingingo ya 2: Ibisobanuro by’amagambo UMUTWE WA II: IBIHANO BIGAMIJE GUKOSORA N’IBYEREKEYE IMYITWARIRE Ingingo ya 3: Ibihano byerekeye imyitwarire bifatirwa umwishingizi Ingingo ya 4: Impamvu n’ingaruka zo kwamburwa icyemezo Ingingo ya 5: Ibihano bifatirwa abayobozi n’abari mu nama y’ubutegetsi REGULATION No 48/2022 OF 02/06/2022 ON ADMINISTRATIVE AND PECUNIARY SANCTIONS APPLICABLE TO INSURERS TABLE OF CONTENTS CHAPTER ONE: GENERAL PROVISIONS Article One :Purpose Article 2: Definitions CHAPTER II: CORRECTIVE AND DISCIPLINARY MEASURES Article 3: Disciplinary measures applicable to an insurer Article 4: Grounds and effects of revocation of license Article 5: Sanctions applicable to managers and directors REGLEMENT No 48/2022 DU 02/06/2022 SUR LES SANCTIONS ADMINISTRATIVES ET PECUNIAIRES APPLICABLES AUX ASSUREURS TABLE DES MATIÈRES CHAPITRE PREMIER: DISPOSITIONS GÉNÉRALES Article Premier : Objet Article 2 : Définitions CHAPITRE II: MESURES CORRECTIVES ET DISCIPLINAIRES Article 3: Mesures disciplinaires applicables à un assureur Article 4: Causes et conséquences de la révocation de la licence Article 5: Sanctions applicables aux dirigeants et aux directeurs

Official Gazette n° Special of 17/06/2022 229 Ingingo ya 6: Ibihano by’amafaranga Ingingo ya 7: Kwishyuza amafaranga akomoka ku bihano by’amafaranga UMUTWE WA III: INGINGO ZISOZA Ingingo ya 8: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Ingingo ya 9: Igihe aya mabwiriza rusange atangira gukurikizwa Article 6: Pecuniary sanctions Article 7: Recovery of the amounts related to pecuniary sanctions CHAPTER III: FINAL PROVISIONS Article 8: Repealing provisions Article 9: Commencement Article 6: Sanctions pécuniaires Article 7: Recouvrement des sommes relatives aux sanctions pécuniaires CHAPITRE III: DISPOSITIONS FINALES Article 8: Dispositions abrogatoires Article 9: Entré en vigueur

Official Gazette n° Special of 17/06/2022 230 AMABWIRIZA RUSANGE No 48/2022 YO KU WA 02/06/2022 YEREKEYE IBIHANO BYO MU RWEGO RW’UBUTEGETSI N’AMAFARANGA BIFATIRWA ABISHINGIZI Ishingiye ku Itegeko N° 48/2017 ryo ku wa 23/09/2017 rigenga Banki Nkuru y’u Rwanda nk’uko ryavuguruwe kugeza ubu, cyane cyane ingingo zaryo, iya 6, iya 6 bis; iya 8, iya 9, iya 10 n’iya 15; Ishingiye ku Itegeko N° 030/2021 ryo ku wa 30/06/2021 rigenga imitunganyirize y’umurimo w’ubwishingizi, cyane cyane mu ngingo yaryo ya 182; Isubiye ku Mabwiriza ya banki Nkuru y'u Rwanda N° 03/2017 yo ku wa 20/02/2017 yerekeye ibihano byo mu rwego rw’ubutegetsi n’amafaranga bifatirwa abishingizi Banki Nkuru y'u Rwanda mu ngingo zikurikira yitwa « Urwego rw’Ubugenzuzi », ishyizeho amabwiriza rusange akurikira: REGULATION No 48/2022 OF 02/06/2022 ON ADMINISTRATIVE AND PECUNIARY SANCTIONS APPLICABLE TO INSURERS Pursuant to Law N° 48/2017 of 23/09/ 2017 governing the National Bank of Rwanda as amended to date, especially in its articles 6, 6 bis, 8, 9, 10 and 15; Pursuant to Law N° 030/2021 of 30/06/2021 governing the organisation of insurance business, especially in its article 182 ; Having reviewed Regulation of the National Bank of Rwanda n° 03/2017 of 22/02/2017 on administrative and pecuniary sanctions applicable to insurers The National Bank of Rwanda hereinafter referred to as « Supervisory Authority », issues the following regulation: REGLEMENT No 48/2022 DU 02/06/2022 SUR LES SANCTIONS ADMINISTRATIVES ET PECUNIAIRES APPLICABLES AUX ASSUREURS Vu la Loi N° 48/2017 du 23/09/ 2017 régissant la Banque Nationale du Rwanda telle que modifiée à ce jour, spécialement en ses articles 6, 6 bis, 8, 9, 10 et 15; Vu la Loi N° 030/2021 du 30/06/2021 régissant l’organisation d’activité d’assurance, spécialement en son article 182 ; Revu le Règlement de la Banque Nationale du Rwanda n° 03/2017 du 22/02/2017 sur les sanctions administratives et pécuniaires applicables aux assureurs La Banque National du Rwanda ci-après dénommée « Autorité de contrôle », édicte le présent règlement :

Official Gazette n° Special of 17/06/2022 231 UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere: Icyo aya mabwiriza rusange agamije Aya mabwiriza rusange agamije gushyiraho ibihano byo mu rwego rw’ubutegetsi n’urw’amafaranga bifatirwa abishingizi mu gihe batubahirije itegeko rigenga imitunganirize y’umurimo w’ubwishingizi, amabwiriza rusange, amabwiriza n’ibyemezo by’Urwego rw’Ubugenzuzi birishyira mu bikorwa. Ingingo ya 2: Ibisobanuro by’amagambo Muri aya mabwiriza rusange, amagambo akurikira asobanura: 10º Umuyobozi mukuru: umukozi uri mu buyobozi akaba ari mu bakozi b’ingenzi cyangwa bo hejuru mu kigo cy’ubwishingizi . Uwo ni: a. Umuyobozi Mukuru (CEO/MD); b. Umukozi Mukuru Utanga raporo ku Nama y'Ubutegetsi cyangwa muri Komite z'Inama y'Ubutegetsi; na CHAPTER ONE: GENERAL PROVISIONS Article One: Purpose This regulation aims at establishing administrative and pecuniary sanctions applicable to insurers for violations of the law governing the organization of insurance business and its implementing regulations, directives and decisions of the Supervisory Authority. Article 2: Definitions In this Regulation, the following terms and expressions shall mean: 10ºsenior manager: management personnel at executive level of the insurer. This includes: d. the Chief Executive Officer (CEO)/Managing Director (MD); e. Senior Executives reporting to the Board or to Board Committees; and HAPITRE PREMIER: DISPOSITIONS GÉNÉRALES Article Premier: Objet Le présent règlement vise à établir les sanctions administratives et pécuniaires applicables aux assureurs en cas de violation de la loi régissant l’organisation des activités d’assurance ainsi que les règlements, directives et décisions d’Autorité de contrôle. Article 2 : Définitions Dans ce règlement, les termes et expressions suivantes signifient: 1º Cadre dirigeant: le personnel de direction qui est à titre de haut niveau/clés de l’assureur. Il s’agit de: d. le chef de la direction / directeur général (DG); e. Les cadres supérieurs relevant du conseil ou des comités du conseil; et

Official Gazette n° Special of 17/06/2022 232 c. Umuyobozi Mukuru utanga raporo k’umuyobozi mukuru (CEO) / Umuyobozi mukuru (MD). 11º umuntu uri mu nama y’ubutegetsi: umwe mu bagize inama y’ubutegetsi ; 12º umwishingizi wigenga: ikigo cyemewe n’amategeko kitari icya leta cyemerewe n’urwego rw’ubugenzuzi gukora umurimo w’ubwishingizi ; 13º ikigo cya leta cy’ubwishingizi: ikigo cya leta cyemerewe n’itegeko gukora umurimo w’ubwishingizi. UMUTWE WA II: IBIHANO BIGAMIJE GUKOSORA N’IBYEREKEYE IMYITWARIRE Ingingo ya 3: Ibihano byerekeye imyitwarire bifatirwa umwishingizi Iyo umwishingizi wigenga adashoboye kubahiriza ibiteganywa n’Itegeko rigenga imitunganyirize y’umurimo w’ubwishingizi, amabwiriza rusange arishyira mu bikorwa, amabwiriza n’ibyemezo by’Urwego rw’Ubugenzuzi birishyira mu bikorwa, hakurikijwe uburemere bw’ikosa, Urwego f. Senior Executives reporting to the Chief Executive Officer (CEO)/Managing Director (MD). 11º director: a member of the board of directors; 12º private insurer: a legal entity other than a public insurer licensed by the supervisory authority to carry out insurance business; 13º public insurer: public institution authorized by law to carry out insurance business. CHAPTER II: CORRECTIVE AND DISCIPLINARY MEASURES Article 3: Disciplinary measures applicable to an insurer Where a private insurer fails to comply with the provisions of the Law governing insurance business or its implementing regulations, directives and decisions of the Supervisory Authority, the Supervisory Authority may, depending on the seriousness of the infringement, apply one or many of the following corrective measures: f. Hauts Responsables Exécutifs rendant directement compte au Chief de Direction/ Managing Director (DG) ; 2º directeur: un membre du conseil d’administration; 3º assureur prive: une entité légale autre qu’un assureur agrée par l’autorité de contrôle pour mener les activités d’assurance; 4º assureur public: établissement public autorise par la loi d’effectuer les activités d’assurance. CHAPITRE II: MESURES CORRECTIVES ET DISCIPLINAIRES Article 3: Mesures disciplinaires applicables à un assureur Quand un assureur privé ne parvient pas à se conformer aux dispositions de la loi régissant les activités d’assurance. aux règlements d’application, directives et décisions d’Autorité de contrôle, Autorité de contrôle peut, compte tenu de la gravité de la violation, imposer un ou plusieurs mesures correctives suivantes:

Official Gazette n° Special of 17/06/2022 233 rw’Ubugenzuzi rushobora gutanga kimwe cyangwa byinshi mu bihano bikurikira : 1° Kwihanangiriza mu nyandiko; 2° Kubuzwa burundu cyangwa by’agateganyo gukora imwe n’imwe mu mirimo y’ubwishingizi 3° Guhagarikwa kubona ubufasha bwose bw’Urwego rw’Ubugenzuzi; 4° Kubuzwa gutangaza cyangwa kwishyura inyungu zisaranganywa abanyamigabane; 5° Kwamburwa icyemezo; 6° Ikindi gihano cyose cyo mu rwego rw’imyitwarire Urwego rw’Ubugenzuzi rwabona ko gikwiye. Ingingo ya 4: Impamvu n’ingaruka zo kwamburwa icyemezo Urwego rw’Ubugenzuzi rushobora kwambura icyemezo umwishingizi wigenga iyo: 1° atatangiye umurimo w'ubwishingizi mu mezi atandatu (6) abarwa 1° written warning; 2° permanent or temporary prohibition from conducting certain activities of insurance business; 3° suspension of all assistance from the Supervisory authority; 4° prohibition from declaring or paying dividends; 5° revocation of license; 6° any other disciplinary measure that the supervisory authority may deem appropriate. Article 4: Grounds and effects of revocation of license The Supervisory Authority may revoke the license granted to a private insurer if:: 1° it has not commenced insurance business within six (6) months from 1° avertissement écrit; 2° interdiction permanente ou temporaire d’effectuer certaines activités d’assurance; 3° suspension de toute assistance provenant d’Autorité de contrôle; 4° interdiction de déclarer ou de payer des dividendes; 5° révocation de la licence; 6° toute autre mesure disciplinaire que l’Autorité de contrôle peut juger appropriée. Article 4: Causes et conséquences de la révocation de la licence L’Autorité de contrôle peut révoquer la licence quand l’assureur privé si : 1° il n’a pas commencé les activités d’assurance dans six (6) mois depuis la date à laquelle la licence a été délivrée;

Official Gazette n° Special of 17/06/2022 234 bahereye ku munsi uruhushya rwatangiwe; 2° yahagaritse gukora mu gihe kirenze ukwezi; 3° yabonye uruhushya hashingiwe ku makuru yatanze atari yo cyangwa kubera uburiganya; 4° atacyubahiriza ibishingirwaho mu gutanga impushya; 5° isosiyete yayibyaye iri mu inzira y’iseswa kandi bishobora kubangamira ugukomeza gukora kw’ikigo; 6° yishoye mu iyezandonke no mu gutera inkunga ibikorwa by’iterabwoba; 7° 7° iyo akora ibikorwa bibangamiye imikorere myiza y’urwego rw'ubwishingizi; 8° iyo urwego rw’ubugenzuzi rubona ko umwishingizi afite imyitwarire runaka ishobora kubangamira isura nziza y’urwego rw’imari. the date on which the license was granted; 2° it has ceased operating for a period of more than one month; 3° it has obtained the license through incorrect statements or fraudulent means; 4° it no longer meets the applicable licensing criteria; 5° the parent company is undergoing liquidation and this may have negative impact on the going concern of the insurance business 6° it is involved in money laundering and financing terrorism activities; 7° performs activities compromising the soundness of the insurance sector; 8° any other conduct that, in the opinion of the supervisory authority, may jeopardize the reputation of the financial sector. 2° il a cessé de travailler pendant une période de plus d’un mois; 3° il a obtenu la licence suite aux fausses déclarations ou des moyens frauduleux; 4° il ne remplit plus les critères applicables pour l’octroi des licences; 5° la société mère est en voie de liquidation et cela peut avoir des conséquences négatives à la continuité des affaires; 6° il s’est engagé dans le blanchiment de capitaux et dans les activités de financement du terrorisme; 7° il mène des activités qui compromettent la solidité du secteur d'assurance; 8° toute autre conduite qui, dans l’opinion d’Autorité de contrôle, risque de compromettre la réputation du secteur financier.

Official Gazette n° Special of 17/06/2022 235 Mbere yo kumwambura icyemezo, Urwego rw’Ubugenzuzi rubanza kumenyesha mu nyandiko uwari wemerewe gukora umurimo w’ubwishingizi impamvu zitumye yamburwa icyemezo. Mu gihe Urwego rw’Ubugenzuzi rwambuye icyemezo umwishingizi, imusiba mu gitabo cy’abishingizi bemewe kandi igafata izindi ngamba ibona ari ngombwa. Ingingo ya 5: Ibihano bifatirwa abayobozi bakuru n’abari mu nama y’ubutegetsi Urwego rw’Ubugenzuzi rushobora gusaba ihagarikwa ry'agateganyo cyangwa iyirukanwa ry’umwe mu bagize inama y’ubutegetsi cyangwa umuyobozi w’umwishingizi wigenga cyangwa w’ikigo cya Leta cy’ubwishingizi iyo isanze atubahirije Itegeko rigenga imitunganyirize y’umurimo w’ubwishingizi amabwiriza rusange aririshyira mu bikorwa, amabwiriza n’ibyemezo by’Urwego rw’Ubugenzuzi. Icyakora, Urwego rw’ubugenzuzi bufite ububasha bwo ihagarikwa ry'agateganyo cyangwa iyirukanwa ry’umwe mu bagize inama y’ubutegetsi cyangwa umuyobozi w’umwishingizi wigenga cy’ubwishingizi iyo isanze atubahirije Itegeko rigenga Before revoking a license, the Supervisory Authority shall give written notice to the person authorized to engage in insurance business stating the grounds for revoking the license. Where the Supervisory Authority revokes the license of a private insurer, it shall delete this licensee from the Register of Licensed Insurers and take any other appropriate measure. Article 5: Sanctions applicable to senior managers and directors The Supervisory Authority may request the suspension or dismissal of a Director or a Senior Manager of a private insurer or public insurer in case it determines that he or she has infringed the Law governing insurance business or its implementing regulations, directives and decisions of the Supervisory Authority. However, the Supervisory Authority reserves the power to suspend or dismiss the Director or a senior manager of a private insurer in case of infringements of Law governing insurance business or its Avant de procéder à la révocation d’une licence, l’Autorité de contrôle avise par un écrit la personne agréée pour faire des activités d’assurance lui indiquant les raisons de cette révocation. Lorsque l’Autorité de contrôle révoque la licence de l’assureur, elle doit rayer le titulaire du Registre des assureurs agréés et prendre toute autre mesure appropriée. Article 5: Sanctions applicables aux cadre dirigeants et aux directeurs L’Autorité de contrôle peut demander la suspension ou licencier d’un Directeur ou un cadre dirigeant d’un assureur privé ou d’un assureur public quand elle estime qu’ils ont violé la Loi régissant les activités d’assurance , les règlements d’application, directives, ou décisions d’Autorité de contrôle. Toutefois, l'Autorité de contrôle se réserve le pouvoir de suspendre ou de licencier directeur ou un cadre supérieur d'un assureur privé en cas d'infractions à la loi régissant les activités d'assurance, ses règlements d'application,

Official Gazette n° Special of 17/06/2022 236 imitunganyirize y’umurimo w’ubwishingizi, amabwiriza rusange arishyira mu bikorwa, amabwiriza n’ibyemezo by’Urwego rw’Ubugenzuzi. Ingingo ya 6: Ibihano by’amafaranga Bitabangamiye ibiteganywa n’ingingo ya 3 hamwe n’iya 5 z’aya mabwiriza, iyo umwishingizi wigenga atubahirije ibiteganywa n’itegeko ryerekeye umurimo w’ubwishingizi cyangwa amabwiriza rusange arishyira mu bikorwa, amabwiriza n’ ibyemezo by’Urwego rw’Ubugenzuzi, ibihano biberanye n’amakosa yakozwe biri mu mugereka bishobora gutangwa. Ingingo ya 7: Kwishyuza amafaranga akomoka ku bihano by’amafaranga Amafaranga akomoka ku bihano by’amafaranga byafatiwe umwishingizi hashingiwe kuri iri tegeko agomba kwishyurwa mu minsi icumi (10) kuri konti y’Urwego rw’Ubugenzuzi imenyeshwa mu nyandiko uwakoze ikosa mu gihe cyo kumumenyesha igihano yafatiwe. Iyo umwishingizi atubahirije ibiteganywa mu gika cya mbere cy’iyi ngingo cyangwa agakomeza gukora ikosa Urwego implementing regulations, directives and decisions of the Supervisory Authority. Article 6: Pecuniary sanctions Without prejudice to the provisions of Articles 3 and 5 of this regulation, where a private insurer or a public insurer where applicable fails to comply with the provisions of the Law governing insurance business or its implementing regulations instructions, directives and decisions of the Supervisory Authority, relevant sanctions specified in the appendix may apply. Article 7: Recovery of the amounts related to pecuniary sanctions The sums related to pecuniary sanctions imposed to an insurer in accordance with this regulation shall, within ten (10) calendar days, be paid on the Supervisory Authority’s account communicated in writing to the infringer in the notification of the applied sanction. The Supervisory Authority may revoke a license of the insurer who fails to comply with the provision of paragraph one of this Article or persists in its infringement. instructions, directives et décisions de l'Autorité de contrôle. Article 6: Sanctions pécuniaires Sans préjudice des dispositions des articles 3 et 5 de ce règlement, quand un assureur privé ne parvient pas à se conformer aux dispositions de la Loi régissant les activités d’assurance ou les règlements d’application, directives et décisions d’Autorité de contrôle, des sanctions appropriées précisées dans l’annexe peuvent être appliquées. Article 7: Recouvrement des sommes relatives aux sanctions pécuniaires Les sommes liées aux sanctions pécuniaires imposées à un assureur en vertu de ce règlement sont payés dans dix (10) jours calendaires au compte d’Autorité de contrôle communiqué par écrit au fautif lors de la notification de la sanction prise à son égard. L’Autorité de contrôle peut révoquer la License d’un assureur qui ne parvient pas à se conforme aux dispositions du premier

Official Gazette n° Special of 17/06/2022 237 rw’Ubugenzuzi ishobora kumwambura icyemezo UMUTWE WA III: INGINGO ZISOZA Ingingo ya 8: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Amabwiriza ya Banki Nkuru y'u Rwanda No 03/2017 yo ku wa 22/02/2017 yerekeye ibihano byo mu rwego rw’ubutegetsi n’amafaranga bifatirwa abishingizi n’ingingo zose zabanjirije aya mabwiriza rusange zinyuranyije nayo zivanyweho. Ingingo ya 9: Igihe aya mabwiriza atangira gukurikizwa Aya mabwiriza atangira gukurikizwa ku munsi yatangarijweho mu Igazeti ya Leta ya Repubulika y’u Rwanda. CHAPTER III: FINAL PROVISIONS Article 8: Repealing provisions Regulation of the National Bank of Rwanda N o 03/2017 of 22/02/2017 on administrative and pecuniary sanctions applicable to insurers and all prior regulatory provisions contrary to this regulation are repealed. Article 9: Commencement This regulation comes into force on the date of its publication in the Official Gazette of the Republic of Rwanda. paragraphe de cet article ou s’il persiste à commettre sa faute. CHAPITRE III: DISPOSITIONS FINALES Article 8: Dispositions abrogatoires Règlement de la Banque Nationale du Rwanda N o 03/2017 du 22/02/2017 sur les sanctions administratives et pécuniaires applicables aux assureurs et toutes les dispositions antérieures contraires à ce règlement sont abrogées. Article 9: Entré en vigueur Le présent règlement entre en vigueur le jour de sa publication au Journal officiel de la République du Rwanda.

Official Gazette n° Special of 17/06/2022 238 Kigali,02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho ikirango cya Repubulika: Seen and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux

Official Gazette n° Special of 17/06/2022 239 UMUGEREKA/APPENDIX/ ANNEXE UMUGEREKA: IBIHANO MU MAFARANGA IKOSA IGIHANO (FRW)

1. Umwishingizi wigenga: i. Ukora umurimo uwo ari wo wose w’ubwishingizi atarabiherewe uruhushya rutangwa n’ Urwego rw’Ubugenzuzi; ii. Ukora umurimo unyuranye n’uwo yaherewe uruhushya ; iii. Ushyiraho umuhuza mu bwishingizi utabifitiye uruhushya; iv. Wishyura amafaranga y’umufuragiro cyangwa y’ikiguzi cya serivisi ku muhuza mu bwishingizi utabifitiye uruhushya 4.000.000
2. Umwishingizi wigenga: i. Utabika amakuru y’ibaruramari hashingiwe ku mabwiriza cyangwa utabika amakuru y’ibaruramari ku cyicaro gikuru kiri ku butaka bwa Repubulika y’u Rwanda; ii. Udashyiraho umugenzuzi wigenga; iii. (iii) Ubangamira nkana umugenzuzi wigenga we mu gihe akora imiromo ye y’ubugenzuzi 1.000.000
3. Kutamenyesha Urwego rw’Ubugenzuzi impinduka zigaragara zabaye zerekeye ibisabwa mu kwemererwa. 1.000.000 igihe cyose habayeho impinduka igaragara
4. Kudashyiraho politiki yanditse yerekeye gutanga ubwishingizi n’ibiciro byabwo 1.000.000
5. Iyo umwishingizi adakurikije politiki ye y’ibiciro ndetse n’ijanisha ry’imisanzu yashyizeho 5% byibura by’imari shingiro

Official Gazette n° Special of 17/06/2022 240 6. Kudashyikiriza Urwego rw’Ubugenzuzi inyandiko/raporo zisabwa n’amabwiriza ayo ari yo yose, gutanga raporo ituzuye cyangwa gutanga inyandiko zirimo amakuru atari yo. 50.000 kuri buri munsi w’ubukererwe ubarwa hashingiwe ku munsi raporo yagombaga gutangirwaho no kuri buri nyandiko kugeza igihe hatangiwe inyandiko isabwa, raporo yuzuye cyangwa inyandiko zikosoye bitewe n’inyandiko isabwa. 7. Kutamenyesha Urwego rw’Ubugenzuzi impinduka yabaye mu buyobozi no mu nama y’ubutegetsi ya sosieyeti y’ubwishingizi 500. 000 kuri buri mpinduka yakozwe itamenyeshejwe 8. Kudasaba ko hemezwa ishyirwaho ry’abagize Inama y’Ubutegetsi n’Ubuyobozi 100.000 kuri buri muntu ugize Inama y’Ubutegetsi cyangwa Ubuyobozi utaremejwe. 9. Gutanga ubwishingizi ku ideni keretse mu gihe byemewe n’urwego rw’ubugenzuzi 0,5% by’imisanzu igomba kwakirwa buri gihembwe 10. Kutubahiriza amabwiriza mu kwishyura inyungu zisaranganywa abanyamigabane 20% by’inyungu zisaranganywa abanyamigabane zatanzwe 11. Gukererwa kwishyura amafaranga y’ubugenzuzi 50,000Frw kuri buri munsi w’ubukererwe. 12. Gukorera umurimo w’ubwishingizi hanze y’u Rwanda bitabanje kumenyeshwa Urwego rw’Ubugenzuzi ngo ibyemere 5% y’igiteranyo cy’ikiguzi cy’ubwishingizi ku murimo w’ubwishingizi wakorewe hanze y’u Rwanda 13. Kudashyiraho no kubika ububiko bw’inyemeza-masezerano z’ubwishingizi 500. 000Frw 14. Kudategura raporo y’imari yujuje ibisabwa n’amahame mpuzamahanga agenga gutanga raporo mu by’ibaruramari. 500. 000Frw 15. Kudatangaza raporo y’imari igenzuwe 50.000 FRW kuri buri munsi w’ubukererwe 16. Kutishyura indishyi zemejwe ko zifite ishingiro 5% y’indishyi zitishyuwe 17. Kudashyiraho ingamba zo guca intege, gukumira, kuvumbura no kuvuga abakora uburiganya mu murimo w’ubwishingizi 1000 000Frw

Official Gazette n° Special of 17/06/2022 241 18. Kudashyiraho politiki y’ishoramari ikurikije amabwiriza y’Urwego rw’Ubugenzuzi. 1000.000Frw 19. Gushora imari mu bitari iby’ibanze bitabanje kwemerwa na Urwego rw’Ubugenzuzi 500 000Frw 20. Kutubahiriza ibibujijwe gushorwamo imari, inguzanyo na avansi 500 000Frw 21. Kudakomeza kwizigamira amafaranga y’ingoboka 0.05% y’amafaranga y’ingoboka 22. Kutagumana imikoranire ihamye ku bijyanye n’ubwishingizi bwabwishingizi hakurikijwe ibyago byishingiwe 1000 000Frw 23. Kudashyira mu bikorwa no kudashyikiriza Urwego rw’Ubugenzuzi igenamigambi rirebana n’uburyo ibyemezo byafatiwe mu igenzura n’inama mu gihe ntarengwa cyumvikanyweho. 100.000Frw kuri buri cyemezo kuri buri munsi w’ubukererwe. 24. Kutubahiriza ingingo iyo ari yo yose y’itegeko ryerekeye umurimo w’ubwishingizi ndetse n’amabwiriza n’ibyemezo bya Urwego rw’Ubugenzuzi. Ihazabu ya 500.000 igihe cyose habayeho kutubaghiriza ingingo runaka.

Official Gazette n° Special of 17/06/2022 242 APPENDIX: PECUNIARTY SANCTIONS Nature of violation Penalty ( Frw)

1. A private insurer who: (i) operates any business other than insurance business unless authorized by law or by the Supervisory Authority; (ii) operates a business contrary to the category the license was issued for (iii)appoint an insurance broker who is not licensed (iv)pays a commission or a fee to an unlicensed insurance intermediary 4,000,000
2. A private insurer who: (i) fails to keep accounting records in accordance with regulations or fails to keep accounting records at the principal office in the territory of the Republic of Rwanda; (ii) fails to appoint an external auditor; (iii)knowingly obstructs its auditor from carrying out his/her duty of auditing 1,000,000
3. Failure to notify to the Supervisory Authority about any material changes in licensing’s initial conditions. 1,000,000 per each case of material change
4. Failure to put in place a written underwriting and pricing policy 1,000,000
5. Insurer failing to follow its pricing policy and the set premium rates 5% of the minimum paid-up capital
6. Failure to submit to the Supervisory Authority documents/reports required by any regulation or directive or submitting an incomplete report or submitting erroneous documents. 50, 000 per day of delay counted from the due date of reporting and per document until submission of required document, a complete report or corrected documents as may be the case.
7. Failure to notify to the Supervisory Authority change in management and Board of an insurer 500,000 per each change not notified
8. Failure to apply for approval of appointment of members of Board of Directors and the Management 100,000 per each unapproved member of Board of Directors and the Management

Official Gazette n° Special of 17/06/2022 243 9. Issuing insurance policy on credit unless acceptable by the supervisory authority 0.5% of premium receivables of every quarter 10. Failure to comply with restrictions on payment of dividends 20% of dividend distributed 11. Delay to pay annual supervision fee by licensed insurer 50 000Frw per day of delay 12. Insurer conducting business outside Rwanda without the prior written approval of the Supervisory Authority 5% of gross premium written on business conducted outside Rwanda 13. Failure to establish and keep a register of insurance policies 500 000Frw 14. Failure to prepare financial statements that comply with International Financial Reporting Standards (IFRS) 500 000Frw 15. Failure to publish audited financial statements 50 000Frw /day of delay 16. Failure to settle admitted claims on time 5% of admitted claims 17. Failure to put in place effective measures to deter, prevent, detect, report and remedy fraud in insurance 1000 000Frw 18. Failure to put in place investment policy investment policy in line with the Supervisory Authority’s investment guidelines 1000 000Frw 19. Investment in derivatives without prior approval of the supervisory authority 500 000Frw 20. Failing to comply with restrictions on exposure, loans and advances 500 000Frw 21. Failing to maintain appropriate technical provisions 0.05 % of technical provisions 22. Failure to maintain adequate reinsurance arrangements in respect of risks insured 1000 000Frw 23. Failure to implement and submit to the supervisory authority an action plan for implementing all recommendations set out in the inspection 100,000Frw per day for each recommendation not implemented

Official Gazette n° Special of 17/06/2022 244 report and prudential meeting recommendations within the agreed set deadline. 24. Any other violation of a provision of the law governing insurance business and its implementing regulations, directives, instructions and decisions of the Supervisory Authority A fine of 500,000Frw per each violation

Official Gazette n° Special of 17/06/2022 245 ANNEXE : SANCTIONS PECUNIAIRES Nature d’une faute Sanctions (Frw)

1. Un assureur privé qui: (i) Fait toute activité autre que les activités d’assurance à moins qu’il soit autorisé par la loi ou par l’Autorité de contrôle ; (ii) Fait des activités contraires à celles indiquées dans la catégorie de license ; (iii)Nomme un courtier d’assurances qui n’est pas autorisé ; (iv)Paye une commission ou des frais à un intermédiaire d’assurance non autorisé 4.000.000Frw
2. Un assureur privé qui: (i) omet de tenir des registres comptables conformément à la réglementation ou ne tient pas des registres comptables au bureau principal sur le territoire de la République du Rwanda ; (ii) Ne nomme pas un auditeur financier ; (iii)Obstrue sciemment son auditeur dans l'exercice de ses fonctions d'audit. 1.000.000Frw
3. Défaut de notifier l’Autorité de contrôle sur tout changement matériel relatif aux conditions initiales d’agrément. 1.000.000Frw pour chaque cas de changement matériel
4. Défaut de mettre en place une politique de souscription et de tarification écrite 1.000.000Frw
5. L'assureur ne respecte pas sa politique de prix et des taux de prime fixés 5% du capital minimum versé
6. Défaut de soumettre à l’Autorité de contrôle des documents/rapports exigés par tout règlement ou directive ou soumission d’un rapport incomplet ou soumission des documents erronés.
7. 000 par jour de retard compté à partir de la date due pour la soumission d’un rapport et par document jusqu’à la soumission d’un document exigé, d’un rapport complet des documents corrigés selon le cas.
8. Défaut de notifier à l’Autorité de contrôle le changement de la Direction et du Conseil d’Administration d'un assureur 500,000Frw pour chaque changement non notifié

Official Gazette n° Special of 17/06/2022 246 8. Défaut de demander l’approbation de nomination des membres du Conseil d’Administration et de la Direction 100.000Frw pour chaque membre du Conseil d'Administration et de la Direction non approuvé 9. Émission d'une police d'assurance sur le crédit à un preneur d'assurance 0.5% des primes à recevoir pour chaque trimestre 10. Défaut de se conformer aux restrictions sur le payement des dividendes 20% du dividende distribué 11. Retard de paiement d’un montant annuel de supervision 50 000Frw pour chaque jour de retard 12. Assureur exerçant ses activités à l'extérieur du Rwanda sans l'approbation écrite préalable d’Autorité de contrôle 5% du total des primes d’assurance provenant de l’activité d’assurance effectué en dehors du Rwanda 13. Défaut d'établir et de tenir un registre des polices d'assurance 500.000Frw 14. Le défaut de préparer et de publier des états financiers vérifiés en conformité avec les Normes Internationales d'Information Financière (IFRS) 500.000Frw 15. Défaut de publication des états financiers audités 50.000 par chaque jour de retard 16. Défaut de règlement des réclamations acceptées 5% des reclamations admises 17. Défaut de mettre en place des mesures efficaces pour dissuader, prévenir, détecter, signaler et remédier la fraude dans l'assurance 1000. 000Frw 18. Défaut de mettre en place une politique d'investissement conformément aux directives d'investissement mises en place par l’Autorité de contrôle 1000.000Frw 19. Investissement en dérivés sans approbation préalable d’Autorité de contrôle 500.000Frw 20. Non-respect des restrictions sur les engagements, prêts et avances 500. 000Frw 21. Défaut de maintenir des provisions techniques appropriées 0,05 % de provisions techniques 22. Défaut de maintenir un régime adéquat de réassurance en ce qui concerne les risques assurés 1.000. 000Frw

Official Gazette n° Special of 17/06/2022 247 23. Défaut de mettre en oeuvre et de soumettre à l’Autorité de contrôle un plan d'action pour la mise en oeuvre de toutes les recommandations contenues dans le rapport d'inspection et les recommandations de la réunion prudentielle 100.000Frw par jour pour chaque recommandation non mise en oeuvre 24. Toute autre violation d'une disposition de la loi régissant les activités d'assurance et ses règlements, directives, instructions et décisions d’Autorité de contrôle Une amende de 500. 000Frw par infraction

Official Gazette n° Special of 17/06/2022 248 BIBONYWE KUGIRA NGO BISHYIRWE KU MUGEREKA W’AMABWIRIZA RUSANGE No 48/2022 YO KU WA 02/06/2022 YEREKEYE IBIHANO BYO MU RWEGO RW’UBUTEGETSI N’AMAFARANGA BIFATIRWA ABISHINGIZI SEEN TO BE ANNEXED TO THE REGULATION No 48/2022 OF 02/06/2022 ON ADMINISTRATIVE AND PECUNIARY SANCTIONS APPLICABLE TO INSURERS VU POUR ETRE ANNEXE AU REGLEMENT No 48/2022 DU 02/06/2022 SUR LES SANCTIONS ADMINISTRATIVES ET PECUNIAIRES APPLICABLES AUX ASSUREURS Kigali, 02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho Ikirango cya Repubulika: Seen and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux

Official Gazette n° Special of 17/06/2022 249 AMABWIRIZA RUSANGE N° 49/2022 YO KU WA 02/06/2022 AGENGA KWIFASHISHA UNDI MUNTU MU MIRIMO UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere:Icyo aya mabwiriza rusange agamije Ingingo ya 2: Ibisobanuro by’amagambo Ingingo ya 3: Inzego z’imirimo cyangwa imirimo bidashobora gukoreshwa undi muntu UMUTWE WA II: IBISABWA BYEREKEYE UBUGENZUZI Ingingo ya 4: Ibigomba kubahirizwa mbere yo gukoresha undi muntu imirimo Ingingo ya 5: Inshingano z’inama y’ubutegetsi n’iz’ubuyobozi bukuru Ingingo ya 6: Gukoresha undi muntu ibikorwa by’igenzi REGULATION N° 49/2022 OF 02/06/2022 ON OUTSOURCING CHAPTER ONE: GENERAL PROVISIONS Article One: Purpose Article 2: Definition of terms Article 3: Functions or activities that cannot be outsourced CHAPTER II: REGULATORY REQUIREMENTS Article 4: Pre- outsourcing conditions Article 5: Responsibility of the Board and Senior Management Article 6: Outsourcing of material activities RÈGLEMENT Nº 49/2022 DU 02/06/2022 RÉGISSANT L’EXTERNALISATION CHAPITRE PREMIER: DISPOSITIONS GÉNÉRALES Article premier: Objet Article 2: Définition des termes Article 3: Fonctions ou activités qui ne peuvent pas être externalisées CHAPITRE II: EXIGENCES RÉGLEMENTAIRES Article 4: Les préconditions de l’externalisation Article 5: Responsabilité du Conseil d’administration et de la direction générale Article 6: L’externalisation des activités principales

Official Gazette n° Special of 17/06/2022 250 Ingingo ya 7: Imicungire y’ibyateza ikigo ingorane biturutse ku kwifashisha undi muntu mu mirimo yacyo Ingingo ya 8: Isuzuma ry’abatanga serivisi Ingingo ya 9: Amasezerano yo kwifashisha undi muntu mu gukora imirimo Ingingo ya 10: Amasezerano y’urwego rwa serivisi n’ibipimo by’imikorere Ingingo ya 11: Igongana ry'inyungu Ingingo ya 12: Ingamba zerekeye uko gusohoka mu masezereano bikorwa Article 13: Uburyo bw’igenzura bushyirwaho n’tanga serivisi Ingingo ya 14: Kugira ibanga n’umutekano w’amakuru atagenewe ruban Article 7: Outsourcing risk management Article 8: Due diligence and assessment of service providers Article 9: Outsourcing agreement Article 10: Service Level Agreements and performance metrics Article 11: Conflict of interest Article 12: Exit strategy Article 13: Control environment offered by the service provider Article 14: Confidentiality and security of non-public data Article 7: Gestion des risques de l’externalisation Article 8: Évaluation des prestataires de services Article 9: Accord de l’externalisation Article 10: Accords sur le niveau de service et paramètres de performance Article 11: Conflit d'intérêts Article 12: Stratégie de sortie Article 13: Environnement de contrôle offert par le prestataire de services Article 14: Confidentialité et sécurité d’ informations non publiques Ingingo ya 15: Imicungire y’ikomeza ry’imirimo Ingingo ya 16: Gukurikirana no kugenzura amasezerano yo kwifashisha undi muntu mu gukora imirimo Article 15: Business Continuity Management Article 16: Monitoring and control of outsourcing arrangements Article 15: Gestion de la continuité des activités Article 16: Suivi et contrôle des accords de l’externalisation

Official Gazette n° Special of 17/06/2022 251 Ingingo ya 17: Ubugenzuzi n’igenzura Ingingo ya 18: Kwifashisha undi muntu mu gukora imirimo hanze y’u Rwanda Ingingo ya 19: Kwifashisha undi muntu mu gukora imirimo uri mu itsinda ry’amasosiyete rimwe na ikigo kigenzurwa Ingingo ya 20: Ikoranabuhanga ryo gukoresha amakuru abitse mu buryo bw’iyakure UMUTWE WA III : IBISABWA MU GUKORESHA UNDI MUNTU IBIKORWA BY’INGENZI Ingingo ya 21: Gusaba uburenganzira bwo kwifashisha undi muntu mu gukora ibikorwa by’ingenzi Ingingo ya 22: Iyemezwa ryo kwifashisha undi muntu mu gukora ibikorwa by’ingenzi Ingingo ya 23: Icyemezo cy’Urwego rw’ubugenzuz Article 17: Audit and Inspection Article 18: Outsourcing outside Rwanda Article 19: Outsourcing within a Group Article 20: Cloud Computing CHAPTER III: REQUIREMENTS FOR OUTSOURCING MATERIAL ACTIVITIES Article 21: Application to outsource material activities Article 22: Approval for outsourcing of material activities Article 23: Supervisory Authority’s decision Article 17: Audit et inspection Article 18: L’externalisation en dehors du Rwanda Article 19: L’externalisation au sein d'un groupe Article 20: Informatique en nuage CHAPITRE III : EXIGENCES RELATIVES A L’EXTERNALISATION DES ACTIVITÉS PRINCIPALES Article 21: Demande pour l’externalisation des activités principales Article 22: Approbation d’externalisation des activités principales Article 23: Décision de l’Autorité de contrôle

Official Gazette n° Special of 17/06/2022 252 UMUTWE WA IV: INGINGO ZINYURANYE N’IZISOZA Ingingo ya 24: Uruhare rwa Urwego rw’Ubugenzuzi mu masezerano yo kwifashisha undi muntu mu gukora imirimo Ingingo ya 25: Ingero zerekeye gukoresha imirimo y’ikigo undi muntu Ingingo ya 26: Iyubahirizwa ry’ibisabwa Ingingo ya 27: Ikoreshwa ry’ayandi mategko Ingingo ya 28: Ibihano n’ibyemezo byo mu rwego rw’ ubutegetsi Ingingo ya 29: Ingingo z’inzibacyuho Ingingo ya 30: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Ingingo ya 31: Itegurwa, isuzumwa n’iyemezwa ry’aya mabwiriza rusange Ingingo ya 32: Igihe aya mabwiriza rusange atangirira gukurikizwa CHAPTER IV: MISCELLANEOUS AND FINAL PROVISIONS Article 24: Involvement of Supervisory Authority in outsourcing arrangements Article 25: Examples of outsourcing arrangements Article 26: Compliance landscape Article 27: Application of other laws Article 28: Penalties and administrative sanctions Article 29: Transitional provisions Article 30: Repealing provisions Article 31: Drafting, consideration and approval of this regulation Article 32: Commencement CHAPITRE IV: DISPOSITIONS DIVERSES ET FINALES Article 24: Implication de l’Autorité de Contrôle dans les contrats d’externalisation Article 25: Exemples de modalités d'externalisation Article 26: Conformité Article 27: Application d'autres lois Article 28: Pénalités et sanctions administratives Article 29: Dispositions transitoires Article 30: Disposition abrogatoire Article 31: Initiation, examen et approbation du présent règlement Article 32: Entrée en vigueur

Official Gazette n° Special of 17/06/2022 253 AMABWIRIZA RUSANGE N° 49/2022 YO KU WA 02/06/2022 AGENGA KWIFASHISHA UNDI MUNTU MU MIRIMO Ishingiye ku Itegeko N° 48/2017 ryo ku wa 23/09/2017 rigenga Urwego rw’Ubugenzuziy’u Rwanda nk’uko ryavuguruwe kugeza ubu, cyane cyane mu ngingo zaryo, iya 6 , iya 8, iya 9, iya 10 n’iya 15; Ishingiye ku Itegeko N° 47/2017 ryo ku wa 23/09/2017 rigena imitunganyirize y’imirimo y’amabanki, cyane cyane mu ngingo zaryo, iya 37 n’iya 117; Ishingiye ku Itegeko N° 030/2021 ryo ku wa 30/06/2021 rigenga imitunganyirize y’umurimo w’ubwishingizi cyane cyane mu ngingo yaryo ya 82; Ishingiye ku Itegeko N° 072/2021 ryo ku wa 05/11/2021 rigenga ibigo by’imari iciriritse byakira amafaranga abitswa, cyane cyane mu ngingo zaryo, iya 23 iya 24 n’iya 102; Ishingiye ku Itegeko N° 061/2021 ryo ku wa 14/10/2021 rigenga uburyo bwo kwishyurana, cyane cyane mu ngingo yaryo ya 30 ; REGULATION N° 49/2022 OF 02/06/2022 ON OUTSOURCING Pursuant to Law N° 48/2017 of 23/09/2017 governing the National Bank of Rwanda as amended to date, especially in its articles 6, 8, 9, 10 and 15; Pursuant to Law N° 47/2017 of 23/09/2017 governing the organization of banking, especially in its Articles 37 and 117; Pursuant to Law N° 030/2021 of 30/06/2021 governing the organisation of insurance business, especially in its article 82; Pursuant to Law N° 072/2021 of 05/11/2021 governing deposit-taking microfinance institutions, especially in its articles 23, 24 and 102; Pursuant to Law N° 061/2021 of 14/10/2021 governing the payment system, especially in its article 30; RÈGLEMENT 49/2022 DU 02/06/2022 RÉGISSANT L’EXTERNALISATION Vu la Loi N° 48/2017 du 23/09/2017 régissant la Banque Nationale du Rwanda telle que modifiée à ce jour, spécialement en ses articles 6, 8, 9 10 et 15; Vu la Loi N° 47/2017 du 23/09/2017 portant organisation de l’activité bancaire, spécialement en ses articles 37 et 117 ; Vu la Loi N° 030/2021 du 30/06/2021 régissant l’organisation d’activité d’assurance, spécialement 82 ; Vu Loi N° 072/2021 du 05/11/2021 régissant les institutions de microfinance de dépôt, spécialement en ses articles 23,24 et 102 ; Vu la Loi N° 061/2021 du 14/10/2021 régissant le système de paiement, spécialement en son article 30 ;

Official Gazette n° Special of 17/06/2022 254 Ishingiye ku Itegeko Nº 73/2018 ryo ku wa 31/08/2018 rigena uburyo bw’ihererekanyamakuru ku myenda cyane cyane mu ngingo iya 9, iya 13 n’iya 23; Ishingiye ku Itegeko N° 05/2015 ryo ku wa 30/03/2015 rigenga imitunganyirize y’ubwiteganyirize bwa pansiyo cyane cyane mu ngingo yaryo ya 3; Isubiye ku Mabwiriza Rusange N° 03/2018 yo ku wa 24/01/2018 agenga uburyo banki zifashisha undi muntu; Banki Nkuru y’u Rwanda, mu ngingo zikurikira yitwa « Urwego rw’Ubugenzuzi », ishyizeho amabwiriza rusange akurikira: UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere: Icyo aya mabwiriza rusange agamije Aya amabwiriza rusange agamije gushyiraho ibipimo by’ibanze ibigo bigenzurwa bigomba kubahiriza igihe gikoresha undi muntu ibikorwa byabyoby’ingenzi. Pursuant to Law Nº 73/2018 of 31/08/2018 governing credit reporting system, especially in its articles 9, 13 and 23; Pursuant to Law N° 05/2015 of 30/03/2015 governing the Organization of Pension Schemes, especially in its article 3; Having reviewed Regulation N° 03/2018 of 24/01/2018 on outsourcing; The National Bank of Rwanda hereinafter referred to as « Supervisory Authority Supervisory Authority »issues the following regulation: CHAPTER ONE: GENERAL PROVISIONS Article One: Purpose This regulation aims at establishing minimum prudent standards for regulated institutions that outsource their material activities to an external service provider. Vu la Loi Nº 73/2018 du 31/08/2018 régissant le système d’information sur les crédits, spécialement en ses articles 9,13 et 23 ; Vu la Loi N° 05/2015 du 30/03/2015 régissant l'organisation des régimes de pensions spécialement en son article 3 ; Revu le Règlement N° 03/2018 du 24/01/2018 régissant l’externalisation ; La Banque Nationale du Rwanda, ci-après dénommée «l’Autorité de contrôle», édicte le présent règlement : CHAPITRE PREMIER: DISPOSITIONS GÉNÉRALES Article premier: Objet Le présent règlement vise à fixer les normes minimales prudentes pour les institutions réglementées qui externalise leurs activités principales auprès d'un prestataire de services.

Official Gazette n° Special of 17/06/2022 255 Ingingo ya 2: Ibisobanuro by’amagambo Muri aya amabwiriza rusange amagambo akurikira asobanura: 1° ikigo kigenzurwa: ikigo kigenzurwa n’Urwego rw’ubugenzuzi; 2° kwifashisha undi muntu mu mirimo: guha akazi utanga serivisi wo hanze y’ikigo kigenzurwa kugira ngo akore ibikorwa cyangwa imirimo ijyanye na serivisi z’imaricyangwa indi mirimo ikigo kigenzurwa ubwacyo cyakagombye kuba cyikorera; 3° ibikorwa by’ingenzi: ni igikorwa cyangwa urwego rw’murimo: a. iyo bihungabanye, bishobora guteza ingaruka zigaragara ku mari shingiro, umutungo mvunjwafaranga , ibikorwa by’ubucuruzi, isura cyangwa se inyungu by’ikigo kigenzurwa; b. bijyanye n’amakuru atagenewe rubanda byatuma igihe haba hagize uyabona atabyemerewe cyangwa atangajwe, atakaye Article 2: Definition of terms In this regulation, the following terms mean: 1° regulated institution: any institution regulated and supervised by the Supervisory authority; 2° outsourcing: the engagement of a service provider from outside the regulated institution to carry out activities or processes related to the execution of financial services or other typical services that would otherwise be performed by the regulated institution itself; 3° material activities: those activities or functions which: a. if disturbed, may significantly affect the capital , liquidity , business operations, reputation or profitability of the regulated institution ; b. involves non-public data and, in the event of any unauthorized access or disclosure, loss or theft, may have a Article 2: Définition des termes Dans le présent règlement, les termes suivants signifient: 1° institution réglementée: toute institution règlementée et supervisée par l’Autorité de contrôle ; 2° externalisation: engagement d'un prestataire de services en dehors de l’institution réglementée pour mener des activités ou des processus liés à l'exécution de services financiers ou d'autres services typiques qui seraient autrement effectués par l’institution réglementée elle-même ; 3° activités principales: activités ou fonctions qui: a. si elle est perturbée, peut affecter de manière significative le capital minimal, liquidité, les opérations commerciales, la réputation ou la rentabilité d’une institution réglementée ; b. qui implique informations non publiques dont accès non autorisé ou divulgation, perte ou vol, peut causer

Official Gazette n° Special of 17/06/2022 256 cyangwa yibwe byagira ingaruka zikomeye ku baguzi b’ikigo kigenzurwa; 4° gukoresha undi muntu ibikorwa by’igenzi: gukoresha utari umukozi w’ikigo igikorwa cy’ingenzi; 5° utanga serivisi: umuntu ukorera ikigo kigenzurwa ibikorwa mu izina ryayo hakubiyemo abari mu itsinda rimwe n’ikigo kigenzurwa, amasosiyete afitanye isano n’ikigo kigenzurwayaba ari mu Rwanda cyangwa hanze yarwo; 6° kwifashisha undi muntu mu mirimo nawe akifashisha abandi: iyo utanga serivisi hakurikijwe amasezerano nawe akoresheje uwo murimo undi utanga serivisi; 7° serivisi zerekeye amakuru abitse mu buryo bw’iyakure: serivisi zitangwa hakoreshejwe ikoranabuhanga ryo gukoresha amakuru abitse mu buryo bw’iya kure akabera ikitegererezo mu kubika amakuru mu buryo butagira umupaka, bubereye ubukoresha, butuma umuntu abukoresha igihe bibaye ngombwa mu buryo bwa material impact on customers of a regulated institution; 4° material outsourcing: an outsourcing arrangement of a material activity; 5° service provider: a person that is undertaking the outsourced activity on behalf of the regulated institution and includes a member of the group to which the regulated institution belongs, related company whether located in Rwanda or outside; 6° sub-outsourcing: a situation where a service provider under an outsourcing arrangement further transfers an outsourced function to another service provider; 7° cloud services: services provided using cloud computing, that is, a model for enabling universal, convenient, on-demand network access to a shared pool of configurable computing resources (e.g. networks, servers, storage, applications and services) that can be rapidly provisioned and released with des conséquences materialles sur les clients d’une institution réglementée; 4° externalisation matérielle: arrangement de l’externalisation portant sur une activité principale; 5° prestataire de services: une personne qui exerce l'activité d’externalisée pour le compte de l’institution réglementée et qui comprend un membre du groupe auquel appartient une institution réglementée, société liée, qu'elle soit située au Rwanda ou à l'étranger. 6° sous-externalisation: situation dans laquelle un prestataire de services sous contrat d'externalisation transfère en outre une fonction externalisée à un autre prestataire de services; 7° services d'informatique en nuage: services fournis à l'aide d'informatique en nuage, c'est-à-dire un modèle permettant un accès réseau universel, pratique et à la demande à un pool partagé de ressources informatiques configurables (par exemple, réseaux, serveurs, stockage, applications et services) pouvant être rapidement approvisionné et relâché avec un effort

Official Gazette n° Special of 17/06/2022 257 mudasobwa busangiwe (urugero, umuyoboro, aho kubika amakuru, ububiko, apulikasiyo na serivisi) bishobora gutangwa cyangwa kurekurwa bigatuma habaho igikenewe kandi bigatwara imbaraga nkeya mu kubucunga cyangwa mu gukorana n’utanga serivisi; 8° amakuru atagenewe rubanda: amakuru yose atarashyizwe ahagaragara: a. yerekeye serivisi z’imari cyangwa ibarurishamibare rizerekeye; b. amakuru yerekeye umuntu ku giti cye nk’uko asobanurwa n’amategeko yihariye. Ingingo ya 3: Inzego z’imirimo cyangwa imirimo bidashobora gukoreshwa undi muntu Ikigo kigenzurwa ntigishobora gukoresha undi muntu mu gutanga serivisi z’imari Urwego rw’Ubugenzuzi rwagihereye uruhushya rwo gukora. minimal management effort or service provider interaction; 8° non-public data: all data that are not publicly available that are: a. related to product and services of a regulated institution or related statistics; b. personal data as defined by specific laws. Article 3: Functions or activities that cannot be outsourced A regulated institution shall not outsource the activities of providing financial services for which it obtained the license from the Supervisory authority. minimal de gestion ou une interaction avec le prestataire de services; 8° informations non publiques: toutes les données non accessibles au public qui sont: a. liées aux produits et services d'une institution réglementée ou aux statistiques connexes; b. données personnelles relative à un individus telles que définies par des lois spécifiques. Article 3: Fonctions ou activités qui ne peuvent pas être externalisées Une institution réglementée ne peut externaliser les activités de provisions des services financiers pour lesquels elle a été octroyé l’agrément par l’Autorité de contrôle.

Official Gazette n° Special of 17/06/2022 258 Gukoresha undi muntu mu mirimo ntibigomba gutuma inama y’ubutegetsi ndetse n’ubuyobozi bukuru byikuraho inshingano. Ikigo kigenzurwa ntigishobora gukoresha undi muntu inzego z’imirimo y’ubuyobozi z’ingenzi irimo: 1° igenamigambi ry’ikigo; 2° imitunganyirize y’imiterere y’ikigo; 3° ubuyobozi bw’ikigo; 4° n’inzego z’imirimo zifata ibyemezo nk’urushinzwe kureba uko amategeko yubahirizwa. UMUTWE WA II: IBISABWA BYEREKEYE UBUGENZUZI Ingingo ya 4: Ibigomba kubahirizwa mbere yo gukoresha undi muntu imirimo Ikigo kigenzurwa kigomba kubanza kumenya neza niba gukoresha undi muntu imirimo bitazahungabanya: 1° uburyo bw’imikorere busanzwe bukoreshwa, urugero, guha serivisi abaguzi n’abagenerwabikorwa Outsourcing must not lead to the delegation of responsibility of the board of directors and senior management. A regulated institution shall not outsource core management functions including: 1° corporate planning; 2° organization; 3° management and 4° decision making functions like determination of compliance with applicable laws. CHAPTER II: REGULATORY REQUIREMENTS Article 4: Pre- outsourcing conditions A regulated institution shall ensure that outsourcing does not jeopardize the: 1° regular operations, i.e. providing services to customers and beneficiaries in accordance with the L’externalisation ne doit pas conduire à la délégation de la responsabilité du conseil d’administration et de direction générale. Une institution réglementée ne peut pas externaliser les fonctions de gestion de base, notamment: 1° planification d'entreprise; 2° organisation; 3° gestion et 4° fonctions de prise de décision comme la détermination du respect des lois applicables. CHAPITRE II: EXIGENCES RÉGLEMENTAIRES Article 4: Les préconditions de l’externalisation Une institution réglementée doit s’assurer que l’externalisation ne compromet pas: 1° opérations régulières, par exemple, fourniture de services aux clients et aux

Official Gazette n° Special of 17/06/2022 259 nk’uko bisabwa n’amategeko,amabwiriza rusange n’ imigenzereze iboneye mu bucuruzi; 2° ubushobozi bw’ikigo bwo gucunga no kugenzura uburyo bw’imikorere ndetse n’ibikorwa by’ikigo; 3° imicuingire y’ibyateza ingorane y’ikigo kigenzurwa; 4° igenzura ry’ikigo kigenzurwa ry’imbere; 5° ubushobozi Urwego rw’Ubugenzuzi rufite bwo gukora igenzura. Ikigo kigenzurwa gikoresha gusa utanga serivisi ugaragaza ko afite ingamba zerekeye ubushobozi bw’umutekano, ubuhanga ndetse n’iz’uburyo bw’imiterere y’ikigo ku buryo kugira icyo akoresha amakuru yerekeye umuntu ku giti cye bikorwa hubahirijwe amategeko. Ikigo kigenzurwa kigomba kugaragariza Urwego rw’ubugenzuzi, binyuze mu masezerano yerekeye gukoresha undi muntu imirimo ko kizakomeza kubahiriza amabwiriza rusange y’ Urwego rw’ubugenzuzi ndetse n’amategeko ya Repubulika y’u Rwanda. existing laws, regulations, and best practice; 2° capability to manage and control operations and activities; 3° regulated institution’s risk management; 4° regulated institution’s internal control system; 5° Supervisory authority’s ability to perform supervision. Regulated institution shall only appoint a service provider providing sufficient guarantees to implement appropriate security, technical and organizational measures in such a manner that processing of person data will meet the requirements of the Law. The regulated institution shall demonstrate to the Supervisory Authority that, under the outsourcing arrangement, regulations from the Supervisory Authority and laws from the Republic of Rwanda will continue to be met. bénéficiaires conformément aux lois en vigueur, règlements et bonnes pratiques; 2° la capacité de gérer et de contrôler les opérations et activités; 3° la gestion des risques de l'institution réglementée ; 4° le système de contrôle interne de l'institution réglementée ; 5° capacité l’Autorité de contrôle d’effectuer des contrôles. Une institution réglementée ne nomme qu'un prestataire de services offrant des garanties suffisantes pour mettre en œuvre des mesures de sécurité, techniques et organisationnelles appropriées de manière à ce que le traitement des données personnelles réponde aux exigences de la loi. Une institution réglementée doit être en mesure de démontrer à l’Autorité de contrôle que, dans le cadre de l'accord d'externalisation, les règlements de et les lois de la République du Rwanda continueront d'être respectées.

Official Gazette n° Special of 17/06/2022 260 Ingingo ya 5: Inshingano z’inama y’ubutegetsi n’iz’ubuyobozi bukuru Inama y’ubutegetsi ndetse n’ubuyobozi bukuru ni bo bashinzwe ibyerekeye gukoresha imirimo abatari abakozi b’ikigo ndetse no gucunga ibyateza ingorane bishamikiye ku gukoresha imirimo abatari abakozi b’ikigo. Inama y’ubutegetsi cyangwa komite inama y’ubutegsti yabihereye ububasha ishinzwe: 1° kwemeza uburyo bwo gusuzuma ingorane ndetse n’uburemere bw’amasezerano ahari cyangwa ashobora kubaho yo kwifashisha undi muntu mu gukora imirimo hamwe na politiki zubahirizwa kuri ayo masezerano; 2° kugena ibyo ikigo kigenzurwa cyiyemeje gushoramo imari hagamijwe kugaragaza ubwoko n’urugero ibyateza ingorane bishamikiye kuri iryo shoramari biriho nk’uko bikubiye mu masezerano yo kwifashisha undi muntu mu mirimo; 3° kugaragaza abayobozi bakwiye bemeza amasezerano yo kwifashisha Article 5: Responsibility of the Board and Senior Management The Board and senior management are ultimately responsible for outsourcing arrangements and for managing risks inherent in such outsourcing relationships. The board, or a committee delegated by it, is responsible for: 1° approving a framework to evaluate the risks and materiality of all existing and prospective outsourcing arrangements and the policies that apply to such arrangements; 2° setting a suitable risk appetite to define the nature and extent of risks that the regulated institution is willing and able to assume from its outsourcing arrangements; 3° laying down appropriate approval authorities for outsourcing Article 5: Responsabilité du Conseil d’administration et de la direction générale Le Conseil d’administration et la direction générale sont en fin de compte responsables des opérations de l’externalisation et de la gestion des risques liés à ces relations de l’externalisation. Le Conseil d’administration, ou un comité délégué par ce dernier, est responsable de: 1° approuver un cadre pour évaluer les risques et l’importance de tous les arrangements de l’externalisation existants et futurs ainsi que les politiques qui s'appliquent à ces arrangements; 2° établir l’appétence pour le risque appropriée pour définir la nature et l'ampleur des risques qu’une institution réglementée est disposée et capable d'assumer dans le cadre de ses arrangements de l’externalisation; 3° mettre en place les autorités compétentes en matière d'approbation

Official Gazette n° Special of 17/06/2022 261 undi muntu mu mu mirimo hashingiwe ku ngamba n’ibyateza ingorane ikigo kigenzurwa gifite ubushake bwo kwirengera byashyizeho; 4° gusuzuma ubushobozi bw’ubuyobozi mu gutegura politiki n’uburyo bikwiye mu gucunga ingorane zaturuka ku kwifashisha undi muntu mu mirimo hashingiwe ku bwoko, urwego n’urusobe by’amasezerano yo kwifashisha undi muntu mu mirimo; 5° gukora ku buryo ubuyobozi bukuru bushyiraho inzego z’ubuyobozi zikwiye n’uburyo bwiza bw’imicungire y’ibyateza ingorane nk’urwego rw’ubuyobozi rusuzuma amagenzura kugira ngo bihure kandi bijyane n’uburyo bwagutse bw’uko ikigo kigenzurwa kibona ibyateza ingorane; na 6° gusuzuma ku buryo buhoraho ingamba n’amasezerano byerekeye kwifashisha undi muntu mu mirimo. Ubuyobozi bukuru bushinzwe: arrangements consistent with its established strategy and risk appetite; 4° assessing management competencies for developing sound and responsive outsourcing risk management policies and procedures that are commensurate with the nature, scope and complexity of the outsourcing arrangements; 5° ensuring that senior management establishes appropriate governance structures and processes for sound and prudent risk management, such as a management body that reviews controls for consistency and alignment with a comprehensive institution-wide view of risk; and 6° undertaking regular reviews of these outsourcing strategies and arrangements. Senior management is responsible for: des arrangements de l’externalisation conformément à la stratégie et à l’appétence pour le risque établies; 4° évaluer les compétences de la direction pour l'élaboration de politiques et de procédures de gestion du risque de l’externalisation cohérentes et appropriées qui correspondent à la nature, la portée et la complexité des arrangements de l’externalisation; 5° veiller à ce que la direction générale établisse des structures et des processus de gouvernance appropriés pour une gestion saine et prudente des risques, tels qu’un organe de gestion qui examine les contrôles en vue de la cohérence et de l'alignement avec une vision du risque à l’échelle de l’institution réglementée et 6° entreprendre les contrôles réguliers de ces stratégies et arrangements de l’externalisation. . La direction générale est responsable de:

Official Gazette n° Special of 17/06/2022 262 1° gusuzuma uburemere n’ingorane byaturuka ku masezerano yo kwifashisha undi muntu mu mirimo ahari n’ashobora kubaho hashingiwe ku byemejwe n’Inama y’Ubutegetsi; 2° gutegura politiki zinoze kwifashisha undi muntu mu mirimo zijyanye n’ubwoko, urwego n’urusobe by’amasezerano yo kwifashisha undi muntu mu mirimo no gukora ku buryo izo politiki n’uburyo bikoreshwa bishyirwa mu bikorwa neza n’abayobozi babishinzwe; 3° gusuzuma buri gihe niba politiki n’uburyo bukoreshwa bikora neza no kubivugurura igihe bikwiye kugira ngo bijyane n’impinduka ku miterere y’ibyateza ikigo kigenzurwa ingorane muri rusange; 4° Gukurikirana no gukomeza kugenzura neza ibyateza ingorane byose bijyanye n’amasezerano yo gukoresha undi muntu ibikorwa by’igenzi hasuzumwa buri gihe ingamba zo kufashisha undi muntu mu mirimo hitawe ku ngano y’amasezerano ; 1° evaluating the materiality and risks from all existing and prospective outsourcing arrangements, based on the framework approved by the board; 2° developing sound and prudent outsourcing policies and procedures that are commensurate with the nature, scope and complexity of the outsourcing arrangements as well as ensuring that such policies and procedures are implemented effectively by line managers; 3° reviewing regularly the effectiveness of, and appropriately adjusting, policies and procedures to reflect changes in the regulated institution’s overall risk profile and risk environment; 4° monitoring and maintaining effective control of all risks from its material outsourcing arrangements on an undertaking regular reviews of these outsourcing strategies and arrangements -wide basis; 1° évaluer l’importance et les risques de tous les arrangements de l’externalisation existants et potentiels suivant le cadre approuvé par le Conseil d'administration; 2° élaborer des politiques et des procédures de l’externalisation cohérentes et prudentes qui correspondent à la nature, la portée et la complexité des arrangements de l’externalisation et assurer leur mise en œuvre efficace par les supérieurs hiérarchiques; 3° examiner régulièrement l'efficacité des politiques et des procédures et les ajuster convenablement pour refléter globalement les changements dans le profil et l'environnement des risques de l’institution réglementée ; 4° surveiller et maintenir un contrôle efficace de tous les risques d’arrangements de l’externalisation matérielle à l'échelle de l'établissement;

Official Gazette n° Special of 17/06/2022 263 5° kugenzura ko hariho ubundi buryo bwakoreshwa hashingiwe ku ngorane ziriho n’izashoboka kandi bukageragezwa buri gihe; 6° gukora ku buryo habaho ubugenzuzi bukozwe mu bwigenge kugira ngo harebwe niba politiki n’uburyo bukoreshwa mu kwifashisha undi muntu mu mirimo byubahirizwa; 7° gukora ku buryo hafatwa ingamba zigamije gukosora amakosa kandi zigafatirwa igihe mu rwego rwo kubonera ibisubizo ibyavuye mu igenzura; 8° guha inama y’ubutegetsi amakuru yerekeye ingorane zavuka ziturutse ku masezerano yo gukoresha undi muntu ibikorwa by’igenzi kandi bigakorwa ku gihe. Ingingo ya 6: Gukoresha undi muntu ibikorwa by’igenzi Ikigo kigenzurwa kigena ibikorwa by’ingenzi bishobora kuba byakorwa n’undi muntu. 5° ensuring that contingency plans, based on realistic and probable disruptive scenarios, are in place and regularly tested; 6° ensuring that there is independent review and audit for compliance with outsourcing policies and procedures; 7° ensuring that appropriate and timely remedial actions are taken to address audit findings; 8° communicating information pertaining to risks arising from its material outsourcing arrangements to the board in a timely manner. Article 6: Outsourcing of material activities Regulated institution shall define the material activities to be outsourced. 5° s’assurer que les plans d'urgence, basés sur des scénarios réalistes et probables de perturbation, sont en place et régulièrement testés; 6° s'assurer qu'il existe un contrôle et un audit indépendants à des fins de vérification du respect des politiques et des procédures de l’externalisation; 7° veiller à ce que des mesures correctives appropriées et en temps opportun soient prises pour donner suite aux résultats de l’audit; 8° communiquer à temps au Conseil d'administration des informations relatives aux risques découlant de ses arrangements de l’externalisation matérielle. Article 6 : L’externalisation de l’activités principales Une institution réglementée définit les activités principales à externaliser.

Official Gazette n° Special of 17/06/2022 264 Mu rwego rwo gusuzuma niba igikorwa kigiye ari ingenzi ikigo kigenzurwa kigomba kwita ku bintu birimo ibikurikira: 1° akamaro k’umurimo ugiye gukoreshwa abandi batari abakozi b’ikigo (urugero uruhare rw’uwo murimo ku by’ikigo kigenzurwa cyinjiza n‘nyungu; 2° ingaruka zo gukoresha imirimo y’ikigo abatari abakozi bacyo ku nyungu, ubushobozi bwo kwishyura imyenda, amafaranga ahari, kubona imari bwite, n’imiterere y’ibyateza ingorane; 3° ingaruka ku isura y’ikigo kigenzurwa no ku gaciro k’izina ry’ubucuruzi, hamwe n’ubushobozi bwo gushyira mu bikorwa intego zacyo z’ubucuruzi, ingamba na gahunda byacyo, iyo utanga serivisi adashoboye kuyitanga cyangwa iyo amakuru yabonye atayagize ibanga cyangwa ngo yite ku mutekano wayo (urugero ni nko gushyira mu kagaamakuru y’imari atagenewe rubanda ; 4° ingaruka ku bakiriya b’ikigo kigenzurwa, iyo utanga serivisi In order to assess whether the activity is material, the regulated institution shall consider factors, such as: 1° importance of the business activity to be outsourced (e.g., in terms of contribution to income and profit of a regulated institution); 2° potential impact of the outsourcing on earnings, solvency, liquidity, funding and capital, and risk profile; 3° impact on the regulated institution’s reputation and brand value, and ability to achieve its business objectives, strategy and plans, should the service provider fail to perform the service or encounter a breach of confidentiality or security (e.g., compromise of non￾public data); 4° impact on the institution’s customers, should the service provider fail to Afin d'évaluer si l'activité est matérielle, l'institution réglementé prend en considération des facteurs tels que: 1° importance de l’activité commerciale à l’externalisée (exemple, en termes de sa contribution aux revenues et au bénéfice de l'institution réglementé ) 2° l’impact potentiel de l’externalisation sur les bénéfices, la solvabilité, la liquidité, le financement et le capital, ainsi que sur le profil de risque; 3° l’impact sur la réputation d’une institution réglementée et la valeur de la marque, ainsi que sa capacité à réaliser ses objectifs commerciaux, sa stratégie et ses plans si le prestataire de services ne parvient pas à effectuer le service ou s’il viole la confidentialité ou la sécurité (par exemple, compromission des données financières non publiques); 4° l’impact sur les clients d’une institution réglementée si le prestataire de services

Official Gazette n° Special of 17/06/2022 265 adashoboye kuyitanga cyangwa amakuru abonye ntayagire ibanga cyangwa ngo yite ku mutekano wayo; 5° ingaruka ku bagomba inshingano ikigo kigenzurwa , ku rwego rw’imari mu Rwanda igihe utanga serivisi yaba ananiwe gutanga serivisi; 6° amafaranga agenda ku gukoresha imirimo y’ikigo abatari abakozi bacyo ugereranyije n’akoreshwa kugira ngo ikigo kibashe gukora; 7° ingaruka zaterwa no kuba undi muntu wifashishijwe mu gukora mirimo yananirwa kuyikora; 8° ikigereranyo cy’ibyateza ingorane byakomoka ku kwifashisha muntu umwe mu gukora umurimo urenze umwe w’ikigo kigenzurwa; 9° ubushobozi bwo gukomeza gukora igenzura ry’imbere mu kigo rikwiye no kubahiriza amabwiriza mu gihe utanga serivisi yahuye n’ibibazo byo gukora ibikorwa. perform the service or encounter a breach of confidentiality or security; 5° impact on the institution’s counterparties and the Rwandan financial system , should the service provider fail to perform the service; 6° cost of the outsourcing as a proportion of total operating costs of the institution; 7° cost of outsourcing failure; 8° aggregate risk exposure to a particular service provider in cases where the regulated institution outsources various functions to the same service provider; 9° ability to maintain appropriate internal controls and meet regulatory requirements, if the service provider faces operational problems. ne parvient pas à effectuer le service ou viole la confidentialité ou la sécurité; 5° impact sur les contreparties de l’institution réglementée et système financier Rwandais, si le prestataire de services ne fournit pas le service; 6° le coût de l’externalisation par rapport au coût total opérationnel de l’institution réglementée 7° coût de l'échec de l’externalisation; 8° exposition globale aux risques à un prestataire de services particulier au cas où une institution réglementée externalise diverses fonctions au même prestataire de services; 9° capacité de maintenir les contrôles internes appropriés et de satisfaire aux exigences réglementaires, en cas de problèmes opérationnels rencontrés par le prestataire de services.

Official Gazette n° Special of 17/06/2022 266 Ikigo kigenzurwa gisuzuma ku buryo ngarukagiheuburyo bwo kwifashisha undi muntu mu gukora imirimo mu rwego rwo kugaragaza ibyateza ingorane bishya byatezwa no kwifashisha undi muntu mu gukora imirimo igihe harebwe uko zigenda zigaragara. Urugero ni nk’igihe utanga serivisi afite ibice by’imirimo byinshi ashinga abandi batanga serivisi cyangwa iyo akoze impinduka zikomeye zerekeye uburyo bukoreshwa, ibikorwa remezo cyangwa ubuyobozi. Uburemere bugomba gusuzumwa harebwa ikigo ubwacyo ndetse kinarebwa mu buryo bukomatanyije, bisobanura ko hagomba no kurebwa ikigo hamwe n’amashami yacyo ndetse n'amasosiyete icyo kigo kigenzura. Ingingo ya 7: Imicungire y’ibyateza ikigo ingorane biturutse ku kwifashisha undi muntu mu mirimo yacyo Inama y’ubutegetsi hamwe n’Ubuyobozi bukuru bigomba kumenya kandi bikumva ingorane zishobora guturuka ku kwifashisha abo hanze mu gukora imirimo y’ikigo. Ikigo kigenzurwa ishyiraho uburyo bwo gusuzuma ingorane bugomba kuba burimo ibikorwa bikurikira : A regulated institution shall undertake a periodic review of its outsourced processes to identify new outsourcing risks as they arise for example, when the service provider has further sub- outsourced work to other service providers or has undergone a significant change in processes, infrastructure, or management. Materiality shall be considered both at a regulated institution level and on a consolidated basis i.e. together with the institution’s branches and corporations/entities under its control. Article 7: Outsourcing risk management The board and senior management shall be aware of and understand the risks arising from outsourcing. The regulated institution shall establish a framework for risk evaluation which shall include the following activities Une institution réglementée procède à un examen périodique de ses processus sous-traités pour identifier de nouveaux risques de l’externalisation lorsqu’ils se présentent. C’est par exemple lorsque le prestataire de services a lui aussi sous-traité un travail auprès d'autres prestataires de services ou a subi un changement important dans les processus, l'infrastructure ou la gestion. L’importance doit être considérée à la fois au niveau de l'institution réglementée et sur une base consolidée, c'est-à-dire l'institution réglementée avec ses succursales et les sociétés/entités sous son contrôle. Article 7: Gestion des risques de l’externalisation Le Conseil d’administration et la direction générale doivent connaître et comprendre les risques découlant de l’externalisation. Une institution réglementée établit un cadre pour l'évaluation des risques qui doit inclure les activités suivantes:

Official Gazette n° Special of 17/06/2022 267 1° kugaragaza uruhare rwo kwifashisha abo hanze mu gukora imirimo y’ikigo mu ngamba no mu ntego rusange z’ibikorwa by’ubucuruzi bya ikigo kigenzurwa ; 2° kumenya mu buryo bwuzuye kandi mu bushishozi imiterere, urwego n’urusobe by’amasezerano yo kwifashisha undi muntu mu gukora imirimo mu rwego rwo kugaragaza no kugabanya ibyateza ingorane nyamukuru; 3° gusuzuma ubushobozi bw’utanga serivisi bwo gukorana ubwitonzi imirimo yifashisha undi muntu kandi yubahirize amatageko agenga ubugenzuzi nk’uko ikigo kigenzurwa kiba kibyitezweho, bigakorwa nk’aho imirimo yifashisha undi muntuyakozwe na ikigo kigenzurwa ubwayo; 4° gusuzuma ingaruka z’amasezerano yo gukoresha undi muntu ku miterere y’ibyateza ingorane zose ikigo kigenzurwa yagira, hakanasuzumwa niba ikigo kigenzurwa gifite abakozi bafite ubuhanga n’umutungo bihagije cyakoresha mu rwego rwo 1° identifying the role of outsourcing in the overall business strategy and objectives of the regulated institution ; 2° performing comprehensive due diligence on the nature, scope and complexity of the outsourcing arrangement to identify and mitigate key risks; 3° assessing the service provider’s ability to employ a high standard of care in performing the outsourced service and meet regulatory standards as expected of the regulated institution , as if the outsourcing arrangement is performed by the regulated institution itself; 4° analysing the impact of the outsourcing arrangement on the overall risk profile of the regulated institution , and whether there are adequate internal expertise and resources to mitigate the risks identified; 1° identifier le rôle de l’externalisation dans la stratégie commerciale globale et les objectifs d’une institution réglementée ; 2° effectuer toute vérification diligente et complète sur la nature, la portée et la complexité de l'arrangement de l’externalisation pour identifier et atténuer les principaux risques; 3° évaluer la capacité du prestataire de services à déployer un niveau d’attention élevé dans l'exécution du service sous-traité et à remplir les obligations qui pèsent sur une institution réglementée en vertu des normes réglementaires comme si l'arrangement de l’externalisation était effectué par une institution réglementée elle-même; 4° analyser l'impact de l'arrangement de l’externalisation sur le profil de risque global d’une institution réglementée et voir s'il existe une expertise et des ressources internes adéquates pour atténuer les risques identifiés;

Official Gazette n° Special of 17/06/2022 268 kugabanya ibyateza ingorane zagaragajwe; 5° gusuzuma ukwicucika kw’ibyateza ingorane kwatezwa no kwifashisha undi muntu mu gukora imirimo irenze umwe bikozwe n’utanga serivisi umwe na/cyangea kwisfashisha undi muntu mu gukora imirimo y’ingenzi kwaterwa n’umubare mukeya wabatanga serivisi; 6° gusuzuma inyungu zo kwifashisha undi muntu mu gukora imirimo ugereranyije n’ingorane zavuka; 7° gushyiraho umurongo utanga serivisi atagomba kurenga igihe na we akoresha imirimo undi utari we. Isuzuma ry’ingorane ryagombye gukorwa igihe ikigo kigenzurwa iteganya gusinya amasezerano yo kwifashisha undi muntu hamwe n’usanzwe utanga serivisi cyangwa utanga serivisi mushya, kandi rikongera gukorwa ku buryo ngarukagihe, nka kimwe mu bigize amasuzuma y’iyemezwa, itegenya rya gahunda ihamye, imicungire y’ibyateza ingorane cyangwa uburyo bw’igenzura by’amasezerano yo kwifashisha undi muntu mu gukora imirimo ya ikigo kigenzurwa. 5° analysing the concentration risk posed by multiple outsourcings to the same service provider and/or the concentration risk posed by outsourcing critical or important functions to a limited number of service providers. 6° analysing the benefits of outsourcing against the risks that may arise; 7° establish a threshold (a limit) that a service provider must not exceed while sub outsourcing. The risk evaluations shall be performed when the regulated institution is planning to enter into an outsourcing arrangement with an existing or a new service provider, and also re- performed periodically on existing outsourcing arrangements, as part of the approval, strategic planning, risk management or internal control reviews of the outsourcing arrangements of the regulated institution . 5° analyser le risque de concentration posé par des externalisations multiples chez le même prestataire et / ou le risque de concentration posé par l'externalisation de fonctions critiques ou importantes à un nombre limité de prestataires. 6° analyser les bénéfices de l’externalisation par rapport aux risques qui peuvent survenir ; 7° établir un seuil (une limite) qu'une prestataire de service ne doit pas dépasser lors de la sous-sous-traitance. L’évaluations des risques doivent être effectuées lorsqu’une institution réglementée envisage de conclure un arrangement de l’externalisation avec un prestataire de services existant ou nouveau. Elles doivent être également renouvelées périodiquement pour les arrangements de l’externalisation existants dans le cadre de l'approbation, de la planification stratégique, de la gestion du risque ou des examens de contrôle interne des arrangements

Official Gazette n° Special of 17/06/2022 269 Ingingo ya 8: Isuzuma ry’abatanga serivisi Mu gusuzuma, kongera kuganira cyangwa kuvugurura amasezerano yo gukoresha undi muntu mu gukora imirimo, ikigo kigenzurwa igomba gukoresha ubushishozi bukwiye mu gusuzuma ingorane zaturuka ku masezerano yo kwifashisha undi muntu. Ikigo kigenzurwa gisuzuma utanga serivisi mu ngingo zose zishoboka harimo: 1° ubushobozi bwe mu gukoresha ubwitonzi bwo ku rwego rwo hejuru mu gushyira mu bikorwa amasezerano yo kwifashisha undi muntu ku buryo bikorwa nk’aho byakozwe n’ikigo kigenzurwa ubwayo mu kuzuza inshingano zayo nk’ikigo kigenzurwa; 2° amagenzura y’ibikoresho n’umutekano mu by’ikoranabuhanga hamwe n’ubushobozi bw’ikoranabuhaga utanga serivisi afite mu kubahiriza inshingano ziri Article 8: Due diligence and assessment of service providers In considering, renegotiating or renewing an outsourcing arrangement, the regulated institution shall subject the service provider to appropriate due diligence processes to assess the risks associated with the outsourcing arrangements. The regulated institution shall assess all relevant aspects of the service provider, including: 1° its capability to employ a high standard of care in the performance of the outsourcing arrangement as if the service is performed by the regulated institution itself to meet its obligations as a regulated institution; 2° the physical and IT security controls the service provider has in place as well as capability of the technology service provider to comply with de l’externalisation d’une institution réglementée. Article 8: Évaluation des prestataires de services Lors de l'examen, de la renégociation ou du renouvellement d'un arrangement de l’externalisation, une institution réglementée doit soumettre le prestataire de services à des procédures appropriées de diligence raisonnable pour évaluer les risques associés aux arrangements de l’externalisation. Une institution réglementée évalue tous les aspects pertinents du prestataire de services y compris: 1° capacité à déployer un niveau d’attention élevé dans l'exécution de l’arrangement de l’externalisation comme si le service était effectué par une institution réglementée elle-même pour remplir ses obligations en tant qu'institution réglementée ; 2° les contrôles de sécurité physique et informatique que le prestataire de services a mis en place ainsi que la capacité du prestataire de services

Official Gazette n° Special of 17/06/2022 270 mu masezerano yo kwifashisha undi muntu mu mu mirimo; 3° isura y’ibikorwa n’ubushobozi mu by’imari by’utanga serivisi, harimo ibipimo ngenderwaho by’imyitwarire ikwiye kandi mbonezamurimo utanga serivisi afite, hamwe n’ubushobozi bwe mu kubahiriza inshingano ziri mu masezerano yo kwifashisha undi muntu mu gukora akazi. Ubushishozi bukwiye bugomba kubamo isuzuma ry'amakuru yose yerekeye utanga serivisi harimo: 1° ubunararibonye n’ubushobozi mu gushyira mu bikorwa no gushyigikira amasezerano yo kwifashisha undi muntu mu gihe amasezerano azamara; 2° kuba ahagaze neza mu birebana n’imari n’ubushobozi bwo gutanga serivisi yiyemeje kabone n’iyo haba hari ibibazo; 3° imiyoborere y’ikigo, isura ikigo gifite, umuco gifite, kuba cyubahiriza amategeko n’imanza obligations in the outsourcing agreement; 3° the business reputation and financial strength of the service provider, including the ethical and professional standards held by the service provider, and its ability to meet obligations under the outsourcing arrangement. The due diligence shall involve an evaluation of all relevant information about the service provider including: 1° experience and capability to implement and support the outsourcing arrangement over the contracted period; 2° financial soundness and ability to service commitments even under adverse conditions; 3° corporate governance, business reputation and culture, compliance, and pending or potential litigation; technologiques à se conformer aux obligations du contrat d'externalisation 3° la réputation de l'entreprise et de la solidité financière du prestataire de services, y compris les normes éthiques et professionnelles du prestataire de services et sa capacité à respecter les obligations de l’arrangement de l’externalisation; La diligence raisonnable doit impliquer une évaluation de toutes les informations pertinentes concernant le prestataire de services. 1° expérience et la capacité de mettre en œuvre et de soutenir l’arrangement de l’externalisation pendant la période contractuelle; 2° a solidité financière et la capacité d’honorer les engagements, même dans des conditions défavorables; 3° la gouvernance d'entreprise, la réputation et la culture d’entreprise, la

Official Gazette n° Special of 17/06/2022 271 gifite cyangwa gishobora guhura na zo; 4° umutekano n’uburyo bw’igenzura by’imbere mu kigo, abo ikigo gikorera ubugenzuzi, umwuka gutanga amakuru n’ikurikirana bikorwa bikorwamo; 5° uburyo n’ubushobozi mu micungire y'ibyateza ingorane, harimo imicungire y’ingorane zaturuka ku ikoranabuhanga n’imicungire y’ikomeza ry’imirimo hashingiwe ku masezerano yo kwifashisha undi muntu mu gukora imirimo; 6° uburyo bwo gusubukura imirimo nyuma y’amage n’amakuru ku isubukura ry’imirimo nyuma y’amage; 7° ibikorwa remezo bitekanye; 8° kuba acungira ku guha amasezerano abandi bamukorera akazi no kuba ashobora gukorana nabo neza; 9° kuba afite ubwishingizi; 10°uko hanze y'ikigo hitwaye (nk’ibijyanye na politiki, imibereho 4° security and internal controls, audit coverage, reporting and monitoring environment; 5° risk management framework and capabilities, including technology risk management and business continuity management in respect of the outsourcing arrangement; 6° disaster recovery arrangements and disaster recovery track record; 7° secure infrastructure facilities; 8° reliance on and success in dealing with sub-contractors; 9° insurance coverage; 10°external environment (such as the political, economic, social, conformité et les procès en cours ou potentiels; 4° a sécurité et les contrôles internes, la couverture de l'audit, l'environnement de transmission des rapports et de suivi; 5° le cadre et les capacités de gestion des risques, y compris la gestion des risques technologiques et la gestion de la continuité d’’activité dans le cadre de l’arrangement de l’externalisation; 6° les arrangements en matière de reprise d’activités après sinistre et antécédents en matière de reprise après sinistre; 7° les infrastructures sécurisées; 8° la dépendance sur les sous-traitants et le succès dans les relations avec eux; 9° la couverture d'assurance; 10°l’environnement externe (comme l'environnement politique, économique,

Official Gazette n° Special of 17/06/2022 272 myiza, ikoranabuhanga n’amategeko by’akarere utanga serivisi akoreramo); 11°ubushobozi bwo kubahiriza amategeko n’amabwiriza rusange n’uko ikigo gihagaze mu birebana n’iyubahirizwa ry’amaregeko n’amabwiriza rusange biriho. Ikigo kigenzurwa igomba kugenzura ko abakozi b’utanga serivisi bashyira mu bikorwa igice icyo ari cyo cyose cy’amasezerano yo kwifashisha undi muntu mu gukora imirimo basuzumwe kugira ngo harebwe ko bujuje ibisabwa na politiki za ikigo kigenzurwa mu gutanga akazi ku bijyanye n’umurimo bari gukora, kandi ko ibyo basabwa bihuje n’ibigenderwaho byubahirizwa ku bakozi bayo basanzwe. Ibi bikurikira ni bimwe mu ngero z’ibyitabwaho muri iri suzuma: 1° kureba niba batarigeze bahabwa ibihano byo mu rwego rw’imyitwarire cyangwa baciribwa imanza kubera byaha; 2° kureba niba batarahamwe n’icyaha (by’umwihariko ikijyanye n’uburiganya, gutanga amakuru atari yo cyangwa kubura ubunyangamugayo); technological and legal environment of the jurisdiction in which the service provider operates); 11°ability to comply with applicable laws and regulations and track record in relation to its compliance with applicable laws and regulations. The regulated institution must ensure that the employees of the service provider undertaking any part of the outsourcing arrangement have been assessed to meet the regulated institution ’s hiring policies for the role they are performing, consistent with the criteria applicable to its own employees including: 1° whether they have been the subject of any proceedings of a disciplinary or criminal nature; 2° whether they have been convicted of any offence (in particular, that associated with a finding of fraud, misrepresentation or dishonesty); social, technologique et juridique du ressort où le prestataire de services opère); 11°la capacité de se conformer aux lois et règlements en vigueur et le bilan en rapport avec sa conformité aux lois et règlements en vigueur. Une institution réglementée doit s’assurer que les employés du prestataire de services qui réalisent une telle partie de l’arrangement de l’externalisation ont été évalués selon les politiques de recrutement d’une institution réglementée pour le rôle qu'ils exercent et conformément aux critères applicables à ses propres employés. Quelques exemples non exhaustifs de ce qui doit être considéré dans cette évaluation sont repris ci-après: 1° s’ils ont fait l'objet d’une mesure disciplinaire ou poursuites pénales; 2° s’ils ont été reconnus coupables d'une infraction (en particulier, celle en rapport avec la fraude, les fausses déclarations ou la malhonnêteté);

Official Gazette n° Special of 17/06/2022 273 3° niba baremeye kuryozwa indishyi ku byerekeye uburiganya cyangwa gutanga amakuru atari yo; 4° no kuba bahagaze neza mu byerekeye imari. Hagombye kubaho gusura aho utanga serivisi akorera, igihe binashoboka hakanakorwa amagenzura akozwe n’abantu bigenga hakanashakishwa n’amakuru ku buryo utanga serivisi ahagaze ku isoko kugira ngo byunganire isuzuma rikorwa na ikigo kigenzurwa . Gusura aho utanga serivisi akorera bigomba gukorwa n’abantu bafite ubumenyi n’ubushobozi bisabwa mu gukora isuzuma. Ikinku cyose kibi cyagaragara muri iri suzuma kigomba kwitabwaho hashingiwe ku buremere n’ingaruka gifite ku masezerano yo kwifashisha undi muntu mu gukora imirimo. Ubushishozi bukwiye bukoreshwa mu isuzuma bugomba gukorerwa inyandiko bukongera kandi gukorwa nibura rimwe mu mwaka mu rwego rw’ikurikiranabikorwa n’igenzura ry’amasezerano yo kwifashisha undi muntu mu gukora imirimo. Ikigo kigenzurwa igomba kugenzura ko amakuru 3° whether they have accepted civil liability for fraud or misrepresentation; 4° whether they are financially sound. Onsite visits to the service provider, and where possible, independent reviews and market feedback on the service provider, shall also be obtained to supplement the regulated institution’s assessment. Onsite visits shall be conducted by persons who possess the requisite knowledge and skills to conduct the assessment. Any adverse findings from this assessment shall be considered in light of their relevance and impact to the outsourcing arrangement. The due diligence undertaken during the assessment process shall be documented and re-performed at least annually as part of the monitoring and control processes of outsourcing arrangements. The regulated institution must ensure that the information used for due diligence evaluation is 3° s'ils ont reconnu la responsabilité civile pour fraude ou fausse déclaration; et 4° s’ils sont financièrement solides. Des visites sur terrain auprès du prestataire de services et, le cas échéant, des évaluations indépendantes du prestataire de services et sa perception par le marché devraient également être obtenues pour compléter l'évaluation d’une institution réglementée. Les visites sur terrain doivent être menées par des personnes possédant les connaissances et les compétences requises pour effectuer l'évaluation. Les résultats négatifs de cette évaluation doivent être traités compte tenu de leur pertinence et de leur impact sur l’arrangement de l’externalisation. La diligence raisonnable entreprise au cours du processus d'évaluation doit être documentée et renouvelée au moins une fois par an dans le cadre des processus de suivi et de contrôle des arrangements de l’externalisation. Une institution réglementée doit s’assurer que l'information utilisée pour l'évaluation de la

Official Gazette n° Special of 17/06/2022 274 yatanzwe mu isuzuma ry’ubushobozi bukwiye ajyanye n'igihe ku buryo buhagije. Ikigo kigenzurwa kandi igomba guha agaciro amakuru yavuye mu isuzuma ry’ubushobozi bukwiye kugira ngo igene igihe izajya ikorera ubugenzuzi utanga serivisi ndetse n’urwego rw’ubwo bugenzuzi. Ingingo ya 9: Amasezerano yo kwifashisha undi muntu mu gukora imirimo Ingingo z’amasezerano zerekeye imikoranire, inshingano, uburenganzira n’ibyitezwe ku mpande zigiranye amasezerano yo kwifashisha undi muntu mu gukora imirimo zigomba gusobanurwa neza mu masezerano yanditse. Amasezerano yo kwifashisha undi muntu mu gukora imirimo agomba gusobanura neza inshingano z’impande zigiranye amasezerano kandi hagashyirwamo ingingo zikwiye zerekeye indishyi. Ikigo kigenzurwa igomba gukora ku buryo buri masezerano yo kwifashisha undi muntu mu gukora imirimo avuga ku ngorane zagaragajwe mu gihe cyo gusuzuma ingorane n’ubushobozi bukwiye. sufficiently current. The regulated institution shall also consider the findings from the due diligence evaluation to determine the frequency and scope of audit on the service provider. Article 9: Outsourcing agreement Contractual terms and conditions governing relationships, obligations, responsibilities, rights and expectations of the contracting parties in the outsourcing arrangement shall be carefully and properly defined in written agreements. Outsourcing agreement shall clearly define the roles and responsibilities of the parties to the contract and include suitable indemnification clauses. The regulated institution shall ensure that every outsourcing agreement addresses the risks identified at the risk evaluation and due diligence stages. diligence raisonnable est suffisamment à jour. Une institution réglementée doit également tenir compte des résultats de l'évaluation de la diligence raisonnable pour déterminer la fréquence et l’étendue de l'audit concernant le prestataire de services. Article 9: Accord de l’externalisation Les termes du contrat régissant les relations, les obligations, les responsabilités, les droits et les attentes des parties contractantes dans l’arrangement de l’externalisation doivent être soigneusement et correctement précisés dans les accords écrits. L'accord de l’externalisation doit définir clairement les rôles et les responsabilités des parties contractantes et inclure des clauses d'indemnisation appropriées. Une institution réglementée doit veiller à ce que chaque accord de l’externalisation traite les risques identifiés au niveau des étapes d’évaluation des risques et de diligence raisonnable.

Official Gazette n° Special of 17/06/2022 275 Buri masezerano yo kwifashisha undi muntu mu gukora imirimo agomba kuba ashobora kongera kuganirwaho ku gihe kandi akaba yavugururwa kugira ngo ikigo kigenzurwa ishobore kuyagenzura bikwiye no kugira ngo ibe yafata ibyemezo bikwiye mu rwego rwo kubahiriza inshingano zayo zo kubahiriza amategeko n’amabwiriza. Yagombye kuba nibura akubiyemo ingingo zivuga ku bintu bikurikira byerekeye kwifashisha undi muntu mu gukora imirimo: 1° gusobanura ibirebwa n’amasezerano yo kwifashisha undi muntu mu gukora imirimo, serivisi zigomba gutangwa, ubwoko bw’imikoranire hagati ya ikigo kigenzurwa n’utanga serivisi, ingingo zerekeye kugira ibanga n’umutekano, hamwe n’ibikurikizwa kugira ngo utanga serivisi agirane n’abandi bantu amasezerano y’akazi arebana n’izo serivisi; 2° ibipimo ngenderwaho byerekeye imikorere, ibikorwa, uburyo bw’igenzura hamwe n’imicungire y’ibyateza ingorane; Each outsourcing agreement shall allow for timely renegotiation and renewal to enable the regulated institution to retain an appropriate level of control over the outsourcing arrangement and the right to intervene with appropriate measures to meet its legal and regulatory obligations. The outsourcing agreement shall at least, have provisions to address the following aspects of outsourcing: 1° specification of the scope of the outsourcing arrangement, the services to be supplied, the nature of the relationship between the regulated institution and the service provider, confidentiality and security terms, and procedures governing the sub outsourcing of services; 2° performance, operational, internal control and risk management standards; Chaque accord de l’externalisation doit permettre une renégociation et un renouvellement en temps opportun pour permettre à une institution réglementée de garder un niveau de contrôle approprié sur l'arrangement de l’externalisation et le droit d'utiliser des mesures appropriées pour respecter ses obligations légales et réglementaires. Accord de l’externalisation doit au moins comprendre des dispositions pour traiter les aspects suivants de l’externalisation: 1° la spécification de l’étendue de l'arrangement de l’externalisation, les services à fournir, la nature de la relation entre une institution réglementée et le prestataire de services, les conditions de confidentialité et de sécurité, ainsi que les procédures régissant l’externalisation des services; 2° les normes de performance, de fonctionnement, de contrôle interne et de gestion des risques;

Official Gazette n° Special of 17/06/2022 276 3° ibisabwa byerekeye kugira ibanga n’umutekano nk’uko biteganyijwe muri aya mabwiriza rusange; 4° ibisabwa byerekeye imicungire y’ikomeza ry’imirimo nk’uko biteganyijwe muri aya mabwiriza rusange; 5° uburyo bwo gukurikirana no kugenzura ibikorwa byeguriwe undi muntu nk’uko biteganyijwe muri aya mabwiriza rusange; 6° ubugenzuzi bw’imari n’ubugenzuzi bw’imikorere nk’uko biteganyijwe muri aya mabwiriza rusange; 7° kugaragaza ko ikigo kigenzurwa n’ Urwego rw’ubugenzuzi n’ikigo kigenzurwa bihabwa cyangwa bigera ku makuru afitwe n’utanga serivisi; 8° gukora imenyekanisha iyo hari ibintu bitari byiza bitangiye kugaragara: Ikigo kigenzurwa igomba kugaragaza mu masezerano yayo yo kwifashisha undi muntu mu gukora imirimo ubwoko bw’ibikorwa utanga serivisi agomba gutangira raporo kuri ikigo kigenzurwa n’igihe agomba kuyitangira kugira ngo ikigo 3° confidentiality and security requirements as provided in this regulation; 4° business continuity management requirement as provided in this regulation; 5° a process of monitoring and oversight of the outsourced activities as provided this regulation; 6° audit and inspection as provided in this regulation; 7° specification that the regulated institution and the Supervisory Authority shall have access to data from the service provider; 8° notification of adverse developments: The regulated institution shall specify in its outsourcing agreement the type of events and the circumstances under which the service provider should report to the regulated institution in order for the regulated institution to take prompt risk mitigation measures and notify 3° exigences de confidentialité de sécurité comme prévues par le présent règlement; 4° la gestion de la continuité d’activité comme prévues par le présent règlement; 5° un processus de suivi et de contrôle des activités externalisé; 6° audits et inspection comme prévues par le présent règlement; 7° la spécification selon laquelle une institution réglementée et la Banque Centrale auront accès aux données du prestataire de services; 8° notification des développements défavorables: une institution réglementée devrait préciser dans son accord de l’externalisation le type d'événements et de circonstances dans lesquels le prestataire de services devrait notifier à une institution réglementée afin qu’elle prenne rapidement des mesures d'atténuation

Official Gazette n° Special of 17/06/2022 277 kigenzurwa ifate ingamba zikwiye zo kugabanya ingaruka mbi no kugira ngo imenyeshe Urwego rw’ubugenzuzi ibyerekeye ibyo bikorwa; 9° gukemura impaka: Ikigo kigenzurwa ishyira mu masezerano yayo yo kwifashisha undi muntu mu gukora imirimo uburyo bwo gukemura ibibazo, ibigize kutubahiriza ibisabwa, indishyi, uburyo bwo gukosora ibitarakozwe neza n’inzira buri ruhande mu masezerano rwanyuramo mu gihe havutse ikibazo. Ikigo kigenzurwa igomba gukora ku buryo uburenganzira bwayo buvugwa mu masezerano bwubahirizwa igihe utanga serivisi atuhabirije amasezerano ; 10°gusesa amasezerano igihe atubahirijwe cyangwa utanga serivisi agasezererwa mbere y’igihe cyateganyijwe: ikigo kigenzurwa ifite uburenganzira bwo gusesa amasezerano yo kwifashisha undi muntu mu gukora imirimo iyo habayeho kutubahiriza inshingano; Supervisory Authority of such developments; 9° dispute resolution: The regulated institution shall specify in its outsourcing agreement the dispute resolution process, events of default, and the indemnities, remedies and recourse of the respective parties in the agreement. The regulated institution shall ensure that its contractual rights can be exercised in the event of a breach of the outsourcing agreement by the service provider; 10°default termination and early exit: a regulated institution shall have the right to terminate the outsourcing agreement in the event of default, or under circumstances where: des risques et informe l’autorité de contrôle de ces développements ; 9° règlement des litiges: l’institution règlementée doit préciser dans son accord de l’externalisation le processus de résolution des litiges, les cas de défaillance ainsi que les indemnités, réparations et recours des parties respectives à l’accord. Une institution réglementée doit s'assurer que ses droits contractuels peuvent être exercés en cas d’inexécution de l'accord de l’externalisation par le prestataire de services; 10°résiliation pour inexécution et anticipée: une institution réglementée a le droit de résilier le contrat d'externalisation en cas de défaut ou dans les cas où:

Official Gazette n° Special of 17/06/2022 278 a) habaye impinduka mu miterere y’imigabane y’utanga serivisi; b) utanga serivisi ananiowe kwishyura abo afitiye imyenda cyangwa asheshwe; c) utanga serivisi ashyizwe mu icungwa cyangwa icyemezo cy’urukiko gitegetse uko ayoborwa haba mu Rwanda cyangwa u mahanga; d) habayeho kutubahiriza ibyerekeye umutekano cyangwa ibanga; e) harabayeho gugabanuka gukabije k’ubushobozi bw’utanga serivisi bwerekeye kubahiriza ibikubiye mu masezerano; 11°ikomeza ry’imirimo: Amasezerano agomba kuba arimo ingingo z’ubundi buryo bwakoreshwa, uko bugeragezwa, kugira ngo habeho ugukomeza kw’ibikorwa by’ubucuruzi. a) the service provider undergoes a change in ownership; b) the service provider becomes insolvent or goes into liquidation; c) the service provider goes into receivership or judicial management whether in Rwanda or elsewhere; d) there has been a breach of security or confidentiality; e) there is a demonstrable deterioration in the ability of the service provider to perform the contracted service; 11°business continuity: The contract shall contain clauses for contingency plans and testing thereof to maintain business continuity. a) le fournisseur de services subit un changement de propriétaire; b) le prestataire de services devient insolvable ou est mis en liquidation; c) le prestataire de services entre en redressement judiciaire ou en gestion judiciaire que ce soit au Rwanda ou ailleurs; d) il y a eu violation de la sécurité ou de la confidentialité; e) il y a une détérioration démontrable de la capacité du fournisseur de services à exécuter le service contracté; 11°continuité des activités: le contrat doit contenir des clauses sur les plans d'urgence et leurs tests pour maintenir la continuité de l'activité commerciale;

Official Gazette n° Special of 17/06/2022 279 12°kwifashisha undi muntu mu mirimo nawe akifashisha abandi : Ikigo kigenzurwa igomba kugumana ubushobozi bwo gukururikirana no kugenzura amasezerano yayo yo kwifashisha undi muntu mu gukora imirimo igihe utanga serivisi akoresheje uwapatanishijwe igice cy’imirimo. Amasezerano yo kwifashisha undi muntu mu gukora imirimo agomba kuba arimo ingingo zisobanura amabwiriza agenga kwifashisha undi muntu mu mirimo nawe akifashisha abandi n’aho uburenganzira bwo gupatanisha igice cy’imirimo bugarukira. Ikigo kigomba gushyira mu masezerano ingingo zigaragaza uburyozwe bw’utanga serivisi ku byerekeye imikorere n’imicungire y’ibyateza ingorane ku wo yapatanishije no ku byerekeye kuba uwo yapatanishije yubahiriza ibikubiye mu masezerano hagati y’utanga serivisi n’ikigo, harimo imikorere ishishoza isobanuye muri aya mabwiriza. Ikigo kigenzurwa igomba gukora ku buryo gupatanisha igice icyo ari cyo cyose cy’ibikorwa bikubiye mu masezerano yo kwifashisha undi muntu mu gukora imirimo yagira 12°sub-outsourcing: The regulated institution shall retain the ability to monitor and control its outsourcing arrangements when a service provider uses a sub-outsourcing. An outsourcing agreement shall contain clauses setting out the rules and limitations on sub - outsourcing. A regulated institution shall include clauses making the service provider contractually liable for the performance and risk management practices of its sub-outsourcing arrangements and for the sub￾outsourcing’s compliance with the provisions in its agreement with the service provider, including the prudent practices set out in this regulation. The regulated institution must ensure that the sub- outsourcing of any part of material outsourcing arrangements is subject to the institution’s prior approval; 12°sous-externalisation: Une institution réglementée conserve la capacité de suivre et de contrôler ses arrangements de l’externalisation lorsqu'un prestataire de services utilise un sous-traitant. Un accord de l’externalisation doit contenir des stipulations relatives aux règles et limites de l’externalisation. Un établissement doit inclure des clauses qui rendent le prestataire de services contractuellement responsable de l’exécution du contrat et des pratiques de gestion des risques de son sous￾traitant et du respect par le sous-traitant des stipulations dans son accord avec le prestataire de services, y compris les pratiques prudentes énoncées dans ce règlement . Une institution réglementée doit veiller à ce que l’externalisation de toute partie des arrangements de l’externalisation substantielle soit soumise à l'approbation préalable d’une institution réglementée ;

Official Gazette n° Special of 17/06/2022 280 ingaruka zikomeye bigomba kubanza kwemezwa na ikigo kigenzurwa ; 13°amategeko yubahirizwa: Amasezerano agomba kuba arimo ingingo zo guhitamo amategeko ayagenga, ingingo zigenga amasezerano, n’izerekeye inkiko zifite ububasha ziteganya ifatwa ry’ibyemezo igihe habayeho amakimbirane hagati y’impande zagiranye amasezerano hashingiwe ku mategeko y’igihugu runaka; 14°nyir’amakuru: amasezerano agenga uburyo bw’imikoranire avuga ku buryo bwumvikana ko nyir’amakuru ari ikigo kigenzurwa. Amakuru agumanwa kugirango hasohozwe umugambi ayo makuru agomba agukureshwa uretse igihe amategeko yaba abiteganya ukundi. Ikigo kigenzurwa ndetse n’utanga serivisi bagomba kumenya icyo amategeko y’igihugu amakuru azabikwamo ku byerekeye nyir’amakuru; 15°ibanga ry’amakuru: amasezerano agenga imikoranire agomba kuba akubieymo ingingo yerekeye uko amakuru agomba kugirwa ibanga. 13°applicable laws: Agreements shall include choice-of-law provisions, agreement covenants and jurisdictional covenants that provide for adjudication of disputes between the parties under the laws of a specific jurisdiction; 14°data ownership: The agreement shall clearly state that the regulated institution retains the ownership of data. The data shall be retained to satisfy the purpose for which it is processed except where the law provides otherwise. The regulated institution and the service provider shall understand how data ownership rights are affected by different laws of countries, which will host the data; 15°confidentiality: the agreement shall include confidentiality provisions. 13°lois applicables: les accords devraient inclure des stipulations sur le choix de la loi applicable, les clauses relatives à l'accord et clauses attributives de juridiction qui prévoient la résolution des différends entre les parties en vertu des lois d'un pays spécifique ; 14°propriété des données: L'accord doit clairement stipuler que l'institution réglementée conserve la propriété des données. Les données sont conservées pour répondre à la finalité pour laquelle elles sont traitées, sauf disposition contraire de la loi. L'institution réglementée et le fournisseur de services doivent comprendre comment les droits de propriété des données sont affectés par les différentes lois des pays qui hébergeront les données ; 15°confidentialité: l'accord doit comporter des dispositions de confidentialité.

Official Gazette n° Special of 17/06/2022 281 Ikigo kigenzurwa igomba gutegura buri masezerano ku buryo yatanga ibisubizo byavuka bitewe n’ingorane z’igihugu no ku mbogamizi zavuka mu gukora igenzura no mu gucunga amasezerano yo kwifashisha undi muntu mu gukora imirimo yagiranye n’utanga serivisi utari uwo mu Rwanda. Ingingo ya 10: Amasezerano y’urwego rwa serivisi n’ibipimo by’imikorere Ikigo kigenzurwa ishyira amasezerano y’urwego rwa serivisi (SLA) mu masezerano yo kwifashisha undi muntu mu gukora imirimo mu rwego rwo kwemeranya no gushyiraho uburyozwe ku nshingano ku byitezwe ku mikorere. Amasezerano y’urwego rwa serivisi agomba gusobanura neza ibishingirwaho mu gupima ireme n'ingano y'inzego za serivisi. Ikigo kigenzurwa igomba gutegura ibi bikurikira mu rwego rwo gushyiraho gahunda nziza y’ubugenzuzi: 1° politiki yemewe isobanura gahunda y’amasezerano y’urwego rwa serivisi; 2° uburyo bwo gukurikirana amasezerano y’urwego rwa serivisi; The regulated institution shall tailor each agreement to address issues arising from country risks and potential obstacles in exercising oversight and management of the outsourcing arrangements made with a service provider outside Rwanda. Article 10: Service Level Agreements and performance metrics The regulated institution shall include Service Level Agreements (SLAs) in the outsourcing contracts to agree and establish accountability for performance expectations. SLAs must clearly formalize the performance criteria to measure the quality and quantity of service levels. The regulated institution shall develop the following towards establishing an effective oversight program: 1° formal policy that defines the SLA program; 2° SLA monitoring process; Une institution réglementée doit adapter chaque accord pour résoudre les problèmes découlant des risques du pays et des obstacles potentiels dans le contrôle et la gestion des accords de l’externalisation conclus avec un prestataire de services en dehors du Rwanda. Article 10: Accords sur le niveau de service et paramètres de performance Une institution réglementée inclut les accords sur le niveau de service (SLA) dans les contrats de l’externalisation pour accepter et établir la responsabilité concernant les attentes en matière de rendement. Les SLA doivent formaliser clairement les critères de performance pour mesurer la qualité et la quantité des niveaux de service. Une institution réglementée doit développer ce qui suit pour établir un programme de supervision efficace: 1° une politique formelle qui définit le programme SLA; 2° le processus de suivi des SLA;

Official Gazette n° Special of 17/06/2022 282 3° inzira ziyambazwa igihe habayeho kwica amasezerano ; 4° uburyo bwo kuzamuka ku rundi rwego; 5° uburyo bwo gukemura impaka; 6° uburyo uwo ari we wese mu bagiranye amasezerano ashobora gusesa amasezerano; 7° Isubukurabikorwa n’ikomeza ryabyo; 8° gucunga amakuru; 9° kwiyemeza kuboneka kwa serivisi; 10°ibihano n’ukubura kw’amafaranga atangwa mu nguzanyo; 11°uburyozwe. Ku bikorwa by’ikoranabuhanga byifashisha undi muntu, ibipimo byihariye bishobora gusobanurwa hagendewe ku iboneka rya serivisi, ugukomeza kw'imirimo n'umutekano w'igikorwa, mu rwego rwo gupima imirimo yakozwe n’ikigo cyo hanze ya ikigo kigenzurwa cyagurishije serivisi. 3° recourse in case of non-performance; 4° escalation process; 5° dispute resolution process; 6° conditions in which the contract may be terminated by either party 7° Disaster Recovery (DR) and Business Continuity; 8° data management; 9° service availability commitment; 10°penalties and credit outage calculation; 11°indemnity. For outsourced technology operations, specific metrics may be defined around the service availability, business continuity and transaction security, in order to measure services rendered by the external vendor organization. 3° les recours en cas de non-exécution; 4° le processus d'escalade; 5° le processus de règlement des différends; 6° les conditions dans lesquelles le contrat peut être résilié par l'une ou l'autre partie; 7° reprise après sinistre continuité des activités; 8° gestion des données; 9° engagement de disponibilité de service; 10°calcul des pénalités et durée des pannes 11°indemnité. Pour les opérations technologiques sous￾traitées, des indicateurs spécifiques peuvent être définis en fonction de la disponibilité du service, de la continuité d’activité et de la sécurité des opérations afin de mesurer les services rendus par l'organisation fournisseur externe.

Official Gazette n° Special of 17/06/2022 283 Ikigo kigenzurwa isobanura imikorere yitezwe, mu bihe bisanzwe no mu bihe bidasanzwe. Ikigo kigenzurwa igomba gushyiraho ingingo zigaragaza igihe hagomba kugira igikorwa no gukosora ibitameze neza mu gihe utanga serivisi atanze serivisi yo ku rwego rwo hasi. Ingingo ya 11: Igongana ry'inyungu Ikigo kigenzurwa bigomba kumenya, gusuzuma no gucunga igongana ry’inyungu ku bijyanye no gukoresha imirimo y’ikigo abatari abakozi bacyo. Iyo gukoresha imirimo y’ikigo abatari abakozi bacyo bituma habaho igongana ry’inyungu rikabije, ikigo kigenzurwa gifata ingamba zikwiye zerekeye gucunga iryo gongana. Ingingo ya 12: Ingamba zerekeye uko gusohoka mu masezereano bikorwa Ibigo by'imari bigomba kugira ingamba zanditse zivuga kurangiza amasezerano yo gukoresha imirimo y’ikigo abatari abakozi bacyo byagira ingaruka zikomeye zijyanye na politiki yo gukoresha imirimo y’ikigo abatari abakozi bacyo ndetse na gahunda The regulated institution shall define performance expectations, under both normal and contingency circumstances. The regulated institution shall put in place provisions for timely and orderly intervention and rectification in the event of substandard performance by the service provider. Article 11: Conflict of interest A regulated institution shall identify, assess and manage conflicts of interests with regard to the outsourcing arrangements. Where outsourcing creates material conflicts of interests, the regulated institution needs to take appropriate measures to manage those conflicts of interest. Article 12: Exit strategy Regulated institutions shall have a documented exit strategy in the material outsourcing arrangements that is in line with their outsourcing policy and business continuity plans, taking into account at least the possibility of: Une institution réglementée définit les attentes en matière de rendement dans des circonstances normales et de contingence. Une institution réglementée doit prévoir des dispositions pour une intervention et une rectification rapide et ordonnée en cas de performance de qualité inférieure par le prestataire de services. Article 11: Conflit d'intérêts Une institution réglementée identifie, évalue et gère les conflits d'intérêts en ce qui concerne leurs accords d'externalisation. Lorsque l'externalisation crée des conflits d'intérêts importants, une institution réglementée doit prendre des mesures appropriées pour gérer ces conflits d'intérêts. Article 12: Stratégie de sortie Les établissements financiers disposent d'une stratégie de sortie documentée dans les accords d'externalisation importants qui est conforme à leur politique d'externalisation et à leurs plans de continuité des activités, en tenant compte au moins de la possibilité:

Official Gazette n° Special of 17/06/2022 284 y’ikomeza ry’imirimo hitabwa kuri ibi bikurikira: 1° irangizwa ry’amasezerano yerekeye gukoresha imirimo y’ikigo abatari abakozi bacyo; 2° kunanirwa gukora ibyo basabwa k’utanga serivisi; 3° kwangirika k’ubwiza bw’urwego rw’umurimo cyangwa guhagarara gushoboka cyangwa kwarangije kubaho kw’ibikorwa by’ubucuruzi bitewe no gukora mu buryo budakwiye cyangwa kunanirwa gukora uko bikwiye; 4° ibyateza ingorane bikomeye byavuka mu gukomeza gukoresha urwego rw’umurimo mu buryo budakwiye; 5° Ibigo by'imari bigomba kumenya niba bifite ubushobozi bwo kuva mu masezerano yo gukoresha imirimo abatari abakozi bacyo ariko bitabangamiye mu buryo butari ngombwa ibikorwa by’ubucuruzi kandi bitabangamiye ikomeza ry’imiromo ndetse n’ubwiza bwa serivisi baha abaguzi. Kugirango ibi 1° the termination of outsourcing arrangements; 2° the failure of the service provider; 3° the deterioration of the quality of the function provided and actual or potential business disruptions caused by the inappropriate or failed provision of the function; 4° material risks arising for the appropriate and continuous application of the function; 5° regulated institution shall ensure that they are able to exit outsourcing arrangements without undue disruption to their business activities and without any detriment to the continuity and quality of its provision of services to clients. To achieve this, the regulated institution shall: 1° la résiliation des accords d'externalisation; 2° la défaillance du fournisseur de services; 3° la détérioration de la qualité de la fonction fournie et les perturbations commerciales réelles ou potentielles causées par la fourniture inappropriée ou défaillante de la fonction; 4° les risques importants découlant de l'application appropriée et continue de la fonction ; 5° Les établissements financiers veillent à ce qu'ils soient en mesure de sortir des accords d'externalisation sans perturbation indue de leurs activités commerciales et sans porter préjudice à la continuité et à la qualité de ses prestations de services aux clients. Pour y parvenir, une institution réglementée doit:

Official Gazette n° Special of 17/06/2022 285 bigerweho, ikigo kigenzurwa kigomba: a. kugerageza gahunda zabo zo gusohoka (urugero nko gukora isesengura ry’ibyagenda ku isohoka mu masezerano, ingaruka z’isohoka, icyo bivuze ku mutungo no ku gihe mu kwimura imirimo imirimo ikorwa n’abatari abakozi b’ikigo bishyikirizwa undi utanga serivisi; b. kugaragaza ibindi bisubizo kandi hagashyirwaho gahunda y’inzibacyuho kugirango ifashe ikigo kigenzurwa gukuraho urwego rw’umurimo rushnzwe gukoresha imirimo y’ikigo abatari bakozi bacyo ndetse n’amakuru afitwe n’utanga serivisi kugirango byohererezwe undi utanga serivisi usimbura uwambere cyangwa kugarurwa mu kigo cy’imari; c. gufata izindi ngamba zituma habaho habaho ikomeza ryo a. test their exit plans (e.g. by carrying out an analysis of the potential costs, impacts, resources and timing implications of transferring an outsourced service to an alternative provider); b. identify alternative solutions and develop transition plans to enable the regulated institution to remove outsourced functions and data from the service provider and transfer them to alternative providers or back to the regulated institution; c. take other measures that ensure the continuous a. tester leurs plans de sortie (par exemple en effectuant une analyse des coûts potentiels, des impacts, des ressources et des implications temporelles du transfert d'un service externalisé à un fournisseur alternatif); b. identifier des solutions alternatives et élaborer des plans de transition pour permettre à une institution réglementée de supprimer les fonctions et données externalisées du prestataire de services et de les transférer à des prestataires alternatifs ou de les retourner une institution réglementée ; c. prendre d'autres mesures qui assurent la fourniture continue

Official Gazette n° Special of 17/06/2022 286 gutanga serivisi z’ingenzi cyangwa ibikorwa by’ubucuruzi mu buryo bugenzuwe kandi bwageragejwe mu buryo buhagije hitabwa ku ku ngorane zavuka bitewe n’aho amakuru aherereye kandi hagafatwa ingamba zikenewe kugirango ibikorwa bikomeze mu gihe cy’inzibacyuho. Ingingo ya 13: Uburyo bw’igenzura bushyirwaho n’tanga serivisi Ikigo kigenzurwa cy’imari kigomba gusuzuma ko uburyo bw’igenzura bwashyizweho n’utanga serivisi bukomeye. Hagomba kureba ko utanga serivisi yita kuri ibi bikurikira: 1° umutekano w’amakuru ndetse n’ubukangurambaga ku bakozi; 2° igenzura hagamijwe ko abakozi b’utanga serivisi, bagera ku amakuru y’imari atagenewe rubanda mu buryo buboneye kuburyo amakuru provision of the critical or important function or business activity in a controlled and sufficiently tested manner, taking into account the challenges that may arise because of the location of data and taking the necessary measures to ensure business continuity during the transition phase. Article 13: Control environment offered by the service provider The regulated institution shall evaluate the adequacy of internal controls environment offered by the service provider. Due consideration shall be given to the implementation of following by the service provider: 1° information security policies and employee awareness; 2° controls for logical access to non￾public financial data by service provider staff, so that information may be accessed on a need-to-know basis only; de la fonction critique ou importante ou de l'activité commerciale d'une manière contrôlée et suffisamment testée, en tenant compte des défis pouvant survenir du fait de la localisation des données et en prenant les mesures nécessaires pour assurer la continuité des activités pendant la phase de transition. Article 13: Environnement de contrôle offert par le prestataire de services Une institution réglementée doit évaluer la pertinence de l'environnement des contrôles internes offert par le prestataire de services. Le prestataire de services doit accorder une attention particulière à la mise en œuvre de ce qui suit: 1° les politiques de sécurité de l'information et de sensibilisation des employés; 2° les contrôles en vue de l'accès logique aux informations financières non publiques par le personnel du prestataire de services de sorte que l'information

Official Gazette n° Special of 17/06/2022 287 agerwaho gusa n’abayakeneye mu nshingano zabo; 3° umutekano w’ibidukukije ndetse n'umutekano wabyo; 4° umutekano w’umuyoboro wa interineti; 5° uburyo buzwi bwerekeranye no gukurikirana no gucunga impinduka ziba muri gahunda; 6° uburyo n’inzira byo gutanga raporo zerekeye ikibazo n’icungwa ryabyo; 7° uburyo bwihariye utanga serivisi akoresheje uburyo bwo kubika amakuru bw’iaya kure; 8° uburyo bukoreshwa mu gucunga amakuru y’imari; 9° gushyira mu byiciro amakuru ndetse n’uburyo bw’igenzura bukoreshwa mu kuyakoresha. 3° environmental security controls; 4° network security controls; 5° formal process for tracking and monitoring program changes; 6° process for incident reporting and problem management; 7° special control considerations for service providers using cloud computing as part of service; 8° control considerations for handling of financial data; 9° data classification and controls for handling data. puisse être consultée en cas de nécessité absolue seulement; 3° les contrôles de sécurité physique et environnementale; 4° les contrôles de sécurité du réseau; 5° le processus formel de suivi et de surveillance des changements de programme; 6° le processus de déclaration des incidents et de gestion des problèmes; 7° les considérations de contrôle spécial pour les prestataires de services utilisant l’informatique en nuage dans le cadre du service; 8° les considérations de contrôle pour le traitement des informations sur les clients; 9° la classification des données et contrôles pour le traitement des données.

Official Gazette n° Special of 17/06/2022 288 Ingingo ya 14: Kugira ibanga n’umutekano w’amakuru atagenewe rubanda Ikigo kigenzurwa igomba kwizera ko politiki z’umutekano, imikorere n’amagenzura by’utanga serivisi bizatuma ikigo kigenzurwa irinda ibanga n’umutekano by’amakuru y’abakiriya. Ikigo kigenzurwa igomba kugira icyo ikora hakiri kare mu kugaragaza no kugena mu masezerano yo kwifashisha undi muntu mu gukora imirimo ibisabwa byerekeye kugira ibanga, umutekano no kuboneka kw’ amakuru. Ikigo kigenzurwa igomba gukora ibi bikurikira mu rwego rwo kurinda amabanga n'umutekano w'amakuru atagenewe rubanda : 1° kugaragaza inshingano z’impande zigirana amasezerano mu kwifashisha undi muntu mu gukora imirimo kugira ngo yizere ko politiki n’ibikorwa by’umutekano biri ku rwego rushimishije kandi bikora neza, harimo n’ibihe bisobanuye aho buri ruhande rufite uburenganzira bwo guhindura ibisabwa bijyanye n’umutekano. Amasezerano yo kwifashisha undi muntu mu gukora Article 14: Confidentiality and security of non-public data The regulated institution shall satisfy itself that the service provider’s security policies, procedures and controls will enable the regulated institution to protect the confidentiality and security of non-public data. The regulated institution must be proactive in identifying and specifying requirements for confidentiality, integrity and availability in the outsourcing arrangement. The regulated institution must take the following steps to protect the confidentiality and security of non￾public data: 1° State the responsibilities of contracting parties in the outsourcing agreement to ensure the adequacy and effectiveness of security policies and practices, including the circumstances under which each party has the right to change security requirements. The outsourcing agreement shall also address: Article 14: Confidentialité et sécurité d’informations non publiques Une institution réglementée doit s'assurer que les politiques, les procédures et les contrôles de sécurité du prestataire de services permettront à une institution réglementée de protéger la confidentialité et la sécurité des informations sur les clients. Une institution réglementée doit être proactive pour identifier et spécifier les exigences de confidentialité, d'intégrité et de disponibilité dans l’arrangement de l’externalisation. Une institution réglementée doit prendre les mesures suivantes pour protéger la confidentialité et la sécurité des informations non publiques: 1° Indiquer les responsabilités des parties contractantes dans l'accord de l’externalisation pour assurer l'adéquation et l'efficacité des politiques et pratiques de sécurité, y compris les circonstances dans lesquelles chaque partie a le droit de modifier les exigences de sécurité. L'accord de l’externalisation doit également répondre à:

Official Gazette n° Special of 17/06/2022 289 imirimo agomba no gusubiza ibibazo bikurikira: a. ikibazo cy’uruhande rwaryozwa ibihombo igihe habayeho kutubahiriza kubika ibanga, umutekano w’amakuru y’abakiriya n’inshingano z’utanga serivisi zo kumenyesha ikigo kigenzurwa ; b. ikibazo cy’uko utanga serivisi agera ku makuru n’uko ayatangaza. amakuru atagenewe rubanda agomba gukoreshwa n’utanga serivisi hamwe n’abakozi be mu bijyanye gusa na serivisi yemerewe gutanga ivugwa mu masezerano; 2° kugaragariza utanga serivisi amakuru atagenewe rubanda kugirango abashe gukora inshingano ze gusa; 3° gukora ku buryo utanga serivisi ashobora kurinda amabanga yerekeye amakuru, inyandiko n’imitungo by’abakiriya, cyane cyane mu bihe utanga serivisi yasinye amasezerano menshi yo guha abakiriya batandukanye serivisi a. the issue of the party liable for losses in the event of a breach of confidentiality, security of personal data and the service provider’s obligation to inform the institution; b. the issue of access to and disclosure of information by the service provider. Non-public data shall be used by the service provider and its staff strictly for the purpose of the contracted service; 2° disclose non-public data to the service provider only on a need-to- know basis; 3° ensure the service provider is able to protect the confidentiality of non￾public data, documents, records, and assets, particularly where multi￾tenancy arrangements are present at the service provider; a. la question de la partie responsable pour les dommages en cas de violation de la confidentialité, de la sécurité des informations sur les clients et de l'obligation du prestataire de services d'informer une institution réglementée ; et b. la question d'accès à l’information et de divulgation de l'information par le prestataire de services. Les informations non publiques sur les clients doivent être utilisées par le prestataire de services et son personnel strictement aux fins du service contracté; 2° divulguer les informations non publiques aux prestataires de services selon le principe du besoin d'en connaître; 3° s’assurer que le prestataire de services est capable de protéger la confidentialité des informations non publique, des documents, des dossiers et des biens des clients, en particulier lorsque le prestataire de services a conclu des arrangements d’hébergement multi￾client;

Official Gazette n° Special of 17/06/2022 290 akoresheje porogaramu ya mudasobwa bahuriyeho; 4° gusuzuma no gukurikirana uko umutekano wubahirizwa n’ibikorwa byo kugenzura utanga serivisi ku buryo buhoraho, harimo gushyiraho ubugenzuzi no kubona za raporo z’inzobere ku kuba uburyo bwo kugira ibanga n’umutekano w’amakuru atagenewe rubanda bikwiye no kuba ibikorwa by’utanga serivisi byubahiriza amategeko n’amabwiriza, no gusaba utanga serivisi kumenyesha ikigo kigenzurwa igihe habayeho ukutubahiriza kugira ibanga ku byerekeye amakuru y’abakiriya. Abagiranye amasezerano bagomba kugirana amasezerano yerekeye kudashyira amakuru hanze. 4° review and monitor the security practices and control processes of the service provider on a regular basis, including commissioning audits or obtaining periodic expert reports on confidentiality, adequacy of security of non-public data, compliance in respect of the operations of the service provider, and requiring the service provider to disclose to the institution breaches of confidentiality in relation to non -public information. Contracting parties shall sign a non-disclosure agreement. 4° examiner et suivre régulièrement les pratiques de sécurité et les processus de contrôle du prestataire de services, y compris le recours aux audits ou l'obtention de rapports périodiques d'experts sur la confidentialité, la convenance de la sécurité des informations non publiques et la conformité relative aux opérations du prestataire de services ainsi que l’exigence au prestataire de services de divulguer à une institution réglementée des manquements à l’obligation de confidentialité en relation avec les informations sur les clients. Les parties contractantes doivent signer un accord de non-divulgation. Ingingo ya 15: Imicungire y’ikomeza ry’imirimo Ikigo kigenzurwa kigomba gukora ku buryo amasezerano yo kwifashisha undi muntu mu gukora imirimo adahungabanya ugukomeza kw’ibikorwa byayo by’ubucuruzi. Ikigo kigenzurwa kigomba kugira imikorere Article 15: Business Continuity Management A regulated institution shall ensure that its business continuity is not compromised by outsourcing arrangements. The institution shall adopt the sound practices and standards contained in the Business Continuity Article 15: Gestion de la continuité des activités Une institution réglementée doit s’assurer que la continuité de son activité n’est pas compromise par des arrangements de l’externalisation. Une institution réglementée doit adopter les bonnes pratiques et les normes

Official Gazette n° Special of 17/06/2022 291 n’ibipimo byiza biri mu amabwiriza rusange agenga imicungire y’ikomeza ry’imirimo (BCM) ashyirwaho na Urwego rw’Ubugenzuzimu gusuzuma ingaruka kwifashisha undi muntu mu gukora imirimo byagira ku miterere y’ibyayiteza ingorane no ku mikorere myiza y’imicungire y’ikomeza ry’imirimo. Ku bijyanye n’amabwiriza rusange agenga micungire y’ikomeza ry’imirimo, ikigo gifata ingamba zo gusuzuma no gukora ku buryo yizera ko ingorane zaturuka ku mikoranire iturutse ku masezerano yo kwifashisha undi muntu mu gukora imirimo zacungwa neza ku buryo ingaruka zayo zagabanuka ku buryo ikigo kigumana ubunyangamugayo n’ubushobozi bwo gukora ibikorwa byacyo by'ubucuruzi mu gihe serivisi igize ibibazo cyangwa igahagarara, cyangwa se habayeho guseza amasezerano yo kwifashisha undi muntu mu gukora imirimo ku buryo butari bwitezwe cyangwa ikigo gitanga serivisi kiramutse gisheshwe. Igomba gufata ingamba zirimo izikurikira: Management (BCM) regulation issued by Supervisory Authority, in evaluating the impact of outsourcing on its risk profile and for effective BCM. In line with the BCM regulation, the institution shall take steps to evaluate and satisfy itself that the interdependency risk arising from the outsourcing arrangement can be adequately mitigated such that the institution remains able to conduct its business with integrity and competence in the event of a service disruption or failure, unexpected termination of the outsourcing arrangement or liquidation of the service provider. These shall include taking the following steps: contenues dans le règlement sur la gestion de la continuité des activités («BCM») édicté par l’Autorité de contrôle lors de l’évaluation de l'impact de l’externalisation sur son profil de risque et en vue d’une gestion de la continuité des activités efficace. Conformément au règlement BCM, une institution réglementée doit prendre des mesures pour évaluer et s'assurer que le risque d’interdépendance découlant de l’arrangement de l’externalisation peut être atténué de façon adéquate de sorte que l'établissement reste capable de mener ses activités avec intégrité et compétence en cas d'une perturbation de service ou d'une panne, ou d'une résiliation inattendue de l’arrangement de l’externalisation ou de la liquidation du prestataire de services. Ces mesures doivent inclure les étapes suivantes:

Official Gazette n° Special of 17/06/2022 292 1° Kwemeza ko utanga serivisi afite gahunda ziboneye zo gukomeza ibikorwa by’ubucuruzi zijyanye n’ubwoko, urwego n’urusobe rw’amasezerano yo kwifashisha undi muntu. Amasezerano yo kwifashisha undi muntu mu gukora imirimo yagombye kuba arimo ibisabwa na gahunda yo gukomeza ibikorwa by’ubucuruzi, intego z’igihe cyo kugarura ibintu mu buryo (RTO), intego zitabwaho mu kugarura ibintu mu buryo (RPO) hamwe n’ubushobozi bwo gusubukura ibikorwa ; 2° Kumenya hakiri kare uko utanga serivisi yiteguye gukurikiza gahunda y’ikomeza ry’imirimo y’ubucuruzi, cyangwa akagira uruhare mu kuyigerageza, igihe bishoboka. Banki igomba gukora ku buryo utanga serivisi agerageza buri gihe gahunda ze z’ugukomeza kw’ibikorwa by’ubucuruzi kandi amagerageza akemeza intego z’igihe cyo gusubiza ibintu mu buryo, ibigomba kwitabwaho mu gusubiza 1° Determine that the service provider has in place satisfactory business continuity plans (BCP) that are commensurate with the nature, scope and complexity of the outsourcing arrangement. Outsourcing agreements shall contain BCP requirements on the service provider, in particular, recovery time objectives (RTO), recovery point objectives (RPO), and resumption operating capacities; 2° Proactively seek assurance on the state of BCP preparedness of the service provider, or participate in joint testing, where possible. The institution shall ensure the service provider regularly tests its BCP plans and that the tests validate the feasibility of the RTO, RPO and resumption operating capacities. Such tests would serve to familiarise the institution and the service provider with the recovery processes as well as improve the 1° Vérifier si le prestataire de services a mis en place des plans satisfaisants de continuité des activités (« BCP ») qui correspondent à la nature, la portée et la complexité de l’arrangement de l’externalisation. Les accords de l’externalisation doivent contenir des exigences BCP à l’égard du prestataire de services, en particulier les objectifs de délai de reprise (RTO), les objectifs de point de reprise informatique (RPO) et les capacités de reprise; 2° S’assurer de manière proactive de l'état de préparation du BCP du prestataire de services ou participer à des tests conjoints dans la mesure du possible. Une institution réglementée s’assure que le prestataire de services teste régulièrement ses plans BCP et que les tests valident la faisabilité du RTO, celle du RPO et les capacités de reprise. De tels tests serviraient à familiariser une institution réglementée et le prestataire de services avec les processus de reprise

Official Gazette n° Special of 17/06/2022 293 ibintu mu buryo hamwe n’ubushobozi bwo gusubukura ibikorwa. Ayo masuzuma afite intego zo kumenyereza ikigo kigenzurwa hamwe n’utanga serivisi uburyo bwo kugarura ibintu mu buryo hamwe no kunoza imikoranire hagati y’impande zirebwa. Ikigo kigenzurwa gisaba utanga serivisi kukimenyesha igerageza iryo ari ryo ryose abona ko ryagira ingaruka ku mikorere y’utanga serivisi. Ikigo kigenzurwa kandi gisaba utanga serivisi kuyimenyesha impinduka zose zikomeye muri gahunda ye y’ikomeza ry’ibikorwa by’ubucuruzi zagira ingaruka zikomeye kuri serivisi itangwa ku kigo cy’imari; 3° Gukora ku buryo habaho gahunda n’uburyo byo guhangana n’ibihe bitari byiza cyangwa gusesa amasezerano yo kwifashisha undi muntu mu gukora imirimo ku buryo ikigo kigenzurwa cyashobora gukomeza ibikorwa byacyo by’ubucuruzi kandi inyandiko zose, amakuru ku bikorwa hamwe coordination between the parties involved. The regulated institution shall require the service provider to notify it of any test finding that may affect the service provider’s performance. The institution shall also require the service provider to notify it of any substantial changes in the service provider’s BCP plans and of any adverse development that could substantially impact the service provided to the institution; 3° Ensure that there are plans and procedures in place to address adverse conditions or termination of the outsourcing arrangement such that the institution will be able to continue business operations and that all documents, records of transactions and information previously given to the service provider should be ainsi qu’à améliorer la coordination entre les parties impliquées. Une institution réglementée doit exiger que le prestataire de services l'informe de tout résultat de test susceptible d'affecter le rendement du prestataire de services. Une institution réglementée doit demander également au prestataire de services de l'informer de tout changement important dans les plans BCP du prestataire de services et de tout développement défavorable susceptible d'avoir un impact important sur le service fourni à l'établissement; 3° S’assurer qu'il existe des plans et des procédures pour gérer les conditions défavorables ou la résiliation de l’arrangement de l’externalisation afin qu’une institution réglementée puisse continuer ses activités commerciales et que tous les documents, registres des opérations et informations précédemment donnés au prestataire de

Official Gazette n° Special of 17/06/2022 294 n’amakuru utanga serivisi yahawe mbere byahita byakwa utanga serivisi cyangwa bigasibwa, bigasenywa cyangwa bagakora ku buryo bidashobora gukoreshwa. Ku birebana no kwizera imikorere kandi myiza ya gahunda yo gukomeza ibikorwa by’ubucuruzi, ikigo kigomba gushyiraho kandi kikanakora buri gihe isuzuma ryuzuye kandi rifite intego rya gahunda yo gukomeza ibikorwa by’ubucuruzi rijyanye n’ubwoko, urwego hamwe n’urusobe rw’amasezerano yo kwifashisha undi muntu mu gukora imirimo. Kugira ngo amasuzuma abe yuzuye kandi afite intego, ikigo kigenzurwa kigomba gukora ku buryo utanga serivisi agira uruhare mu kwemeza gahunda yacyo y’ikomeza ry’ibikorwa by’ubucuruzi hamwe no gusuzuma ko abakozi bayo bazi iyo gahunda no kuba biteguye kuyikoresha. Ikindi ni uko ikigo kigenzurwa kigomba kugira uruhare muri gahunda zo gukomeza ibikorwa z’abatanga serivisi no mu buryo basohoka mu ngorane bahura na zo. promptly removed from the possession of the service provider or deleted, destroyed or rendered unusable. For assurance on the functionality and effectiveness of its BCP plan, a regulated institution shall design and carry out regular, complete and meaningful BCP testing that is commensurate with the nature, scope and complexity of the outsourcing arrangement. For tests to be complete and meaningful, the institution must involve the service provider in the validation of its BCP and assessment of the awareness and preparedness of its own staff. Similarly, the regulated institution shall take part in its service providers’ BCP and disaster recovery exercises. services soient rapidement retirés de la possession du prestataire de service ou supprimés, détruits ou rendus inutilisables. Pour une assurance sur la fonctionnalité et l'efficacité de son plan BCP, institution réglementée doit concevoir et réaliser des tests BCP réguliers, complets et significatifs qui correspondent à la nature, la portée et la complexité de l’arrangement de l’externalisation. Pour que les tests soient complets et significatifs, une institution réglementée doit impliquer le prestataire de services dans la validation de son BCP et l'évaluation de la sensibilisation et de la préparation de son propre personnel. De même, l'établissement doit participer aux exercices de ses prestataires de services en rapport avec le BCP et la reprise après sinistre.

Official Gazette n° Special of 17/06/2022 295 Ikigo kigenzurwa kigomba kwita ku bihe bibi bishoboka muri gahunda zayo zo gukomeza ibikorwa by’ubucuruzi. Zimwe mu ngero z’ibyo bihe ni ukutabone k’utanga serivisi bitewe n’iseswa ritari ryitezwe ry’amasezerano yo kwifashisha undi muntu mu gukora imirimo, iseswa ry’ikigo cy’utanga serivisi n’amahungabana ashobora kugira ingaruka ikomeye ku kigo cyangwa ku utanga serivisi. Iyo gucungira ku kigo mu rwego rw’imari biri ku kigero cyo hejuru, ikigo kigenzurwa gikora ku buryo kigumana igipimo cyo hejuru cyo kuba cyiteguye gukomeza ibikorwa by’ubucuruzi. Kugaragaza ubundi buryo bwiza bwakoreshwa mu gusubukura ibikorwa hatabayeho gukoresha ibiciro by’umurengera na byo ni ingenzi mu kugabanya ingorane zituruka ku kuba hari uwo ucungiraho. The regulated institution shall consider worst￾case scenarios in its business continuity plans. Some examples of these scenarios are unavailability of service provider due to unexpected termination of the outsourcing agreement, liquidation of the service provider and wide-area disruptions that result in collateral impact on both the institution and the service provider. Where the interdependency on an institution in the financial system is high, the institution should maintain a higher state of business continuity preparedness. The identification of viable alternatives for resuming operations without incurring prohibitive costs is also essential to mitigate interdependency risk. Une institution réglementée considère les pires scénarios dans ses plans de continuité d'activités. Quelques exemples de ces scénarios sont l'indisponibilité du prestataire de services suite à la résiliation inattendue de l'accord de l’externalisation, à la liquidation du prestataire de services et à des perturbations de grande envergure qui ont un impact collatéral tant sur l'établissement que sur le prestataire de services. Lorsque l’interdépendance vis-à-vis un établissement dans le système financier est élevée, l'établissement doit maintenir une préparation plus élevée de la continuité des activités. L'identification d’alternatives viables pour reprendre les opérations sans s’exposer aux coûts prohibitifs est également essentielle pour atténuer les risques d’interdépendance. Ingingo ya 16: Gukurikirana no kugenzura amasezerano yo kwifashisha undi muntu mu gukora imirimo Ikigo kigenzurwa gishyiraho uburyo bw’imicungire no kugenzura amasezerano yacyo yo kwifashisha undi muntu mu gukora Article 16: Monitoring and control of outsourcing arrangements The regulated institution shall establish a structure for the management and control of its outsourcing arrangements. Such a structure Article 16: Suivi et contrôle des accords de l’externalisation Une institution réglementée doit établir une structure pour la gestion et le contrôle de ses accords de l’externalisation. Une telle structure

Official Gazette n° Special of 17/06/2022 296 imirimo. Ubwo buryo buzagenda buhinduka bitewe n’ubwoko hamwe n’urwego rw’ingorane by’amasezerano yo kwifashisha undi muntu mu gukora imirimo. Kubera ko imikoranire n’ubwuzuzanye bishingiye ku masezerano yo kwifashisha undi muntu mu gukora imirimo bigenda byiyongera hashingiwe ku buremere no ku rusobe, hagomba gushyirwaho uburyo butejenjetse bw’imicungire y’ibyateza ingorane. Ikigo kigenzurwa kigomba gushyiraho ingamba zikurikira kugira ngo habeho ikurikiranabikorwa n’igenzura bikora neza by’amasezerano ayo ari yo yose yo kwifashisha undi muntu mu gukora imirimo yagira ingaruka zikomeye: 1° Kugira igitabo cyandikwamo amasezerano yo kwifashisha undi muntu mu gukora imirimo yagira ingaruka zikomeye ku kigo no gukora ku buryo icyo gitabo kiboneka igihe cyose kugira ngo will vary depending on the nature and extent of risks in the outsourcing arrangements. As relationships and interdependencies in respect of outsourcing arrangements increase in materiality and complexity, a more rigorous risk management approach shall be adopted. The institution must be more proactive in its relationship with the service provider (e.g., having frequent meetings) to ensure that performance, operational, internal control and risk management standards are upheld. The regulated institution shall put in place all the following measures for effective monitoring and control of any material outsourcing arrangement: 1° Maintain a register of all material outsourcing arrangements and ensure that the register is readily accessible for review by the board and senior management of the institution. The register shall be updated promptly and variera en fonction de la nature et de l'étendue des risques dans les arrangements de l’externalisation. Au fur et à mesure que les relations et les interdépendances en ce qui concerne les arrangements de l’externalisation augmentent en importance et en complexité, une approche de gestion des risques plus rigoureuse doit être adoptée. Une institution réglementée doit être plus proactive dans ses relations avec le prestataire de services (par exemple, avoir des réunions fréquentes) pour s'assurer que les normes de performance, de fonctionnement, de contrôle interne et de gestion des risques sont respectées. Une institution réglementée doit mettre en place toutes les mesures suivantes pour un suivi et un contrôle efficace de tout arrangement de l’externalisation substantielle: 1° Tenir un registre de tous les arrangements de l’externalisation substantielle et veiller à ce que le registre soit facilement accessible pour examen par le Conseil d'administration et la direction générale d’une institution

Official Gazette n° Special of 17/06/2022 297 gisuzumwe n’Inama y’Ubutegetsi hamwe n’ubuyobozi bukuru bw’ikigo kigenzurwa . Amakuru ari muri icyo gitabo agomba guhita asanishwa n'igihe kandi akaba arebwa n'igenzura hamwe n'amasuzuma y’imiyoborere bikorwa n’Inama y'Ubutegetsi hamwe n’ ubuyobozi bukuru bw’ikigo kigenzurwa ; 2° Gushyiraho amatsinda y’imicungire y’amasezerano yo kwifashisha undi muntu mu gukora imirimo afite ibintu byinshi yitaho bakora imirimo itandukanye y’imicungire y’ibyateza ingorane hamwe n’igenzura bwite harimo abanyamategeko, abashinzwe iyubahiriza ry’amategeko n’amabwiriza, n’abashinzwe imari kugira ngo ibibazo byose bya tekiniki hamwe n’ibisabwa mu rwego rw’amategeko n’amabwiriza byubahirizwe. Ikigo kigenzurwa kigomba guha amatsinda y’imicungire y’amasezerano yo kwifashisha undi muntu uburyo buhagije mu bijyanye n’igihe form part of the oversight and governance reviews undertaken by the board and senior management of the institution; 2° Establish multi-disciplinary outsourcing management groups with members from different risk and internal control functions including legal, compliance and finance, to ensure that all relevant technical issues and legal and regulatory requirements are met. The institution shall allocate sufficient resources, in terms of both time and skilled manpower, to the management groups to enable its staff to adequately plan and oversee the entire outsourcing lifecycle; réglementée. Le registre doit être rapidement mis à jour et faire partie des examens de contrôle et de gouvernance entrepris par le Conseil d’administration et la direction générale d’une institution réglementée ; 2° Établir des groupes multidisciplinaires de gestion de l’externalisation ayant des membres en provenance de différentes fonctions de risque et de contrôle interne, y compris la fonction juridique, la fonction de conformité et la fonction finance, pour s'assurer que toutes les questions techniques pertinentes sont traitées et que les exigences légales et réglementaires sont respectées. Une institution réglementée doit allouer des ressources suffisantes, en termes de temps et de main-d’œuvre qualifiée, aux groupes de gestion pour permettre à son personnel de planifier et de superviser adéquatement tout le cycle de vie de l’externalisation;

Official Gazette n° Special of 17/06/2022 298 n’abakozi bafite ubushobozi kugira ngo abakozi bayo bashobore guteganya no kugenzura uko bikwiye ibintu byose birebana no kwifashisha undi muntu mu gukora imirimo; 3° Gushyiraho amatsinda yo kugenzura imicungire yo kwifashisha undi muntu mu gukora imirimo mu rwego rwo gukurikirana no kugenzura imirimo yifashisha undi muntu ku buryo buhoraho. Hagomba kuba hariho politiki n’ibikurikizwa mu gukurikirana uko serivisi itangwa hamwe no kugira ibanga amakuru w’amakuru atagenewe rubanda mu rwego rwo kugenzura uko ibipimo bya serivisi yemeranyweho byubahirizwa no kugira ngo ibikorwa by’ikigo kigenzurwa bitange umusaruro. Iryo kurikiranabikorwa ryagombye gukorwa buri gihe rikanemezwa binyuze mu gusuzuma raporo bikorwa n’abagenzuzi b’utanga serivisi cyangwa abagenzuzi bashyirwaho n’ikigo; 3° Establish outsourcing management control groups to monitor and control the outsourced service on an ongoing basis. There must be policies and procedures to monitor service delivery and the confidentiality and security of non-public data, For the purpose of gauging ongoing compliance with agreed service levels and the viability of the institution’s operations. Such monitoring shall be regular and validated through the review of reports by auditors of the service provider or audits commissioned by the institution; 3° Établir des groupes de contrôle de gestion de l’externalisation pour suivre et contrôler continuellement le service sous-traité. Il doit y avoir des politiques et des procédures pour faire le suivi de la prestation des services, de la confidentialité et de la sécurité des informations non publiques afin de mesurer la conformité continue avec les niveaux de service convenus et la viabilité des opérations d’une institution réglementée. Un tel suivi doit être régulier et validé par l'examen des rapports par les auditeurs du prestataire de services ou les audits ordonnés par l'établissement;

Official Gazette n° Special of 17/06/2022 299 4° Amasuzuma ngarukagihe, nibura rimwe mu mwaka, ku masezerano yose yo kwifashisha undi muntu mu gukora imirimo yagira ingaruka zikomeye ku kigo. Ibi ni ukugira ngo politiki n’ibikurikizwa mu micungire y’ingorane z’ikigo zaturuka ku kwifashisha undi muntu mu gukora imirimo hamwe n'aya amabwiriza rusange bishyirwe mu bikorwa neza. Aya masuzuma agomba kwemeza ko imicungire y’ingorane z’ikigo hamwe n’imicungire y’uburyo bukoresha ikoranabuhanga byashyizweho n’ikigo kigenzurwa bikora neza (nk’urugero gusuzuma ko uburyo butanga umusaruro bukoreshwa hamwe n’ibipimo bikoreshwa mu gusuzuma imikorere n’umutekano w’utanga serivisi) no kugaragaza ibibazo byose mu buryo ikigo kigenzurwa gikoresha mu gukora igenzura ; 5° Politiki zo gutanga raporo n’ibikurikizwa: Raporo ku ikurikiranabikorwa n’igenzura ry’ibikorwa by’ikigo kigenzurwa 4° Periodic reviews, at least on an annual basis, on all material outsourcing arrangements. This is to ensure that the institution’s outsourcing risk management policies and procedures, and this regulation, are effectively implemented. Such reviews shall ascertain the adequacy of internal risk management and management information systems established by the institution (e.g., assessing the effectiveness of processes and metrics used to evaluate the performance and security of the service provider) and highlight any deficiency in the regulated institution ’s systems of control; 5° Reporting: Reports on the monitoring and control activities of the institution shall be reviewed by its senior management and provided to the 4° Examens périodiques, au moins annuellement, de tous les accords de l’externalisation substantielle. Il s'agit de veiller à ce que les politiques et procédures de gestion des risques de l’externalisation de l'établissement ainsi que ce règlement soient effectivement mis en œuvre. Ces examens doivent confirmer l'adéquation des systèmes de gestion interne des risques et des systèmes d'information établis par une institution réglementée (par exemple, l’évaluation de l'efficacité des processus et des indicateurs utilisés pour évaluer le rendement et la sécurité du prestataire de services) et mettre en évidence toute lacune dans les systèmes de contrôle d’une institution réglementée ; 5° Politiques et procédures de transmission des rapports : les rapports sur les activités de suivi et de contrôle d’une institution réglementée doivent être

Official Gazette n° Special of 17/06/2022 300 zigomba gusuzumwa n’ubuyobozi bukuru kandi zigatangwaho amakuru ku Nama y’Ubutegetsi. Ikigo kigenzurwa kigomba gukora ku buryo ibipimo by’ikurikiranabikorwa hamwe n’amakuru ku mikorere bitavangwa n’ibyabandi bakiriya b’utanga serivisi. Ikigo kigenzurwa kigomba kandi gukora ku buryo ikibazo cyose cyavuka cyerekeye amasezerano yo kwifashisha undi muntu mu gukora imirimo gishyikirizwa n’ubuyobozi bukuru bw’ikigo kigenzurwa hamwe n’utanga serivisi cyangwa Inama y’Ubutegetsi y’ikigo kigenzurwa, iyo cyagaragaye, hakiri kare. Iyo havutse ikibazo, ikigo kigenzurwa kigomba gufata ingamba mu buryo bwihuse mu rwego rwo kongera gusuzuma imikorere ishingiye ku kwifashisha undi muntu mu gukora imirimo kugira ngo habeho ivugururwa cyangwa iseswa ry’amasezerano ; hamwe; board for information. The regulated institution must ensure that monitoring metrics and performance data are not aggregated with those belonging to other customers of the service provider. The regulated institution shall also ensure that any adverse development arising in any outsourcing arrangement is brought to the attention of the senior management of the institution and service provider, or to the institution’s board, where warranted, on a timely basis. When adverse development occurs, prompt actions must be taken by the institution to review the outsourcing relationship for modification or termination of the agreement; examinés par sa direction générale et transmis au Conseil d’administration pour information. Une institution réglementée doit s'assurer que les indicateurs de suivi et les données de performance ne sont pas regroupés avec ceux appartenant à d'autres clients du prestataire de services. Une institution réglementée doit également veiller à ce que tout développement défavorable découlant d'un accord de l’externalisation soit, si cela est nécessaire, porté en temps opportun à l'attention de la direction générale d’une institution réglementée et du prestataire de services, ou au Conseil d'administration d’une institution réglementée . En cas de développement défavorable, des mesures rapides doivent être prises par une institution réglementée pour examiner la relation de l’externalisation en vue de modifier ou de résilier l’accord;

Official Gazette n° Special of 17/06/2022 301 6° Gukora amasuzuma y’ishyirwa mu bikorwa by’amasezerano mashya yo kwifashisha undi muntu mu gukora imirimo cyangwa igihe hakozwe ivugururwa ry’amasezerano yo kwifashisha undi muntu mu gukora imirimo. Iyo amasezerano yo kwifashisha undi muntu mu gukora imirimo akorewe ivugururwa rikomeye, hagomba gukorwa isuzumwa ryimbitse ry’amasezerano yo kwifashisha undi muntu mu gukora imirimo. Ingingo ya 17: Ubugenzuzi n’igenzura Amasezerano y’ikigo kigenzurwa yo kwifashisha undi muntu mu gukora imirimo ntagomba kubangamira ubushobozi bwa ikigo kigenzurwa bwo gucunga neza ibikorwa byayo by’ubucuruzi cyangwa ngo abangamire Urwego rw’ubugenzuzi mu gukora imirimo yayo y’ubugenzuzi no gushyira mu bikorwa intego zayo. Ikigo kigenzurwa kigomba gushyira mu masezerano yayo yo kwifashisha undi muntu mu gukora imirimo ku masezerano yo 6° Perform comprehensive pre and post￾implementation reviews of new outsourcing arrangements or when amendments are made to the outsourcing arrangements. If an outsourcing arrangement is materially amended, a comprehensive due diligence of the outsourcing arrangement must also be conducted. Article 17: Audit and Inspection The regulated institution’s outsourcing arrangements must not interfere with the ability of the institution to effectively manage its business activities or impede Supervisory authority in carrying out its supervisory functions and objectives. The regulated institution shall include, in all its outsourcing agreements for material outsourcing arrangements, clauses that: 6° Effectuer des examens complets des nouveaux arrangements de l’externalisation avant et après la mise en œuvre ou lorsque des modifications sont apportées aux arrangements de l’externalisation. Si un accord de l’externalisation est modifié de façon significative, un examen intégral de l’arrangement de l’externalisation doit également être effectué. Article 17: Audit et inspection Les accords de l’externalisation d’une institution réglementée ne doivent pas entraver la capacité d’une institution réglementée de gérer efficacement ses activités commerciales ou empêcher l’Autorité de contrôle à s'acquitter de ses fonctions de supervision et à réaliser ses objectifs. Une institution réglementée doit inclure dans tous ses accords de l’externalisation concernant

Official Gazette n° Special of 17/06/2022 302 kwifashisha undi muntu mu gukora imirimo yagira ingaruka zikomeye ingingo: 1° zemerera ikigo kigenzurwa gukorera ubugenzuzi utanga serivisi n’abo yapatanishije, bikozwe n’abagenzuzi b’imbere mu kigo cyangwa abaturutse hanze yacyo, abakozi bashyirwaho n’ikigo kigenzurwa ; no kugira ngo ibone kopi za raporo iyo ari yo yose n’ibyagaragajwe ku byerekeye utanga serivisi, abandi utanga serivisi nawe yifashishije zaba izakozwe n’umugenzuzi w’imbere cyangwa wigenga b’utanga serivisi cyangwa ab’umuntu utanga serivisi nawe yifashishije cyangwa bikozwe n’abakozi bashyizweho n’utanga serivisi hashingiwe ku masezerano agenga kwifashisha undi muntu mu gukora imirimo ; 2° zituma Urwego rw’Ubugenzuzi cyangwa umukozi uwo ari we wese washyizweho n’Urwego rw’Ubugenzuzi, iyo ari ngombwa cyangwa bikwiye, bagira 1° allow the regulated institution to conduct audits on the service provider and its sub- outsourcing, whether by its internal or external auditors, or by agents appointed by the institution; and to obtain copies of any report and finding made on the service provider and its sub-outsourcing, whether produced by the service provider’s or its sub-outsourcing internal or external auditors, or by agents appointed by the service provider in relation to the outsourcing arrangement; 2° allow Supervisory Authority, or any agent appointed by Supervisory Authority, where necessary or expedient, to exercise the contractual rights of the institution to: les arrangements de l’externalisation substantielle des clauses qui: 1° permettent à une institution réglementée de mener des audits auprès du prestataire de services et de ses sous￾traitants, que ce soit par les auditeurs internes ou externes, ou par des agents nommés par une institution réglementée ; et d'obtenir des copies de tout rapport et observation faits sur le prestataire de services et ses sous-traitants en rapport avec l’arrangement de l’externalisation, qu'ils soient produits par les auditeurs internes ou externes du prestataire de services ou de ses sous-traitants, ou par des agents nommés par le prestataire de services et son sous-traitant; 2° permettent à l’Autorité de Contrôle, ou à tout agent nommé par l’Autorité de Contrôle, si nécessaire ou opportun, d'exercer les droits contractuels de l'établissement à:

Official Gazette n° Special of 17/06/2022 303 uburenganzira bushingiye ku masezerano y’ikigo bwo: a. kugera ku utanga serivisi no kubo nawe yifashishije no kubona amakuru n’inyandiko z’ibikorwa, hamwe n'amakuru y’ikigo kigenzurwa yahawe, abitse cyangwa yigwaho n'utanga serivisi hamwe n'abo yifashishije; b. kugera kuri raporo yose hamwe n’ibyagaragajwe ku byerekeye amasezerano yo kwifashisha undi muntu mu gukora imirimo bireba utanga serivisi hamwe n’abo yapatanishije, byaba byaragaragajwe n’abagenzuzi b’imbere cyangwa baturuka hanze b’utanga serivisi cyangwa abo yapatanishije cyangwa abakozi bashyirwaho n’utanga serivisi hamwe n’abo yapatanishije. a. access and inspect the service provider and its sub￾outsourcing, and obtain records and documents, of transactions, and information of the institution given to, stored at or processed by the service provider and its sub￾outsourcing; b. access any report and finding made on the service provider and its sub-outsourcing, whether produced by the service provider’s and its sub￾outsourcing’ internal or external auditors, or by agents appointed by the service provider and its sub￾outsourcing, in relation to the outsourcing arrangement. a. accéder au prestataire de services et ses sous-traitants, les inspecter et obtenir les registres et les documents des opérations et des informations d’une institution réglementée que le prestataire de services et ses sous-traitants reçoivent, stockent ou traitent; b. accéder à tout rapport et observation faits sur le prestataire de services et ses sous-traitants en rapport avec l’arrangement de l’externalisation, qu'ils soient produits par les auditeurs internes ou externes du prestataire de services et de ses sous-traitants, ou par des agents nommés par le prestataire de services et ses sous-traitants.

Official Gazette n° Special of 17/06/2022 304 Amasezerano yo kwifashisha undi muntu mu gukora imirimo yagira ingaruka ikomeye ku kigo agomba gushyirwamo ingingo zisaba utanga serivisi kubahiriza vuba hashoboka icyo Urwego rw’ubugenzuzi rusaba cyose utanga serivisi cyangwa abo nawe yifashishije, igihe basabwe gutanga raporo izo ari zo zose ku Urwego rw’ubugenzuzi ku mutekano no ku mwuka w’igenzura ry’utanga serivisi ndetse n’abo nawe yifashishije ku byerekeye amasezerano yo kwifashisha undi muntu mu gukora imirimo. Ikigo kigenzurwa gikora ku buryo ibyo byitezwe byubahirizwa mu masezerano yayo yo kwifashisha undi muntu mu gukora imirimo bigirana n’utanga serivisi ndetse n’undi uwo ari we wese utanga serivisi akoresha mu masezerano yo kwifashisha undi muntu mu gukora imirimo, harimo abatanga serivise zigamije gukomeza imirimo nyuma y’amage ndetse n’abatanga serivisi z’ingoboka. Urwego rw’ubugenzuzi iha ikigo kigenzurwa integuza yumvikana y’uko ishaka gushyira mu bikorwa uburenganzira bwayo bwo gukora igenzura kandi ishyikiriza ikigo ibyavuye mu igenzura igihe ibona ari ngombwa. Outsourcing agreements for material outsourcing arrangements shall also include clauses that require the service provider to comply, as soon as possible, with any request from Supervisory authority , to the service provider or its sub-outsourcing, to submit any reports on the security and control environment of the service provider and its sub-outsourcing to Supervisory Authority , in relation to the outsourcing arrangement. The regulated institution shall ensure that these expectations are met in its outsourcing arrangements with the service provider as well as any sub-outsourcing that the service provider may engage in the outsourcing arrangement, including any disaster recovery and backup service providers. The Supervisory Authority will provide the institution reasonable notice of its intent to exercise its inspection rights and share its findings with the institution where appropriate. Les accords de l’externalisation pour les arrangements de l’externalisation substantielle doivent également inclure des clauses qui exigent le prestataire de services à se conformer, dès que possible, à toute demande de l’Autorité de contrôle ou d’une institution réglementée adressée au prestataire de services ou à ses sous-traitants de soumettre à l’Autorité de contrôle des rapports sur l'environnement de sécurité et de contrôle du prestataire de services et de ses sous-traitants, en rapport avec l’arrangement de l’externalisation. Une institution réglementée doit veiller à ce que ces attentes soient satisfaites dans ses arrangements de l’externalisation avec le prestataire de services ainsi que tout sous￾traitant que le prestataire de services peut engager dans l’arrangement de l’externalisation, y compris les fournisseurs de services en cas de reprise après sinistre ou de secours. L’Autorité de contrôle signifiera à une institution réglementée dans un délai raisonnable son intention d'exercer ses droits d'inspection et, le cas échéant, de partager ses constatations avec l'établissement.

Official Gazette n° Special of 17/06/2022 305 Ikigo kigenzurwa gikora ku buryo hakorwa ubugenzuzi bwigenga na/cyangwa amasuzuma akozwe n’inzobere ku masezerano yayo yose yo kwifashisha undi muntu mu gukora imirimo. Mu kugena igihe ubugenzuzi cyangwa isuzuma rikozwe n’inzobere bikorerwa, ikigo kigenzurwa igendera ku bwoko ndetse n’urwego rw’ingorane hamwe n’ingaruka ikigo kigenzurwa cyahura nazo biturutse ku masezerano yo kwifashisha undi muntu mu gukora imirimo. Ibirebwa n’amagenzura ndetse n’amasuzuma akorwa n’inzobere bigomba kuba birimo isuzuma ry’umutekano n’umwuka w’igenzura by’abatanga serivisi ndetse n’abo bapatanishije, uburyo bw'imicungire y'ibibazo byavuka (igihe habayeho ukutubahiriza amasezerano ku buryo bukomeye, ibibazo serivisi yagira cyangwa ibindi bibazo’by’ingenzi) hamwe n’uko ikigo kigenzurwa yubahiriza aya mabwiriza rusange ku byerekeye amasezerano yo kwifashisha undi muntu mu gukora imirimo. Ubugenzuzi bwigenga na/cyangwa isuzuma rikorwa n’inzobere ku utanga serivisi no ku bo yapatanisjije bishobora gukorwa The regulated institution shall ensure that independent audits and/or expert assessments of all its outsourcing arrangements are conducted. In determining the frequency of audit and expert assessment, the institution shall consider the nature and extent of risk and impact to the institution from the outsourcing arrangements. The scope of the audits and expert assessments shall include an assessment of the service providers’ and its sub-outsourcing’ security and control environment, incident management process (for material breaches, service disruptions or other material issues) and the institution’s observance of this regulation in relation to the outsourcing arrangement. The independent audit and/or expert assessment on the service provider and its sub-outsourcing may be performed by the Une institution réglementée doit veiller à ce que des audits indépendants et/ou des évaluations d'experts de tous ses arrangements de l’externalisation soient menées. Pour déterminer la fréquence de l’audit et de l'évaluation d’experts, une institution réglementée doit tenir en compte la nature et l'étendue des risques ainsi que l'impact des arrangements de l’externalisation sur une institution réglementée. La portée des audits et des évaluations d'experts doit inclure une évaluation de l'environnement de sécurité et de contrôle du prestataire de services et de ses sous-traitants, le processus de gestion des incidents (pour les violations graves, les interruptions de service ou d'autres problèmes sérieux) et le respect par une institution réglementée de ce règlement en rapport avec l’arrangement de l’externalisation. L'audit indépendant et/ou l'évaluation d’experts du prestataire de services et de ses sous-traitants peuvent être effectués par les auditeurs internes

Official Gazette n° Special of 17/06/2022 306 n’abagenzuzi b’ikigo kigenzurwa bemewe b’imbere mu kigo cyangwa baturuka hanze yacyo, abagenzuzi baturuka hanze y’ikigo b’utanga serivisi cyangwa abakozi bashyirwaho nikigo kigenzurwa . Abo bantu bashyirwaho bagomba kuba bafite ubumenyi n’ubushobozi bisabwa kugira ngo bakore uwo murimo, kandi bakaba badafite aho bahuriye n'itsinda cyangwa urwego rushyira mu bikorwa amasezerano yo kwifashisha undi muntu mu gukora imirimo. Ubuyobozi bukuru bugomba gukora ku buryo hafatwa ingamba zigamije gukosora amakosa kandi zigafatirwa igihe mu rwego rwo kubonera ibisubizo ibyavuye mu magenzura. Ikigo kigenzurwa hamwe n’abatanga serivisi bagombye kugira uburyo bakoresha butuma hizerwa ko ibikorwa bigamije gukosora amakosa byakozwe neza. Ibikorwa byakozwe n’utanga serivisi mu rwego rwo kubonera ibisubizo ibyagaragajwe n'ubugenzuzi bigomba kwemezwa n’ikigo kigenzurwa mbere yo gusozwa. Iyo ari ngombwa, abantu babifitiye ubumenyi n’ubushobozi bagombye kugira uruhare mu kwemeza ko umutekano n’ingamba z’igenzura byafashwe bikora neza. institution’s qualified internal or external auditors, the service provider’s external auditors or by agents appointed by the institution. The appointed persons must possess the requisite knowledge and skills to perform the engagement, and be independent of the unit or function performing the outsourcing arrangement. Senior management shall ensure that appropriate and timely remedial actions are taken to address the audit findings. The regulated institution and the service providers shall have adequate processes in place to ensure that remedial actions are satisfactorily completed. Actions taken by the service provider to address the audit findings shall be appropriately validated by the regulated institution before closure. Where necessary, the relevant persons who possess the requisite knowledge and skills shall be involved to validate the effectiveness of the security and control measures taken. ou externes qualifiés d’une institution réglementée, les auditeurs externes du prestataire de services ou les agents nommés par une institution réglementée . Les personnes nommées doivent posséder les connaissances et les compétences requises pour effectuer la tâche et être indépendantes de l'unité ou de la fonction qui exécute l'arrangement de l’externalisation. La haute direction générale doit veiller à ce que des mesures correctives appropriées et opportunes soient prises pour donner suite aux résultats de l’audit. Les banques et les prestataires de services doivent avoir des processus adéquats pour s'assurer que les mesures correctives sont exécutées de manière satisfaisante. Les mesures prises par le prestataire de services pour prendre en considération les résultats de l’audit doivent être validées de manière appropriée par une institution réglementée avant d’y mettre fin. Le cas échéant, les personnes qualifiées qui possèdent les connaissances et les compétences nécessaires devraient être impliquées pour valider l'efficacité des mesures de sécurité et de contrôle prises.

Official Gazette n° Special of 17/06/2022 307 Ingingo hamwe n’ibibazo by’ingenzi bigomba kumenyeshwa ubuyobozi bukuru bw’ikigo kigenzurwa hamwe n’utanga serivisi cyangwa Inama y’Ubutegetsi y’ikigo kigenzurwa kandi, iyo ari ngombwa, bigakorwa ku gihe. Ikigo kigenzurwa kigomba gufata ingamba zo kongera gusuzuma amasezerano yo kwifashisha undi muntu mu gukora imirimo igihe ingorane yagaragaye idashobora kwihanganirwa n’ikigo kigenzurwa. Ikigo kigenzurwa kigomba gushyikiriza Urwego rw’Ubugenzuzi kopi za raporo y’ubugenzuzi buri gihembwe. Ikigo kigenzurwa kandi, iyo kibisabwe, kigomba guha Urwego rw’Ubugenzuzi izindi raporo cyangwa amakuru ku kigo cyangwa ku utanga serivisi ku birebana n’amasezerano yo kwifashisha undi muntu mu gukora imirimo. Ingingo ya 18: Kwifashisha undi muntu mu gukora imirimo hanze y’u Rwanda Ishyirwaho ry’utanga serivisi wo mu mahanga, cyangwa amasezerano yo kwifashisha undi muntu mu gukora imirimo Significant issues and concerns must be brought to the attention of the senior management of the institution and service provider, or to the institution’s board, where warranted, on a timely basis. Actions shall be taken by the institution to review the outsourcing arrangement if the risk posed is no longer within the institution’s risk tolerance. Copies of audit reports shall be submitted by the institution to Supervisory Authority on quarterly basis. The regulated institution shall also, upon request, provide Supervisory Authority with other reports or information on the institution and service provider that is related to the outsourcing arrangement. Article 18: Outsourcing outside Rwanda The engagement of a service provider in a foreign country, or an outsourcing arrangement whereby the outsourced function Des questions et des préoccupations importantes doivent, si cela est nécessaire, être portées en temps opportun à l'attention de la direction générale d’une institution réglementée et du prestataire de services ou du Conseil d'administration d’une institution réglementée . Les mesures doivent être prises par une institution réglementée pour réviser l’arrangement de l’externalisation si le risque posé dépasse la tolérance au risque d’une institution réglementée . L’établissement doit transmettre les copies des rapports d’audit à l’Autorité de contrôle concernant les rendements soumis trimestriellement. Une institution réglementée doit, sur demande, donner à l’Autorité de contrôle d'autres rapports ou informations sur l'établissement et le prestataire de services qui sont liés à l’arrangement de l’externalisation. Article 18: L’externalisation en dehors du Rwanda L'engagement d'un prestataire de services dans un pays étranger ou un arrangement de l’externalisation selon lequel la fonction sous-

Official Gazette n° Special of 17/06/2022 308 aho umurimo ukorwa n’undi muntuukorerwa mu gihugu cy’amahanga bishobora gutuma ikigo gihura n’ingorane zerekeyeigihugu – imiterere y’ubukungu, imibereho myiza na politiki n’ibiba mu gihugu cy’ amahanga bishobora kugira ingaruka mbi ku ikigo kigenzurwa . Iyo miterere n’ibiba muri icyo gihugu bishobora gutuma utanga serivisi adashyira mu bikorwa ibikubiye mu masezerano yagiranye n’ikigo. Mu micungire y’ibyateza ingorane bijyanye n’ayo masezerano yo kwifashisha undi muntu mu gukora imirimo, ikigo kigenzurwa kizirikana mu bushishozi bwacyo no ku mu buryo buhoraho: 1° politiki za Leta; 2° imiterere ya politiki, imibereho myiza n’ubukungu; 3° impinduka zigenda zikorwa zerekeye amategeko n’amabwiriza mu gihugu cy’amahanga; 4° ubushobozi bw’ikigo kigenzurwa mu gukurikirana neza utanga serivisi no gushyira mu bikorwa gahunda zacyo is performed in a foreign country, may expose an institution to country risk - economic, social and political conditions and events in a foreign country that may adversely affect the regulated institution. Such conditions and events could prevent the service provider from carrying out the terms of its agreement with the institution. In its risk management of such outsourcing arrangements, the institution shall take into account, as part of its due diligence, and on a continuous basis: 1° government policies; 2° political, social, economic conditions; 3° legal and regulatory developments in the foreign country; 4° the institution’s ability to effectively monitor the service provider, and traitée est exercée dans un pays étranger peut exposer un établissement au risque pays - conditions et événements économiques, sociaux et politiques dans un pays étranger qui peuvent avoir un impact défavorable sur une institution réglementée. De tels conditions et événements pourraient empêcher le prestataire de services de se conformer aux termes de son accord avec l'établissement. Dans sa gestion des risques relative à de tels arrangements de l’externalisation, une institution réglementée doit prendre en considération, dans le cadre de sa diligence raisonnable, et de façon continue: 1° les politiques gouvernementales; 2° les conditions politiques, sociales et économiques; 3° l’évolution juridique et réglementaire dans le pays étranger; 4° la capacité d’une institution réglementée à faire efficacement le suivi du prestataire de services et à exécuter ses

Official Gazette n° Special of 17/06/2022 309 z’imicungire y’ugukomeza kw’ibikorwa by’ubucuruzi hamwe n’uburyo bwo kurangizanya imirimo. Ikigo kigenzurwa kigomba kumenya ibigomba gukorwa mu gusohoka mu ngorane byashyizweho n’utanga serivisi ndetse n’aho bigomba gukorerwa ku byerekeye amasezerano yo kwifashisha undi muntu mu gukora imirimo. Kubera ko amakuru ashobora kuba yakwimurirwa ahandi hantu ho mu bindi bihugu, ingorane zerekeye uburyo bwo kuyatwara, bwaba ubufatika cyangwa ari mu buryo bw’ikoranabuhanga, bigomba kwitabwaho. Amasezerano yo kwifashisha undi muntu mu gukora imirimo ashobora kugira ingaruka zikomeye ku kigo ikigo kigirana n’abatanga serivisi bo mu mahanga yagombye gukorwa mu buryo bitabangamira Urwego rw’Ubugenzuzi mu mirimo yarwo yo gukurikirana ibikorwa by'ubucuruzi by’ikigo kigenzurwa biri mu Rwanda (nk'urugero hakoreshwa ibitabo, konti n'inyandiko) ku gihe.By'umwihariko: execute its business continuity management plans and exit strategy. The regulated institution must also be aware of the disaster recovery arrangements and locations established by the service provider in relation to the outsourcing arrangement. As information and data could be moved to primary or backup sites located in foreign countries, the risks associated with the medium of transport, be it physical or electronic, shall be considered. Material outsourcing arrangements with service providers located outside Rwanda must be conducted in a manner so as not to hinder Supervisory Authority ’s efforts to supervise the Rwanda business activities of the institution (i.e., from its books, accounts and documents) in a timely manner, in particular: plans de gestion de la continuité des activités et sa stratégie de sortie. Une institution réglementée doit également connaître les arrangements et endroits de reprise après sinistre établis par le prestataire de services en rapport avec l'arrangement de l’externalisation. Comme les informations et les données pourraient être déplacées vers des sites primaires ou de secours situés dans des pays étrangers, les risques associés au moyen de transport, qu'il soit physique ou électronique, doivent être tenus en compte. Les arrangements de l’externalisation matérielle avec les fournisseurs de services situés à l'extérieur du Rwanda doivent être conclus de manière à ne pas entraver les efforts de l’Autorité de Contrôle de superviser en temps opportun les activités commerciales d’une institution réglementée au Rwanda (c.-à￾d. ses livres, comptes et documents). En particulier:

Official Gazette n° Special of 17/06/2022 310 1° Ikigo kigenzurwa kigomba nk'ihame kugirana amasezerano yo kwifashisha undi muntu mu gukora imirimo gusa n’abatanga serivisi bakorera mu bihugu byubahiriza ingingo n'amasezerano byerekeye kugira ibanga; 2° Ikigo kigenzurwa ntikigomba kugirana amasezerano n’abatanga serivisi bakorera mu bihugu aho Urwego rw’Ubugenzuzi cyangwa abakozi bashyirwaho na yo ngo bakore mu mwanya wayo bibangamirwa n’amategeko cyangwa inzego zaho z’ubutegetsi. Ikigo kigenzurwa kigomba nibura kwiyemeza kongera kubona amakuru atanzwe n’utanga serivisi igihe Urwego rw’Ubugenzuziisabye ayo makuru. 3° Ikigo kigenzurwa kigomba kuba ariyo gifite ibyemezo by’ikoranabuhanga bikoreshawa 1° The institution shall, in principle, enter into outsourcing arrangements only with service providers operating in jurisdictions that generally uphold confidentiality clauses and agreements; 2° A regulated institution shall not enter into outsourcing arrangements with service providers in jurisdictions where prompt access to information by Supervisory Authority or agents appointed by Supervisory Authority to act on its behalf, at the service provider, may be impeded by legal or administrative restrictions. A regulated institution must at least commit to retrieve information readily from the service provider should Supervisory Authority request for such information; 3° The regulated institution shall ensure that all licenses of any system or application are maintained and are in the names of the regulated institution; 1° Une institution réglementée doit, en principe, conclure des accords de l’externalisation uniquement avec des prestataires de services opérant dans des pays qui respectent généralement des clauses et des accords de confidentialité; 2° Une institution réglementée ne doit pas conclure des arrangements de l’externalisation avec les prestataires de services dans les pays où un accès rapide à l'information par l’Autorité de contrôle ou les agents nommés par l’Autorité de Contrôle pour agir en son nom auprès du prestataire de services peut être entravé par des restrictions légales ou administratives. Une institution réglementée doit au moins s'engager à obtenir facilement les informations auprès du prestataire de services si l’Autorité de Contrôle les demande. 3° Une institution réglementée doit notifier l’Autorité de Contrôle si une autorité étrangère cherche à accéder à ses informations sur le client ou s’il existe

Official Gazette n° Special of 17/06/2022 311 ndetse bikiba biri no mu mazina yacyo; 4° Ikigo kigenzurwa kigomba kugaragaza ko amakuru yacyo cyangwa ikoranabuhanga rishobora kuva k’utanga serivisi mu buryo bworoshye kandi ko ikoranabuhanga rishobora gutandukanwa n’irisanzwe rikoreshwa mu buryo buhuje. 5° Ikigo kigenzurwa kigomba kugararagaza ko gukoresha undi muntu imirimo wo hanze y’u Rwanda bitabangamira ingama zo kuzahura no guseza ikigo; Ikigo kigenzurwa kimenyesha Urwego rw’Ubugenzuziiyo ikigo cy’ikinyamahangaa gishaka amakuru atagenwe rubanda cyangwa iyo bituma ikigo kigenzurwa cyangwa Urwego rw’Ubugenzuzibihura n’imbogamizi cyangwa byangirwa kubona amakuru. 4° The regulated institution shall demonstrate that any information or systems can be easily transferred or separated from a centralized system even in case where outsourced services are performed by a group; 5° a regulated institution shall also demonstrate that outsourcing outside Rwanda guarantee the continuation of service provision in case a regulated institution is put into resolution or under liquidation; The regulated institution shall notify Supervisory Authority if any overseas authority seeks access to its non-public data or if a situation were to arise where the rights of access of the institution and Supervisory Authority have been restricted or denied. une situation où les droits d'accès d’une institution réglementée et de l’Autorité de contrôle ont été restreints ou refusés; 4° L'institution réglementée doit démontrer que toute information ou tout système peut être facilement transféré ou séparé d'un système centralisé, même dans le cas où des services externalisés sont fournis par un groupe; 5° L’institution réglementée doit également démontrer que l'externalisation hors du Rwanda garantit la poursuite de la prestation de services en cas de mise en résolution ou de liquidation d'un établissement réglementé; Une institution réglementée notifie à la L’Autorité de Contrôle si une autorité étrangère demander avoir l’accès aux données non publiques ou si ça peut créer une situation où les droits d’accès de l’institution réglementée et de l ’Autorité de Contrôle ont été restreints ou refusés.

Official Gazette n° Special of 17/06/2022 312 Ingingo ya 19: Kwifashisha undi muntu mu gukora imirimo uri mu itsinda ry’amasosiyete rimwe na ikigo kigenzurwa Aya mabwiriza rusange akoreshwa mu masezerano yo kwifashisha undi muntu mu gukora imirimo hagati y’abakora imirimo n’ikigo kigenzurwa bahuriye mu itsinda rimwe ry’amasosiye. Ibyitezwe bishobora kwitabwaho muri politiki n’ibikurikizwa mu micungire y’ibyateza ingorane byo ku rwego rw’itsinda. Biteganijwe ko ikigo cyimari gitanga, mugihe bisabwe, amakuru yerekana imiterere ninzira inama y’ubutegetsi n’ubuyobozi bukuru byacyo basohoza uruhare rwabo mu gucunga no kugenzura ibyago ku rwego rw’itsinda. Isuzuma rikwiye utanga serivisi wo mu itsinda asabwa gukora rishobora kuba gusuzuma ibyerekeye ireme ry’ubushobozi bw’utanga serivisi mu guhangana n’ingorane zihariye z’ikigo kigenzurwa, cyane cyane izerekeye imicungire y’ugukomeza kw’ibikorwa by’ubucuruzi, ikurikiranabikorwa n’igenzura, ubugenzuzi, harimo no kwemeza uburenganzira bwa Article 19: Outsourcing within a Group This Regulation is applicable to outsourcing arrangements with parties within the group. The expectations may be addressed within group-wide risk management policies and procedures. A regulated institution is expected to provide, when requested, information demonstrating the structure and processes by which its board and senior management discharge their role in the oversight and management of outsourcing risks on a group-wide basis. Due diligence on an intra-group service provider may take the form of evaluating qualitative aspects of the service provider’s ability to address risks specific to the institution, particularly those relating to business continuity management, monitoring and control, audit and inspection, including confirmation on the right of access to be provided to Supervisory authority, to retain Article 19: L’externalisation au sein d'un groupe Le présent règlement s'applique aux arrangements de l’externalisation entre les parties au sein du groupe. Les attentes peuvent être considérées dans les politiques et les procédures de gestion des risques à l'échelle du groupe. Une institution réglementée est censée fournir, sur demande, des informations démontrant la structure et les processus par lesquels son conseil d'administration et sa direction générale s'acquittent de leur rôle de surveillance et de gestion des risques d'externalisation à l'échelle du groupe. La diligence raisonnable sur un prestataire de services intragroupe peut prendre la forme d'une évaluation des aspects qualitatifs de la capacité du prestataire de services à répondre aux risques propres à une institution réglementée, en particulier ceux liés à la gestion de la continuité des activités, au suivi et contrôle, à l’audit et à l’inspection, y compris la confirmation sur le droit d'accès devant être accordé à l’Autorité de

Official Gazette n° Special of 17/06/2022 313 Urwego rw’Ubugenzuzi bwo gukingurirwa imiryango no gukomeza kugenzura mu buryo bukwiye ku kigo, no kubahiriza ibipimo ngenderwaho byo mu gihugu bikubiye mu mabwiriza. Inshingano za buri shami mu masezerano yo kwifashisha undi muntu mu gukora imirimo zigomba kuba zanditse mu masezerano y’urwego rwa serivisi cyangwa mu nyandiko bifite agaciro kamwe. Gukoresha imirimo y’ikigo abatari abakozi bacyo mu itsinda mu mahanga buigomba kubahiriza ibisabwa byerekeye gukoresha abatari abakozi b’ikigo mu mahanga nk’uko biteganywa n’aya mabwiriza rusange. Urwego rw’ubugenzuzi rushobora gushyiraho amabwiriza agenga serivisi zisangiwe. Ingingo ya 20: Ikoranabuhanga ryo gukoresha amakuru abitse mu buryo bw’iyakure Urwego rw’Ubugenzuziiha agaciro serivisi zerekeye amakuru abitse mu buryo bw’iyakure zitangwa n’abatanga serivisi effective supervision over the institution, and compliance with local regulatory standards. The respective roles and responsibilities of each office in the outsourcing arrangement shall be documented in writing in a service level agreement or an equivalent document. Outsourcing within the group outside Rwanda shall follow the requirements of outsourcing outside Rwanda as provided for by this Regulation The Supervisory Authority may issue a directive governing the shared services arrangements. Article 20: Cloud Computing The Supervisory Authority considers cloud services operated by service providers as a form of outsourcing and recognizes that contrôle , la confirmation sur le droit de conserver une supervision efficace d’une institution réglementée et la conformité aux normes réglementaires locales. Les rôles et les responsabilités respectifs de chaque bureau dans l’arrangement de l’externalisation doivent être documentés par écrit dans un accord sur le niveau du service ou un document équivalent. L'externalisation au sein du groupe en dehors du Rwanda doit respecter les exigences de l'externalisation hors du Rwanda telles que prévues par le présent règlement. L'Autorité de contrôle peut émettre une directive régissant les accords de services partagés. Article 20: Informatique en nuage L’Autorité de Contrôle considère les services d’informatique en nuage fournis par les prestataires de services comme une forme de

Official Gazette n° Special of 17/06/2022 314 nk’uburyo bwo kwifashisha undi muntu mu gukora imirimo kandi yemera ko ikigo kigenzurwa gishobora kubyaza umusaruro izo serivisi mu kunoza ibikorwa byazo n’ireme rya za serivisi ari nako zibona inyungu z'ibikorwa remezo byujuje ubuziranenge, bitekanye kandi bishobora guhindura ingano yabyo bikoreshwa muri serivisi zerekeye amakuru abitse mu buryo bw’iyakure. Muri uru rwego, abatanga serivisi zerekeye amakuru abitse mu buryo bw’iyakure batoranyijwe n’ikigo kigenzurwa bagomba kuba barashyize mu bikorwa serivisi z'isuzuma rikomeye ry’umwirondoro, kugenzura uburyo bwo kubona amakuru, tekiniki zo gusimbuza amakuru akwiye kwitonderwa cyane uturango no kurinda amakuru kutavogerwa mu rwego rwo kubahiriza ibisabwa n’ikigo kigenzurwa. Ikigo kigenzurwa kigomba gukora isuzuma rikwiye kandi kigashyira mu bikorwa imikorere myiza y’imiyoborere n’imicungire y’ibyateza ingorane bisobanuye muri aya mabwiriza rusange igihe gitanga akazi ku bayihaserivisi zerekeye amakuru abitse mu buryo bw’iyakure. regulated institutions may leverage on such a service to enhance their operations and service efficiency while reaping the benefits of Cloud services’ scalable, standardized and secured infrastructure. In this regard, Cloud services providers selected by a regulated institution must have implemented strong authentication, access controls, and tokenization techniques and data encryption security to meet institution’s requirements. The encryption key should be retained by the regulated institution ; The regulated institution shall perform the necessary due diligence and apply sound governance and risk management practices articulated in this regulation when subscribing to Cloud services. l’externalisation et reconnaît que les banques peuvent tirer parti d’un tel service afin d'améliorer leurs opérations et leur efficacité tout en profitant des avantages de l'infrastructure modulable, standardisée et sécurisée des services d’informatique en nuage. À cet égard, les prestataires de services d’informatique sélectionnés par les banques doivent avoir mis en œuvre une authentification forte, des contrôles d'accès, des techniques de tokenisation et une sécurité de cryptage des données pour répondre aux exigences des banques. Une institution réglementée doit effectuer une vérification préalable nécessaire et appliquer les pratiques de bonne gouvernance et de gestion des risques mentionnées dans le présent règlement lors de l'abonnement aux services d’informatique en nuage.

Official Gazette n° Special of 17/06/2022 315 Ikigo kigenzurwa kigomba kumenya ibintu byihariye biranga serivisi zerekeye amakuru abitse mu buryo bw’iyakure, nko kuba rikoreshwa ku bigo byinshi bikoresha porogaramu ya mudasobwa imwe, uburyo bwo kubika amakuru butuma yose abonekera icya rimwe n’uburyo yakoreshwa nuwo ari we wese ahantu hatandukanye. Kubera iyo mpamvu, ikigo kigenzurwa kigomba gufata ingamba zifatika zo kwirinda ingorane zerekeye kubona amakuru, kuyagira ibanga, ubwizerwe bwayo, ubutavogerwa bwayo, kongera kuboneka kw’amakuru igihe habayeho ikibazo, kubahiriza amategeko n’amabwiriza, hamwe n’ubugenzuzi. By’umwihariko, ikigo kigenzurwa kigomba gukora ku buryo utanga serivisi agira ubushobozi bwo kugaragaza neza no gutandukanya amakuru atagenewe rubanda hakoreshejwe amagenzura afatika mu kwinjira ahari ibikoresho by’ikoranabuhanga bibitse amakuru cyangwa amagenzura mu kwinjira muri porogramu ziyabitse. Utanga serivisi agomba kuba afite uburyo bukomeye bw’imicungire y’amakuru atagenewe rubanda mu rwego rwo kurinda The regulated institution shall be aware of cloud services’ typical characteristics such as multi-tenancy, data commingling and the higher propensity for processing to be carried out in multiple locations. Hence, regulated institution must take active steps to address the risks associated with data access, confidentiality, integrity, sovereignty, recoverability, regulatory compliance and auditing. In particular, the institution shall ensure that the service provider possesses the ability to clearly identify and segregate non public data using strong physical or logical controls. The service provider shall have in place robust access controls to protect non public data and such access controls should survive Une institution réglementée doit connaître les caractéristiques typiques des services d’informatique en nuage tels que l’hébergement multiclient, le mélange de données et une propension élevée au traitement à effectuer dans plusieurs endroits. Par conséquent, les banques doivent prendre des mesures actives pour faire face aux risques liés à l'accès aux données, à leur confidentialité, à leur intégrité, à leur souveraineté, à leur recouvrabilité, à leur conformité réglementaire et à l'audit. En particulier, une institution réglementée doit s'assurer que le prestataire de services est capable d’identifier et de séparer clairement informations non-publiques en utilisant des contrôles d’accès physiques ou d’accès logiques solides. Le prestataire de services doit disposer de contrôles d'accès robustes pour protéger les informations non-publiques et ces contrôles

Official Gazette n° Special of 17/06/2022 316 amakuru y’abakiriya kandi gucunga uko abantu babona amakuru bigomba gukomeza na nyuma y’amasezerano ya serivisi zerekeye amakuru abitse mu buryo bw’iyakure. Ikigo kigenzurwa ni cyo kiba gishinzwe ku rwego rwa mbere kandi kikaba cyabazwa igenzura rya serivisi zerekeye amakuru abitse mu buryo bw’iyakure kandi kikanacunga ingorane zaturuka ku ikoreshwa ry’iryo koranabuhanga, nk’uko bikorwa ku bundi bwoko bw’amasezerano yo kwifashisha undi muntu mu gukora imirimo. Uburyo bushingiye ku ngorane zavuka bugomba gufatwa n'ibigo mu kurinda ko igipimo cy’ikurikiranabikorwa n’amagenzura kijyanye n’uburemere bw’ingorane zaturuka kuri serivisi zerekeye amakuru abitse mu buryo bw’iyakure. Urwego rw’Ubugenzuziishobora gushyiraho ibisabwa byihariye byerekeye kubika amakuru mu buryo w’iyakure. the tenure of the contract of the cloud services. The regulated institution shall be ultimately responsible and accountable for maintaining oversight of Cloud services and managing the attendant risks of adopting Cloud services, as in any other form of outsourcing arrangements. A risk-based approach shall be taken by regulated institution to ensure that the level of oversight and controls are commensurate with the materiality of the risks posed by the Cloud services. The Supervisory Authority may issue specific requirement for cloud computing services. d'accès doivent aller au-delà de la durée du contrat des services d’informatique en nuage. Une institution réglementée est en dernier ressort responsable du maintien de la supervision des services d’informatique en nuage et de la gestion des risques liés à l'adoption des services d’informatique en nuage, comme dans toute autre forme d'arrangements de l’externalisation. Les établissements doivent adopter une approche axée sur les risques pour s'assurer que le niveau de supervision et les contrôles correspondent à l'importance des risques posés par les services d’informatique en nuage. L ’Autorité de contrôle peut émettre des exigences spécifiques pour les services d’informatique en nuage.

Official Gazette n° Special of 17/06/2022 317 UMUTWE WA III : IBASABWA MU GUKORESHA UNDI MUNTU IBIKORWA BY’INGENZI Ingingo ya 21: Gusaba uburenganzira bwo kwifashisha undi muntu mu gukora ibikorwa by’ingenzi Ikigo kigenzurwa cyifuza kwifashisha undi muntu mu gukora ibikorwa byacyo by’ingenzi kigomba kubanza kubihererwa uburenganzira n’Urwego rw’Ubugenzuzi. Gukora amasezerano yo kwifashisha undi muntu mu gukora imirimo, kuyavugurura cyangwa kuyongerera igihe bisaba kubanza kubyemererwa na Urwego rw’Ubugenzuzi. Ikigo kigenzurwa gitanga ifishi yujuje neza mu gusaba uburenganzira bwo kwifashisha undi muntu mu gukora imirimo y’ingenzi. Dosiye isaba uburenganzira igomba kuba irimo inyandiko n’amakuru bisobanuye aha hasi: 1° inyandiko y’umushinga w’amasezerano yo kwifashisha undi CHAPTER III: REQUIREMENTS FOR OUTSOURCING MATERIAL ACTIVITIES Article 21: Application to outsource material activities A regulated institution that intends to outsource material activities shall obtain approval from the Supervisory authority. A prior approval of the Supervisory Authority is necessary to contract, modify or extend a material outsourcing arrangement. The regulated institution shall submit a duly filled application form to outsource a material activity. The application shall include documents and information specified hereafter: 1° outsourcing contract draft, containing the elements defined in this CHAPITRE III : EXIGENCES RELATIVES À L’EXTERNALISATION DES ACTIVITÉS PRINCIPALES Article 21: Demande pour l’externalisation des activités principales Une institution réglementée souhaitant externaliser ses activités principales doit préalablement obtenir une approbation de l’Autorité de contrôle. Une approbation préalable de l ’Autorité de contrôle est nécessaire pour contracter, modifier ou prolonger un arrangement de l’externalisation matérielle. Une institution réglementée soumet un formulaire de demande dûment rempli pour l’externaliser une activité principale. La demande doit inclure les documents et les informations ci-après spécifiés: 1° le projet de contrat de l’externalisation, contenant les éléments définis dans ce

Official Gazette n° Special of 17/06/2022 318 muntu mu gukora imirimo, irimo ingingo zisobanuye muri aya mabwiriza rusange ikigo kigenzurwa cyifuza kugirana n’utanga serivisi; 2° inyandiko yemeza ko amasezerano yo kwifashisha undi muntu mu gukora imirimo yemejwe hashingiwe kuri politiki z’ikigo zo kwifashisha undi muntu mu gukora imirimo; 3° amakuru arambuye ku bikorwa bizifashisha undi muntu mu gukora imirimo ndetse n’impamvu yo kwifashisha undi muntu mu gukora iyo mirimo; 4° urutonde rw’abantu bafitanye isano n’ikigo kigenzurwa, banafitanye isano n’utanga serivisi hamwe n’ibisobanuro by’isano bafitanye; 5° raporo z’ubugenzuzi z’utanga serivisi mu mwaka wabanjirije uwo; regulation, which the regulated institution intends to conclude with the service provider; 2° a statement certifying that the outsourcing arrangement has been approved in accordance with the regulated institution ’s outsourcing policies; 3° details of the activities to be outsourced as well as the rationale for the outsourcing; 4° list of persons related to the institution, who are at the same time related to the service provider, and a description of the manner in which they are related; 5° service provider’s audited reports for the previous calendar year; règlement, qu’une institution réglementée a l'intention de conclure avec le prestataire de services; 2° une déclaration attestant que l'accord de l’externalisation a été approuvé conformément aux politiques de l’externalisation d’une institution réglementée ; 3° les détails des activités à l’externaliser ainsi que la justification de l’externalisation; 4° la liste des personnes liées à une institution réglementée qui sont en même temps liées au prestataire de services et une description de la manière dont elles sont liées; 5° les rapports d'audit du prestataire de services pour l'année civile précédente;

Official Gazette n° Special of 17/06/2022 319 6° inyandiko igaragaza ko utanga serivisi afite uburambe mu gukora iyo mirimo yo kwifashisha undi muntu mu gukora imirimo; 7° inyandiko igaragaza ko utanga serivisi afite imari ihagaze neza; 8° ibisobanuro by’inshingano z’amashami cyangwa abakozi bashinzwe kugenzura no gucunga imikoranire ishingiye ku masezerano hamwe n’utanga serivisi; 9° isesengura ry’ingorane z’ingenzi zaturuka ku masezerano yo kwifashisha undi muntu mu gukora imirimo hamwe n’ingamba zo kugabanya ubukana bw’ingorane mu rwego rwo guhangana na zo ; 10°ingamba z’ikigo kigenzurwa zo kwikura mu bibazo; 11°ibisobanuro mu buryo burambuye by’ibisubizo mu rwego rwa tekiniki n’imikorere byatuma habaho 6° proof of the service provider’s former experience related to the activities subject of outsourcing; 7° proof of the financial soundness of the service provider; 8° description of the obligations and responsibilities of the departments or employees in charge of the supervision and managing the contractual relationship with the service provider; 9° an analysis of the key risks involved in the outsourcing arrangement and the risk mitigation strategies to address these risks; 10° the institution exit strategy; 11°detailed description of technical and organizational solutions enabling safe and good quality performance of the activities planned to be outsourced, 6° la preuve de l'expérience antérieure du prestataire de services en rapport avec les activités faisant l'objet de l’externalisation; 7° la preuve de la solidité financière du prestataire de services; 8° la description des obligations et des responsabilités des départements ou des employés chargés de la supervision et de la gestion des relations contractuelles avec le prestataire de services; 9° une analyse des principaux risques associés à l’arrangement de l’externalisation et des stratégies d'atténuation des risques pour faire face à ces risques; 10° la stratégie de sortie d’une institution réglementée ; 11°une description détaillée des solutions techniques et organisationnelles permettant une exécution sûre et de

Official Gazette n° Special of 17/06/2022 320 imikorere myiza kandi itekanye y’ibikorwa biteganyijwe kwifashisha undi muntu mu gukora imirimo, harimo igisobanuro cy'uburyo bwo kurinda amabanga, ukuboneka n'umwimerere w'amakuru; 12°Inyandiko y’ikigo kigenzurwa igaragaza ko ubuyobozi butagamije inyungu iziguye cyangwa itaziguye bafite mu bikorwa by’utanga serivisi, kereka iyo utanga serivisi afitanye isano n’uwayitanze mbere; 13°Andi makuru yafasha Urwego rw’Ubugenzuzi gusesengura ubusabe. Ingingo ya 22: Iyemezwa ryo kwifashisha undi muntu mu gukora ibikorwa by’ingenzi Iyo Urwego rw’ubugenzuzi rumaze kubona dosiye isaba uburenganzira bwo kwifashisha undi muntu mu gukora ibikorwa by’ingenzi ikubiyemo n’inyandiko zitanga ibisobanuro, mu gihe cy’iminsi icumi y’akazi (10), Urwego rw’Ubugenzuzi yoherereza including a description of the manner of protection of confidentiality, availability and integrity of data; 12°the institution statement that the management do not have direct or indirect interest with the service provider, except in the case of parent related service provider is it a parent company; 13°Any information deemed necessary for the Supervisory Authority to assess the application. Article 22: Approval for outsourcing of material activities Upon receipt of an application to outsource material activities and supporting documents, the Supervisory authority shall, within (10) ten working days, send the applicant a letter of acknowledgment or a letter of deficiency as the case may be. bonne qualité des activités planifiées pour être sous-traitées, y compris une description de la manière de protéger la confidentialité, la disponibilité et l'intégrité des données; 12°une déclaration bancaire selon laquelle la direction n'a pas d'intérêt direct ou indirect avec le prestataire de services, sauf dans le cas d'un prestataire lié aux parents; 13°toute autre information qui peut assister l ’Autorité de contrôle dans l’examen de la demande. Article 22: Approbation d’externalisation des activités principales Lors de la réception d'une demande de l’externalisation d'activités principales et des pièces justificatives, l’Autorité de contrôle doit, dans un délai de dix jours ouvrables (10), envoyer au demandeur un accusé de réception ou une lettre de défaillance selon le cas.

Official Gazette n° Special of 17/06/2022 321 uwatanze dosiye isaba uburenganzira ibaruwa imumenyesha ko yakiriwe cyangwa ibaruwa igaragaza ibiburamo bitewe n’uko bimeze. Ibaruwa yemeza ko dosiye isaba uburenganzira yakiriwe ifatwa nk’icyemezo ko inyandiko zatanzwe zuzuye kandi ko nta yandi makuru asabwa kugira ngo dosiye isaba uburenganzira isuzumwe. Ibaruwa igaragaza ibibura igomba kugaragaza ibibura mu dosiye isaba uburenganzira kandi igomba gutanga umunsi ntarengwa wo gukosora ibibura no gutanga andi makuru Urwego rw’ubugenzuzi yabona ko ari ngombwa. Nta kindi cyemezo gifatwa na Urwego rw’ubugenzuzi kereka iyo ibibura bikosowe mu gihe cyagenwe, kandi Urwego rw’ubugenzuzi ikanyurwa n’amakuru yakiriye. A letter of acknowledgement shall constitute official notice that the documents submitted were deemed complete and that no further information is required for processing the analysis of the application. A letter of deficiency shall outline deficiencies in the application and shall provide a deadline for rectification of the deficiencies and for providing additional information that may be deemed necessary by the Supervisory authority. No further action shall be taken by the Supervisory authority unless the deficiencies are rectified within the period prescribed, and the Supervisory authority is satisfied about the information received. L’accusé de réception constitue un avis officiel selon lequel les documents soumis ont été jugés complets et qu'aucune autre information n'est nécessaire pour analyser la demande. Une lettre de défaillance doit préciser les irrégularités dans la demande et donner un délai pour y remédier et fournir des informations supplémentaires que l’Autorité de Contrôle peut juger nécessaires. Aucune autre action ne sera entreprise par l’Autorité de contrôle à moins que les irrégularités ne soient rectifiées dans le délai prescrit et que l ’Autorité de contrôle ne soit convaincue des informations reçues.

Official Gazette n° Special of 17/06/2022 322 Ingingo ya 23: Icyemezo cy’Urwego rw’Ubugenzuzi Urwego rw’Ubugenzuzi rugomba gutegura raporo kuri buri dosiye mu gihe kingana n’ukwezi kumwe (1) nyuma yo gushyira umukono ku ibaruwa yemeza ko amakuru akubiye muri dosiye isaba uburenganzira yuzuye. Raporo igaragaza icyemezo cya Urwego rw’Ubugenzuzicyo: 1° kwemera kwifashisha undi muntu mu gukora ibikorwa byagira ingaruka zikomeye, iyo rubona ko dosiye ibisaba yujuje ibisabwa muri aya mabwiriza rusange ; cyangwa 2° kwanga kwemeza kwifashisha undi muntu mu gukora imirimo yagira ingaruka zikomeye mu busabe yashyikirijwe, ikanasobanura impamvu ishingiraho. Urwego rw’Ubugenzuziimenyesha mu nyandiko uwatanze dosiye isaba uburenganzira icyemezo cyayo cyo Article 23: Supervisory Authority’s decision The Supervisory Authority shall, within (1) one month after signing the letter of acknowledgement that confirms that the information is complete, prepare a report in respect of each application. The report shall indicate the decision of the Supervisory Authority to: 1° approve the outsourcing of the material activities, if it is satisfied that the application satisfies the requirements in this regulation; 2° rejection of outsourcing of the material activities in a given application, stating the grounds upon which it is based. The Supervisory Authority shall inform the applicant, in writing, of its decision to Article 23: Décision de la Banque Centrale L’Autorité de Contrôle doit, dans un délai d'un (1) mois après avoir signé l'accusé de réception qui confirme que les renseignements sont complets, préparer un rapport pour chaque demande. Le rapport doit indiquer la décision de la L’Autorité de Contrôle de: 1° approuver l’externalisation des activités principales si elle est convaincue que la demande satisfait aux exigences du présent règlement; ou 2° refuser d'approuver l’externalisation des activités principales dans une demande donnée, en indiquant les motifs de sa décision. L’Autorité de Contrôle informe le demandeur, par écrit, de sa décision d'approuver ou non

Official Gazette n° Special of 17/06/2022 323 kwemeza cyangwa kwanga kwifashisha undi muntu mu gukora imirimo yagira ingaruka ku ikigo kigenzurwa yasabiye uburenganzira. UMUTWE WA IV: INGINGO ZINYURANYE N’IZISOZA Ingingo ya 24: Uruhare rwa Urwego rw’Ubugenzuzimu masezerano yo kwifashisha undi muntu mu gukora imirimo Ikigo kigenzurwa kigomba kuba cyiteguye kugaragariza Urwego rw’Ubugenzuziuko cyubahiriza aya mabwiriza rusange kiyishyikiriza igitabo cyayo cyandikwamo amasezerano yo kwifashisha undi muntu mu gukora imirimo nibura rimwe buri mwaka cyangwa igihe kibisabwe. Icyo gitabo gishikirizwa Urwego rw’Ubugenzuzi mu buryo buteganywa n’umugereka wa kabiri uri kuri aya mabwiriza rusange mu gihe cy’iminsi 15 uhereye kuva umwaka urangiye. Iyo Urwego rw’Ubugenzuziitanyuzwe n’uko ikigo kigenzurwa cyubahiriza aya mabwiriza approve or not the outsourcing of the material activities that the institution applied for. CHAPTER IV: MISCELLANEOUS AND FINAL PROVISIONS Article 24: Involvement of Supervisory Authority in outsourcing arrangement The regulated institution shall be ready to demonstrate to the Supervisory Authority its observance of this regulation by submission of its outsourcing register at least annually or upon request. The annual register shall be submitted as per the appendix 2 of this regulation within (15) fifteen days after the end of the year. Where the Supervisory Authority is not satisfied with the regulated institution ’s l’externalisation des activités principales demandée par une institution réglementée. CHAPITRE IV: DISPOSITIONS DIVERSES ET FINALES Article 24: Implication de l’Autorité de contrôle dans le contrat de l’externalisation Une institution réglementée doit être prête à démontrer à la l’Autorité de Contrôle qu’il respecte le présent règlement en soumettant son registre de l’externalisation au moins une fois par an ou sur demande. Le registre annuel doit être soumis conformément à l'annexe 2 du présent règlement dans les 15 jours suivant la fin de l'année. Lorsque la L’Autorité de Contrôle n'est pas satisfaite du respect du présent règlement par

Official Gazette n° Special of 17/06/2022 324 rusange, Urwego rw’Ubugenzuziishobora kugisaba gufata izindi ngamba mu rwego rwo gukosora inenge zagaragajwe. Urwego rw’Ubugenzuzi ishobora kandi kwita kuri uko kutubahiriza ibisabwa mu gusuzuma ikigo kigenzurwa, bitewe n’ingaruka zishoboka ku ikigo kigenzurwa n’urwego rw’imari muri rusange zaturuka ku kwifashisha undi muntu mu gukora imirimo hamwe, uburemere bw’inenge zagaragaye, uko ikigo kigenzurwa gisanzwe cyitwara mu gukora amagenzura bwite no mu micungire y’ibyateza ingorane, ikaba yanasuzuma icyo kibazo ku buryo bw’umwihariko bitewe n’uko ikibona. Urwego rw’Ubugenzuzi rushobora kuganira mu buryo butaziguye n’urwego rw’ubugenzuzi rw’igihugu ikigo kigenzurwa hamwe n’utanga serivisi kukigo cy’imari bakomokamo cyangwa bakoreramo ku byerekeye ubushobozi n’ubushake bwabo mu gukurikirana ingorane ikigo cyagira ziturutse ku kwifashisha undi muntu mu gukora imirimo. observance of this regulation, the Supervisory Authority may require the institution to take additional measures to address the deficiencies noted. The Supervisory Authority may also take such non-compliance into account in its assessment of the regulated institution, depending on the potential impact of the outsourcing on the regulated institution and the financial system, severity of the deficiencies noted, the regulated institution’s track record in internal controls and risk management, and also on the circumstances of the case. The Supervisory Authority may directly communicate with the home or host regulators of the regulated institution and the regulated institution’s service provider, on their ability and willingness to cooperate with Supervisory Authority in supervising the outsourcing risks to the institution. une institution réglementée, elle peut exiger que cette dernière prenne des mesures supplémentaires pour remédier aux défaillances relevées. L’Autorité de contrôle peut également tenir compte de cette non-conformité dans son évaluation d’une institution réglementée, en fonction de l'impact potentiel de l’externalisation sur une institution réglementée et le système financier, de la gravité des défaillances relevées, des antécédents d’une institution réglementée en matière de contrôles internes et de gestion des risques, et en fonction aussi des circonstances particulières de ce cas. L’Autorité de Contrôle L’Autorité de Contrôle peut communiquer directement avec les régulateurs du pays d’origine ou d'accueil de l'établissement et de son prestataire de services au sujet de leur capacité et de leur volonté de coopérer avec l’Autorité de Contrôle dans la supervision des risques de l’externalisation pour l'établissement.

Official Gazette n° Special of 17/06/2022 325 Urwego rw’Ubugenzuziifite uburenganzira bwo gusaba ikigo kigenzurwa kuvugurura, gukora andi masezerano cyangwa kugarura mu kigo imirimo yifashishwaga abo hanze yacyo igihe habaye kimwe muri ibi bikurikira: 1° iyo ikigo kigenzurwa kitagaragaza cyangwa kidashoboye kugaragaza urwego rushimishije rwo kumva ubwoko n’urwego rw’ingaruka zaturuka mu masezerano yo kwifashisha undi muntu mu gukora imirimo; 2° iyo ikigo kigenzurwa kidashyira cyangwa kidashoboye gushyira mu bikorwa ingamba zihamye mu guhangana n’ingorane zaturuka mu masezerano yo kwifashisha undi muntu mu gukora imirimo mu buryo bushimishije kandi ku gihe; 3° iyo hari ibintu bitari byiza bikomoka ku masezerano yo kwifashisha undi muntu mu gukora imirimo bishobora kugira ingaruka ku ikigo kigenzurwa; The Supervisory Authority reserve rights to require the regulated institution to modify, make alternative arrangements or re-integrate an outsourced service into the institution where one of the following circumstances arises: 1° the regulated institution fails or is unable to demonstrate a satisfactory level of understanding of the nature and extent of risk arising from the outsourcing arrangement; 2° the regulated institution fails or is unable to implement adequate measures to address the risks arising from its outsourcing arrangements in a satisfactory and timely manner; 3° adverse developments arise from the outsourcing arrangement that could impact the institution; L’Autorité de Contrôle se réserve le droit de demander à une institution réglementée de modifier, de faire d'autres arrangements ou de réintégrer un service sous-traité dans une institution réglementée lorsque l'une des circonstances suivantes se présente: 1° une institution réglementée ne démontre pas ou est incapable de démontrer un niveau de compréhension satisfaisant de la nature et de l'étendue des risques découlant de l’arrangement de l’externalisation; 2° une institution réglementée n’exécute pas ou est incapable d’exécuter des mesures adéquates pour faire face aux risques découlant de ses arrangements de l’externalisation de manière satisfaisante et en temps opportun; 3° les évolutions négatives pourront avoir un impact sur une institution réglementée découlent de l’arrangement de l’externalisation;

Official Gazette n° Special of 17/06/2022 326 4° iyo ububasha bw’ Urwego rw’Ubugenzuzi bwo kugenzura ikigo kigenzurwa hamwe n’ubushobozi bwo gukora imirimo yacyo yo kugenzura serivisi z’ikigo bibangamiwe ; 5° iyo umutekano n’amabanga y’amakuru y’abakiriya b’ikigo kigenzurwa byagabanutse bitewe n’impinduka mu buryo utanga serivisi abigenzuramo. Ikigo kigenzurwa kimenyesha Urwego rw’Ubugenzuzivuba hashoboka igihe habaye ikintu kitari kiza giturutse ku masezerano yo kwifashisha undi muntu mu gukora imirimo yagira ingaruka mbi kukigo cy’imari. Muri ibyo bintu bitari byiza harimo ibibazo mu gutanga serivisi mu gihe kirekire cyangwa se guhagarara kw’iyubahirizwa ry’amasezerano yo kwifashisha undi muntu mu gukora imirimo, cyangwa kutubahiriza umutekano no kumena amabanga yerekeye amakuru y’ikigo kigenzurwa. Ikigo kigenzurwa kandi kimenyesha Urwego rw’Ubugenzuzi igihe ibyo bibazo bibaye mu 4° The supervisory authority powers over the institution and ability to carry out its supervisory functions in respect of the institution’s services are hindered; 5° The security and confidentiality of the institution’s data is lowered due to changes in the control environment of the service provider. The regulated institution shall notify Supervisory Authority as soon as possible of any adverse development arising from its outsourcing arrangements that could impact the regulated institution. Such adverse developments include any event that could potentially lead to prolonged service failure or disruption in the outsourcing arrangement, or any breach of security and confidentiality of the non public data. The regulated institution shall also notify Supervisory Authority of such adverse development encountered within the regulated institution’s group. This shall be done as soon as possible but not in a 4° les pouvoirs de supervision de l’Autorité de contrôle sur une institution réglementée et sa capacité d’exercer ses fonctions de supervision à l'égard des services de l'établissement sont entravés; 5° la sécurité et la confidentialité des informations sur les clients d’une institution réglementée sont abaissées suite aux changements dans l'environnement de contrôle du prestataire de services. Une institution réglementée doit informer la Banque Centrale, dès que possible, de toute évolution négative découlant de ses arrangements de l’externalisation qui pourrait avoir un impact sur une institution réglementée. Ces évolutions négatives comprennent tout événement qui pourrait conduire à une défaillance prolongée du service ou à une interruption de l’arrangement de l’externalisation, ou à toute violation de la sécurité et de la confidentialité des informations non publique d’une institution réglementée. Une institution réglementée doit également aviser l’Autorité de contrôle de toute évolution

Official Gazette n° Special of 17/06/2022 327 itsinda ry’amasosiyete ibarizwamo. Ibi bikorwa vuba hashoboka ariko uko byagenda kose mu gihe kitarenze amasaha 24 ikigo kigenzurwa kimaze kumenya ko ibyo bibazo bihari. Ingingo ya 25: Ingero zerekeye gukoresha imirimo y’ikigo undi muntu Umugereka wa 1 utanga ingero zimwe na zimwe zerekeye gukoresha imirimo y’ikigo abatari abakozi bacyo aya mabwiriza rusange areba ndetse n’ingero zo gukoresha imirimo y’iki abatari abakozi bacyo aya mabwiriza rusange rusange atareba. Ntibigomba kumvwa nk’aho ubundi buryo bwo gukora imirimo butasobanuwe nko gukoresha imirimo y’ikigo abatari abakozi bacyo butagomba kurebwa n’uburyo buhamye bwo gucunga ibyateza ingorane ndetse n’igenzura ry’imbere byashyizweho n’ikigo kigenzurwa. Ingingo ya 26: Iyubahirizwa ry’ibisabwa Ikigo kigenzurwa kigomba kwita ku bakigenzura mu gukoresha imirimo y’ikigo period of later than (24) twenty-four hours from the time the institution is aware of these adverse developments. Article 25: Examples of outsourcing arrangements Annex 1 provides some examples of outsourcing arrangements to which this regulation applies and arrangements to which it does not. It should not be misconstrued that arrangements not defined as outsourcing need not be subject to adequate risk management and sound internal controls by the regulated institution. Article 26: Compliance landscape A regulated institution shall consider all their specific regulators when considering négative rencontrée au sein du groupe dont elle fait partie. Cela doit être fait le plus tôt possible, mais pas dans un délai de plus de 24 heures à partir du moment où une institution réglementée est au courant de ces évolutions négatives. Article 25: Exemples de modalités d'externalisation L'annexe 1 donne quelques exemples d’arrangements de l’externalisation auxquels ce règlement s’applique et les arrangements auxquels il ne s’applique pas. Les arrangements non-définis comme l’externalisation ne doivent pas être erronément interprétés comme n’étant pas soumis à une gestion de risques adéquate et aux contrôles internes rigoureux. Article 26: Conformité Une institution réglementée doit tenir compte de tous ses régulateurs spécifiques lorsqu'elle

Official Gazette n° Special of 17/06/2022 328 abatari abakozi bacyo mu rwego rwo kubahiriza ibisabwa. Ikigo kigenzurwa kigomba kuzirikana ko, uretse ku byo amategeko y’imbere mu gihugu asaba, inzego z’ubugenzuzi zo mu bindi bihugu zishobora kugishyiriraho ibindi biswabwa by’inyongera. Ingingo ya 27: Ikoreshwa ry’ayandi mategko Uretse aya mabwiriza rusange, ikigo kigenzurwa kigomba gukurikiza andi mategeko ndetse n’ibindi bisabwa byerekeye ubugenzuzi byerekeye umutekano mu by’ikoranabuhanga ndetse no kurinda amakuru bwite ndetse n’ubuzima bwite. Ingingo ya 28: Ibihano n’ibyemezo byo mu rwego rw’ ubutegetsi Iyo ikigo kigenzurwa kinaniwe kubahiriza ibisabwa n’aya mabwiriza rusange, Urwego rw’Ubugenzuziishobora kugihanisha igihano icyo ari cyose giteganyijwe n’amategeko cyangwa mabwiriza rusange. outsourcing arrangements in order to ensure compliance. A regulated institution shall be aware that, apart from local legislative requirements, regulators in other jurisdictions may impose additional requirements on the regulated institution Article 27: Application of other laws In addition to the provisions of this regulation, a regulated institution shall abide with other legal and regulatory requirements notably those applicable to cybersecurity and data protection and privacy. Article 28: Penalties and administrative sanctions Where a regulated institution fails to satisfy any of the requirements of this Regulation the Supervisory Authority may apply any sanctions available under relevant provisions of the Law /or provisions of a relevant regulation. envisage des accords d'externalisation afin de garantir la conformité. Une institution réglementée doit être consciente qu'en dehors des exigences législatives locales, les autorités de réglementation d'autres juridictions peuvent imposer des exigences supplémentaires à l'institution réglementée. Article 27: Application d'autres lois En dépit des dispositions du présent règlement, une institution réglementée se conforme aux autres exigences légales et réglementaires applicables à la cybersécurité et à la protection des données personnelles et de la vie privée. Article 28: Pénalités et sanctions administratives Lorsqu'une institution réglementée ne satisfait pas à l'une des exigences du présent règlement, l’Autorité de Contrôle peut appliquer toutes les sanctions prévues en vertu des dispositions pertinentes de la loi / ou des dispositions d'un règlement pertinent.

Official Gazette n° Special of 17/06/2022 329 Ingingo ya 29: Ingingo z’inzibacyuho Ikigo kigenzurwa gisuzuma uburemere bw’amasezerano yose yo kwifashisha undi muntu mu gukora imirimo mbere y’uko aya mabwiriza rusange atangazwa, kandi igasaba ko Urwego rw’Ubugenzuziyemeza gukomeza kwifashisha undi muntu mu gukora imirimo mu gihe cy'amezi 6 nyuma y'uko aya mabwiriza rusange atangiye kubahirizwa. Ingingo ya 30: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Amabwiriza Rusange N° 03/2018 yo ku wa 24/01/2018 agenga uburyo banki zifashisha undi muntu n’ingingo zose zabanjirije aya mabwiriza rusange zinyuranyije nayo zivanyweho. Ingingo ya 31: Itegurwa, isuzumwa n’iyemezwa ry’aya mabwiriza rusange Aya mabwiriza rusange yateguwe, asuzumwa kandi yemezwa mu rurimi rw’icyongereza. Article 29: Transitional provisions The regulated institution shall assess the materiality of all outsourced agreements prior to the time of the publication of this regulation, and shall seek approval of the Supervisory Authority to continue outsourcing these activities within 6 months after this regulation comes into force. Article 30: Repealing provisions Regulation N° 03/2018 of 24/01/2018 on outsourcing and all previous provisions contrary to this Regulation are hereby repealed. Article 31: Drafting, consideration and approval of this regulation This Regulation was drafted, considered and approved in English. Article 29: Dispositions transitoires Une institution réglementée évalue l'importance de tous les sous-traités conclus avant la publication du présent règlement et doit demander l'approbation de l’Autorité de Contrôle pour continuer à l’externaliser ces activités dans les six (6) mois suivant l'entrée en vigueur du présent règlement. Article 30: Disposition abrogatoire le Règlement N° 03/2018 du 24/01/2018 régissant l’externalisation et toutes les dispositions antérieures contraires au présent règlement sont abrogées. Article 31: Initiation, examen et approbation du présent règlement Le présent règlement a été initié, examiné et approuvé en anglais.

Official Gazette n° Special of 17/06/2022 330 Ingingo ya 32: Igihe aya mabwiriza rusange atangirira gukurikizwa Aya mabwiriza rusange atangira gukurikizwa ku munsi atangarijweho mu Igazeti ya Leta ya Repubulika y’u Rwanda. Article 32: Commencement This regulation shall come into force on the date of its publication in the Official Gazette of the Republic of Rwanda. Article 32: Entrée en vigueur Le présent règlement entre en vigueur le jour de sa publication au Journal officiel de la République du Rwanda. Kigali, 02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho Ikirango cya Repubulika: Seen and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux

Official Gazette n° Special of 17/06/2022 331 UMUGEREKA WA MBERE INGERO ZO KWIFASHISHA UNDI MUNTU MU MIRIMO

1. Ibikurikira ni ingero za serivisi zimwe na zimwe, iyo zakozwe nundi muntu, zifatwa nkizitangwa hifashishijwe undi muntu: a. gusaba serivisi (urugero, gusaba inguzanyo, amakarita y'inguzanyo); b. gutunganya amafaranga no kuyimura avanwa ahantu hamwe ajyanwa ahandi; c. gukomeza ubucuruzi n'izahuka ryabwo nyuma yo guhagarara; d. kwishyura abasaba kwishyurwa (urugero, ibiganiro byinguzanyo, gukora ibikenewe kugirango inguzanyo zitangwe, gucunga ingwate, kwishyuza inguzanyo zananiranye kwishyurwa); e. gutunganya inyandiko (urugero, sheki, ikarita yinguzanyo no kwishyura fagitire, impapuro za banki, andi yishyurwa ryibigo, icapiro ryabakiriya); f. gushyiraho uburyo bw’imikorere bw’ikoranabuhanga (urugero, progaramu ya mudasobwa ibikwamo izindi kugirango abazikeneye bazibone, urubuga rushyirwaho porogaramu za mudasobwa cyangwa ibikoresho bya mudasobwa kugirango ababishaka babisangehoi, urubuga rushyirwaho servisi za mudasobwa, ububikondetse na interineti kugirango ababishaka babibone); g. sisitemu yo gucunga amakuru no kuyitaho (urugero: kwinjiza amakuru no kuyatunganya, ibigo byamakuru, imicungire yikigo cyamakuru, imikoreshereze yanyuma-ukoresha, imiyoborere yimiyoboro yakarere, uho basabira gufashwa, ibikorwa byumutekano byikoranabuhanga);

Official Gazette n° Special of 17/06/2022 332 h. gucunga abakozi (urugero, inyungu nindishyi zubuyobozi, kugena abakozi, amahugurwa niterambere); i. gucunga itangwa ry’ubwishingizi n'ibikorwa byo gusaba kwishyurwa; j. serivisi zumwuga zijyanye nibikorwa by’ubucuruzi bwikigo (urugero: ibaruramari, ubugenzuzi bwimbere, actuarial, kubahiriza); k. kwamamaza no gukora ubushakashatsi (urugero, iterambere ryibicuruzwa, kubika amakuru no gucukura amabuye y'agaciro, umubano w'itangazamakuru, ibigo byita, telemarketing); l. serivisi zunganira zijyanye nububiko, kubika no gusenya amakuru ninyandiko. 2. Ibikorwa bikurikira ntizishobora gufatwa gukorwa hifashishijwe undi muntu: a. Gahunda aho ibintu bimwe na bimwe biranga inganda bisaba gukoresha abandi-batanga serivisi; b. serivisi z'itumanaho n'ibikorwa rusange (urugero, amashanyarazi, serivisi zerekeye kohererezanya ubutumwa mu buryo bw’ikoranabuhanga); c. serivisi z'iposita; d. ibikorwa remezo rusange (urugero, Visa, MasterCard, nibindi); e. gahunda yo gukuraho no gutuza hagati yo gusiba amazu n’ibigo by’imiturire n’abanyamuryango bayo, n’uburyo busa hagati y’abanyamuryango n’abatari abanyamuryango; f. ibikorwa remezo byubutumwa bwimari kwisi yose bigenzurwa nababishinzwe bireba (urugero, SWIFT); na

Official Gazette n° Special of 17/06/2022 333 g. serivisi zerekeye imikoranire hagati ya za banki; h. intangiriro na gahunda byerekeranye n’isano abahuza bafitanye: i. kugurisha ubwishingizi bikozwe n’abahuza mu bwishingizi basanzwe na servisi zifitanye isano n’iryo gurisha; ii. kwemera ikishingirwa gitanga ubwishingizi no gutanga ubwishingizi; na iii. kwamamaza serivisi (aho ikigo kidafite umubano wamasezerano nabakiriya). i. Gahunda ikigo cyagenwe ntabwo cyemewe n'amategeko cyangwa ubuyobozi gishobora gutanga j. ubugenzuzi bwemewe nubugenzuzi bwigenga cyangwa isuzuma; k. serivisi zubujyanama bwubwenge (urugero, ibitekerezo byamategeko, isuzuma ryigenga, abashinzwe guhomba, kugenzura igihombo); l. kugisha inama yigenga (urugero, serivisi zubujyanama ku bikorwa ikigo kidafite ubumenyi bwo kubikora)

Official Gazette n° Special of 17/06/2022 334 UMUGEREKA II INGERO ZEREKEYE UMWANDITSI W'IBIKORWA BIKURIKIRA / SERIVISI Izina ry’utanga serivisi Umurimo ukoreshwa undi Erekana niba umurimo ari ingenzi ku kigo kigenzurwa Sobanura muri make amasezerano agenga kwifashisha undi Igihugu serivisi izatangirwamo Igihe amasezerano azatangirira n’igihe azarangirira Igiteranyo cy’amafaranga agomba kwishyurwa kuri serivisi Amafaranga agenda kuri serivisi buri kwezi (FRW/USD) Amafaranga agenda kuri serivisi ku mwaka (FRW/USD)

Official Gazette n° Special of 17/06/2022 335 APPENDIX I EXAMPLES OF OUTSOURCING ARRANGEMENTS

1. The following are examples of some services that, when performed by a third party, would be regarded as outsourcing arrangements for the purposes of this regulation although they are not exhaustive: a. application processing (e.g., loan origination, credit cards); b. cash processing and transportation; c. business continuity and disaster recovery functions and activities; d. claims administration (e.g.,loan negotiations, loan processing, collateral management, collection of bad loans); e. document processing (e.g., cheques, credit card and bill payments, bank statements, other corporate payments, customer statement printing); f. information systems hosting (e.g., software-as-a-service, platform-as-a-service, infrastructure-as-a-service); g. information systems management and maintenance (e.g., data entry and processing, data centres, data centre facilities management, end-user support, local area networks management, help desks, information technology security operations); h. manpower management(e.g., benefits and compensation administration, staff appointment, training and development); i. management of policy issuance and claims operations; j. professional services related to the business activities of the institution (e.g.,accounting, internal audit, actuarial, compliance);

Official Gazette n° Special of 17/06/2022 336 k. marketing and research (e.g., product development, data warehousing and mining, media relations, call centres, telemarketing); l. support services related to archival, storage and destruction of data and records. 2. The following arrangements would generally not be considered outsourcing arrangements: a. Arrangements in which certain industry characteristics require the use of third-party providers b. telecommunication services and public utilities (e.g., electricity, SMS gateway services); c. postal services; d. common network infrastructure(e.g., Visa, MasterCard, etc); e. clearing and settlement arrangements between clearing houses and settlement institutions and their members, and similar arrangements between members and non-members; f. global financial messaging infrastructure which are subject to oversight by relevant regulators (e.g., SWIFT); and g. correspondent banking services. h. Introducer arrangements and arrangements that pertain to principal-agent relationships: i. sale of insurance policies by agents, and ancillary services relating to those sales; ii. acceptance of business by underwriting agents; and iii. introducer arrangements (where the institution does not have any contractual relationship with customers).

Official Gazette n° Special of 17/06/2022 337 i. Arrangements that the regulated institution is not legally or administratively able to provide j. statutory audit and independent audit or assessments; k. discreet advisory services(e.g., legal opinions, independent appraisals, trustees in bankruptcy, loss adjuster); l. independent consulting(e.g., consultancy services for areas which the instutition does not have the internal expertise to conduct)

Official Gazette n° Special of 17/06/2022 338 APPENDIX II REGISTER OF THE OUTSOURCED ACTIVITIES/SERVICES Name of the service provider Outsourced service Indicate whether material to the institution Short description of the arrangement Country from which service is provided Commencement date of the arrangement and expiry date The total value of the arrangement (FRW/USD Estimated spending amount per month ( in FRW/USD) Estimated spending amount per year ( in FRW/USD)

Official Gazette n° Special of 17/06/2022 339 ANNEXE I EXEMPLES D'ARRANGEMENTS D'EXTERNALISATION

1. Les exemples suivants sont des exemples de certains services qui, lorsqu'ils sont exécutés par un tiers, seraient considérés comme des accords d'externalisation aux fins du présent règlement, bien qu'ils ne soient pas exhaustifs: a. une. traitement des demandes (par exemple, initiation de prêts, cartes de crédit); b. traitement et transport d'espèces; c. fonctions et activités de continuité des activités et de reprise après sinistre ; d. administration des réclamations (par ex. négociations de prêts, traitement des prêts, gestion des garanties, recouvrement des créances douteuses); e. traitement de documents (par exemple, chèques, paiements par carte de crédit et de factures, relevés bancaires, autres paiements d'entreprise, impression de relevés client) ; f. hébergement de systèmes d'information (par exemple, logiciel en tant que service, plate-forme en tant que service, infrastructure en tant que service); g. gestion et maintenance des systèmes d'information (par exemple, saisie et traitement des données, centres de données, gestion des installations des centres de données, assistance aux utilisateurs finaux, gestion des réseaux locaux, services d'assistance, opérations de sécurité des technologies de l'information ); h. gestion de la main-d'œuvre (p. ex. administration des avantages sociaux et de la rémunération, nomination, formation et perfectionnement du personnel);

Official Gazette n° Special of 17/06/2022 340 i. gestion des opérations d'émission de polices et de réclamations; j. services professionnels liés aux activités commerciales de l'institution (p. ex. comptabilité, audit interne, service actuarielles, conformité); k. marketing et recherche (par exemple, développement de produits, entreposage et extraction de données, relations avec les médias, centres d'appels, télémarketing); l. services de soutien liés à l'archivage, au stockage et à la destruction des données et des dossiers. 2. Les accords suivants ne sont généralement pas considérés comme des accords d'externalisation : a. une. Arrangements dans lesquels certaines caractéristiques de l'industrie nécessitent le recours à des fournisseurs tiers b. services de télécommunication et services publics (par exemple, électricité, services de passerelle SMS); c. services postaux; d. infrastructure de réseau commune (par exemple, Visa, MasterCard, etc.) ; e. accords de compensation et de règlement entre les chambres de compensation et les établissements de règlement et leurs membres, et accords similaires entre membres et non-membres ; f. l'infrastructure mondiale de messagerie financière soumise à la surveillance des régulateurs concernés (par exemple, SWIFT) ; et g. services de correspondant bancaire. h. Arrangements avec les introducteurs et arrangements relatifs aux relations mandant-mandataire :

Official Gazette n° Special of 17/06/2022 341 i. la vente de polices d'assurance par des agents et les services auxiliaires liés à ces ventes ; ii. l'acceptation d'affaires par les agents de souscription ; et iii. accords d'introducteur (lorsque l'établissement n'a aucune relation contractuelle avec les clients). i. Dispositions que l'établissement réglementé n'est pas juridiquement ou administrativement en mesure de fournir j. l'audit légal et l'audit ou les évaluations indépendants ; k. services consultatifs discrets (p. ex. avis juridiques, évaluations indépendantes, syndics de faillite, expert en sinistres); l. conseil indépendant (par exemple, services de conseil dans des domaines pour lesquels la banque n'a pas l'expertise interne pour mener à bien)

Official Gazette n° Special of 17/06/2022 342 ANNEXE II REGISTRE DES ACTIVITES/SERVICES EXTERNALISÉS Nom du prestataire de services Services externalisés Indiquez si le service est matériel à l'institution réglementée Brève description de l'arrangement Pays à partir duquel le service est fourni Date de début de l'arrangement et date d'expiration La valeur totale de l'arrangement (FRW/USD Montant estimé des dépenses par mois (en FRW/USD) Montant estimé des dépenses par an (en FRW/USD)

Official Gazette n° Special of 17/06/2022 343 BIBONYWE KUGIRANGO BISHYIRWE KU MUGEREKA W’AMABWIRIZA RUSANGE N° 49/2022 YO KU WA 02/06/2022 AGENGA KWIFASHISHA UNDI MUNTU MU MIRIMO SEEN TO BE ANNEXED ON REGULATION N° 49/2022 OF 02/06/2022 ON OUTSOURCING VU POUR ETRE ANNEXE RÈGLEMENT 49/2022 DU 02/06/2022 RÉGISSANT L’EXTERNALISATION Kigali, 02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho Ikirango cya Repubulika: Seen and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux

Official Gazette n° Special of 17/06/2022 344 AMABWIRIZA RUSANGE No 50/2022 YO KU WA 02/06/2022 YEREKEYE UMUTEKANO W’IBIJYANYE N’IKORANABUHANGA MU ITANGAZABUMENYI N’ITUMANAHO MU BIGO BIGENZURWA ISHAKIRO UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere: Icyo aya mabwiriza rusange agamije Ingingo ya 2: Abarebwa n’aya mabwiriza rusange Ingingo ya 3: Ibisobanuro by’amagambo UMUTWE WA II: IBISABWA BIGOMBA KUBAHIRIZWA Ingingo ya 4: Imiyoborere mu by’umutekano w’ibijyanye REGULATION No 50 /2022 OF 02/062022 ON CYBER SECURITY IN REGULATED INSTITUTIONS TABLE OF CONTENTS CHAPTER ONE: GENERAL PROVISIONS Article one: Purpose Article 2: Scope Article 3: Definition of terms CHAPTER II: REGULATORY REQUIREMENTS Article 4: Cyber security governance REGLEMENT No 50/2022 DU 02/06/2022 SUR LA CYBERSECURITE DANS LES INSTITUTIONS REGLEMENTEES TABLE DES MATIÈRES CHAPITRE PREMIER: DISPOSITIONS GÉNÉRALES Article premier: Objet Article 2: Champ application Article 3: Définition des termes CHAPITRE II: EXIGENCES RÉGLEMENTAIRES Article 4: Gouvernance de la cybersécurité

Official Gazette n° Special of 17/06/2022 345 n’ikoranabuhanga mu itangazabumenyi n’itumanaho Ingingo ya 5: Komite y'Inama y'Ubutegetsi ishinzwe ikoranabuhanga Ingingo ya 6: Komite nyobozi ishinzwe ikoranabuhanga Ingingo ya 7: Urwego rushyinzwe umutekano w’ikoranabuhanga Ingingo ya 8: Ingamba zo gucunga umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho Ingingo ya 9: Politiki y’umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho Ingingo ya 10: Amasuzuma yo kugerageza kwinjira no kureba intege nke Ingingo ya 11: Inzira y'ubugenzuzi Article 5: IT Board Committee Article 6: IT Steering Committee Article 7: IT Security Function Article 8: Cyber security strategy Article 9: Cyber security Policy Article 10: Penetration Testing and Vulnerability Assessments Article 11: Audit Trail Article 5: Comité du conseil d’administration des technologies de l'information Article 6: Comité de pilotage informatique Article 7: Fonction de sécurité informatique Article 8: Stratégie de cybersécurité Article 9: Politique de cybersécurité Article 10: Tests de pénétration et évaluations de la vulnérabilité Article 11: Piste d'audit

Official Gazette n° Special of 17/06/2022 346 Ingingo ya 12: Gucunga umutekano w’imirongo itwara amakuru isimbura iyindi Ingingo ya 13: Gucunga ibyateza ingorane biturutse ku ikoranabuhanga Ingingo ya 14: Isuzuma ry’abatanga serivisi bavuye hanze Ingingo ya 15: Uruhare rw’urwego rw’ubugenzuzi bw’imbere Ingingo ya 16: Gusuzuma umwirondoro hakoreshejwe ibintu byinshi Ingingo ya 17: Igabanywa ry’amakuru agomba kubikwa Ingingo ya 18: Amahugurwa no kumenyekanisha Ingingo ya 19: Guhisha amakuru y’imari Ingingo ya 20: Gahunda yo gukemura ibibazo bivutse Article 12: Alternative Delivery Channels (ADC) Security Management Article 13: Cyber Risk Management Article 14: Assessment of a Service Provider Article 15: Role of Internal Audit Function Article 16: Multi-Factor Authentication Article 17: Limitations on Data Retention Article 18: Training and awareness Article 19: Encryption of non-public data Article 20: Incident Response and business continuity management Article 12: Gestion de la sécurité des canaux de distribution alternatifs (ADC) Article 13: Gestion des cyber risques Article 14: Évaluation d'un fournisseur de services Article 15: Rôle de la fonction d'audit interne Article 16: Authentification multifactorielle Article 17: Limitations de la conservation des données Article 18: Formation et sensibilisation Article 19: Cryptage des données financières Article 20: Réponse aux incidents et gestion de la continuité des activités

Official Gazette n° Special of 17/06/2022 347 Ingingo ya 21: Kumenyesha no gutanga raporo kubyabaye ku bijyanye n’ikoranabuhanga Ingingo ya 22: Inyandiko yo kwisuzuma UMUTWE WA III: INGINGO ZINYURANYE N’IZISOZA Ingingo ya 23: Ikurikizwa ry’andi mategeko Ingingo ya 24: Ibisabwa byihariye Ingingo ya 25: Ibihano n’ibyemezo byo mu rwego rw’ubutegetsi Ingingo ya 26: Igihe cy’inzibacyuho Ingingo ya 27: Itegurwa, isuzumwa n’iyemezwa ry’aya mabwiriza rusange Ingingo ya 28: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Ingingo ya 29: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Article 21: Notification and reporting of the cyber incident Article 22: Statement of self assessment CHAPTER III: MISCELLANEOUS AND FINAL PROVISIONS Article 23: Application of other laws Article 24: Tailored requirements Article 25: Penalties and administrative sanctions Article 26: Transition period Article 27: Drafting, consideration and approval of this Regulation Article 28: Repealing provision Article 29 : Commencement Article 21: Notification et signalement du cyber incident Article 22: Déclaration d'auto-évaluation CHAPITRE III: DISPOSITIONS DIVERSES ET FINALES Article 23: Application d'autres lois Article 24: Exigences adaptées Article 25: Pénalités et sanctions administratives Article 26: Période de transition Article 27: Initiation, examen et approbation du présent règlement Article 28 : Disposition abrogatoire Article 29: Entrée en vigueur

Official Gazette n° Special of 17/06/2022 348 AMABWIRIZA RUSANGE No 50/2022 YO KU WA 02/06/2022 YEREKEYE UMUTEKANO W’IBIJYANYE N’IKORANABUHANGA MU ITANGAZABUMENYI N’ITUMANAHO MU BIGO BIGENZURWA Ishingiye ku Itegeko N° 48/2017 ryo kuwa 23/09/2017 rigenga Banki Nkuru y’u Rwanda nk’uko ryavuguruwe kugeza ubu, cyane cyane mu ngingo zaryo, iya 6, iya 6bis, iya 8, iya 9, iya 10 n’iya 15 Ishingiye ku Itegeko N° 47/2017 ryo ku wa 23/09/2017 rigena imitunganyirize y’imirimo y’amabanki, cyane cyane mu ngingo zaryo, iya 37 n’iya 117; Ishingiye ku Itegeko N° 030/2021 ryo ku wa 30/06/2021 rigenga imitunganyirize y’umurimo w’ubwishingizi cyane cyane mu ngingo zaryo, iya 56, iya 57 n’iya 60 n’iya 82; Ishingiye ku Itegeko N° 072/2021 ryo ku wa 05/11/2021 rigenga ibigo by’imari iciriritse REGULATION No 50 /2022 OF 02/06/2022 ON CYBER SECURITY IN REGULATED INSTITUTIONS Pursuant to Law N° 48/2017 of 23/09/ 2017 governing the National Bank of Rwanda as amended to date, especially articles 6, 6bis, 8, 9, 10 and 15; Pursuant to Law N° 47/2017 of 23/09/2017 governing the organization of banking, especially in its Articles 37 and 117; Pursuant to Law N° 030/2021 of 30/06/2021 governing the organisation of insurance business, especially in its articles 56, 57, 58, 60 and 82; Pursuant to Law N° 072/2021 of 05/11/2021 governing deposit-taking microfinance institutions, especially in its articles 23 and 24; REGLEMENT No 50/2022 DU 02/06/2022 SUR LA CYBERSECURITE DANS LES INSTITUTIONS REGLEMENTEES Vu la Loi N° 48/2017 du 23/09/ 2017 régissant la Banque Nationale du Rwanda telle que modifiée à ce jour, spécialement en ses articles, 6, 6bis, 8,9 ;10 and 15 ; Vu la Loi N° 47/2017 du 23/09/2017 portant organisation de l’activité bancaire, spécialement en ses articles 37 et 117 ; Vu la Loi N° 030/2021 du 30/06/2021 régissant l’organisation d’activité d’assurance, spécialement en ses articles 56, 57, 58 60 et 82 ; Vu Loi N° 072/2021 du 05/11/2021 régissant les institutions de microfinance de dépôt, spécialement en ses articles 23 et 24 ;

Official Gazette n° Special of 17/06/2022 349 byakira amafaranga abitswa, cyane cyane mu ngingo zaryo, iya 23 n’iya 24; Ishingiye ku Itegeko N° 061/2021 ryo ku wa 14/10/2021 rigenga uburyo bwo kwishyurana, cyane cyane mu ngingo yaryo ya 8 ; Ishingiye ku Itegeko Nº 73/2018 ryo ku wa 31/08/2018 rigena uburyo bw’ihererekanya makuru ku myenda cyane cyane mu ngingo iya 9, iya 13 n’iya 23; Ishingiye ku Itegeko N° 05/2015 ryo ku wa 30/03/2015 rigenga imitunganyirize y’ubwiteganyirize bwa pansiyo cyane cyane mu ngingo yaryo ya 3; Isubiye ku mabwiriza rusange No 02/2018 yo ku wa 24/01/2018 yerekeye umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho ; Banki Nkuru y’u Rwanda, mu ngingo zikurikira yitwa «Urwego rw’ubugenzuzi» ishyizeho aya mabwiriza rusange akurikira : Law N° 061/2021 of 14/10/2021 governing the payment system, especially in its article 8; Pursuant to Law Nº 73/2018 of 31/08/2018 governing credit reporting system, especially in its articles 9, 13 and 23; Pursuant to Law N° 05/2015 of 30/03/2015 governing the Organization of Pension Schemes, especially in its article 3; Having reviewed the regulation N o 02/2018 of 24/01/2018 on cyber security; The National Bank of Rwanda hereinafter referred to as the «Supervisory Authority», issues the following regulation: Vu la Loi N° 061/2021 du 14/10/2021 régissant le système de paiement, spécialement en son article 8 ; Vu la Loi Nº 73/2018 du 31/08/2018 régissant le système d’information sur les crédits, , spécialement en ses articles 9,13 et 23 ; Vu la Loi N° 05/2015 du 30/03/2015 régissant l'organisation des régimes de pensions spécialement en son article 3 ; Revu le règlement N ° 02/2018 du 24/01/2018 sur la cybersécurité; La Banque Nationale du Rwanda, ci-après dénommée « Autorité de contrôle;», édicte le présent règlement :

Official Gazette n° Special of 17/06/2022 350 UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere: Icyo aya mabwiriza rusange agamije Aya mabwiriza rusange agamije kugena uburyo ibigo bigenzurwa bigira sisitemu n’uburyo bw’ikoranabuhanga buhamye hakubiyemo umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho bigamije kurinda, kugaragarza, gusubiza gahunda zo kuzahura zigeragezwa ku buryo buhoraho, gushyiraho uburyo bw’ubukangurambaga no gutanga amakuru ku gihe mu rwego rwo gucunga ingorane n’ifatwa ry’ibyemezo mu rwego rwo gufasha mu mirimo y’ingenzi y’ikigo kigenzurwa. CHAPTER ONE: GENERAL PROVISIONS Article One: Purpose The purpose of this regulation is to ensure that regulated institutions have resilient ICT including cyber security that is subject to protection, detection, response and recovery programmes that are regularly tested, incorporate appropriate situational awareness and convey relevant timely information for risk management and decision-making processes to fully support and facilitate the delivery of the regulated institution’s critical operations. CHAPITRE PREMIER: DISPOSITIONS GÉNÉRALES Article premier: Objet Le but de ce règlement est de veiller à ce que les institutions réglementées disposent de ICT résilientes, y compris la cybersécurité, soumises à des programmes de protection, de détection, de réponse et de récupération régulièrement testés, intègrent une connaissance appropriée de la situation et transmettent des informations pertinentes en temps opportun pour la gestion des risques et les processus de prise de décision afin de soutenir et de faciliter pleinement la livraison des opérations critiques de l’institution règlementée Ingingo ya 2: Abarebwa n’aya mabwiriza rusange Aya Mabwiriza rusange akurikizwa mu bigo bigenzurwa byose keretse aho biteganyijwe ukundi mu mabwiriza rusange cyangwa mu mabwiriza yihariye. Article 2: Scope This Regulation shall apply to all regulated institutions unless provided otherwise by specific regulations or directives. Article 2: Champ application Le présent règlement s'applique à tous les institutions réglementées, sauf disposition contraire des règlements ou des directives spécifiques.

Official Gazette n° Special of 17/06/2022 351 Ingingo ya 3: Ibisobanuro by’amagambo Muri aya mabwiriza rusange, amagambo akurikira asobanura: 1° Ikigo kigenzurwa: ikigo cyemerewe gukora kandi kigenzurwa kigenzurwa n’ Urwego rw’Ubugenzuzi; 2° ukoresha uburyo bukoresha ikoranabuhanga ubyemerewe: umukozi uwo ari we wese, ufitanye amasezerano n’ikigo kigenzurwa, ugihagarariye cyangwa undi muntu uwo ari we wese ugira uruhare mu bikorwa by’ubucuruzi by’ikigo kigenzurwa kandi akaba yemerewe kugera ku buryo bukoresha ikoranabuhanga no ku makuruatagenewe rubanda yacyo kimwe no kubikoresha; 3° ikibazo cy’umutekano w’ibijyanye n’ikoranabuhanga: Ni igikorwa iyo kibaye Article 3: Definition of terms In this regulation, the following words and expressions shall mean: 1° a regulated institution: any financial institution licensed and supervised by the Supervisory Authority; 2° authorized user: any employee, contractor, agent or other person that participates in the business operations of a regulated institution and is authorized to access and use any Information Systems and non-public data of the regulated institution; 3° Cyber incident: A cyber event that: Article 3: Définition des termes Dans ce règlement, les mots et expressions suivants signifient: 1° Une institution réglementée : toute institution agrée et supervisée par l’Autorité de contrôle ; 2° Utilisateur autorisé: tout employé, entrepreneur, agent ou autre personne qui participe aux opérations commerciales d'une institution réglementé et est autorisé à accéder et à utiliser les Systèmes d'Information et les données non publique de l'institution réglementée; 3° Cyber incident: Un cyber-événement qui :

Official Gazette n° Special of 17/06/2022 352 a. Gishyira mu ngorane umutekano w’ikoranabuhanga mu itangazabumenyi n’itumanaho bya sisitemu y’amakuru cyangwa amakuru sistemu itunganya, ibitse cyangwa yohereza, cyangwa b. Byica politiki ‘umutekano w’amakuru, uburyo bwo gucunga umutekano w’amakuru cyangwa politiki yemewe yo gukoresha amakuru ; Bishobora kuvamo cyangwa kutavamo igikorwa kibi. 4° uburyo bukoresha ikoranabuhanga: porogaramu zose za mudasobwa n’ibikoresho byo gutunganya amakuru, kuyabika cyangwa kuyacukumbura cyangwa byo kuyacunga; 5° gusuzuma umwirondoro hagendewe ku bintu byinshi: gusuzuma umwirondoro w’umuntu ugendeye nibura ku bwoko bubiri bw’ibintu byifashishwa mu kumenya uwo ari we: a. jeopardizes the cyber security of an information system or the information the system processes, stores or transmits; or b. violates the security policies, security procedures or acceptable use policies, Whether resulting from malicious activity or not. 4° information system: software, tools and equipments for the production, storage or processing of data or information or management of data or information; 5° multi-factor authentication: authentication of a user’s identity through the use and verification of at least two of the following types of identity factors: a. met en danger la cybersécurité d'un système d'information ou des informations que le système traite, stocke ou transmet ; ou b. viole les politiques de sécurité, les procédures de sécurité ou les politiques d’utilisation acceptables, Qui résultent ou non d'une activité malveillante. 4° Système d’information: tous les logiciels, outils et équipements pour la production, le stockage or le traitement de données ou d’informations ou la gestion des données ou d’information ; 5° authentification multifactorielle: authentification de l’identité d’un utilisateur par l’utilisation et la vérification d’au moins deux des types de facteurs d’identité suivants:

Official Gazette n° Special of 17/06/2022 353 a. ibyo agomba kuba azi nk’ijambobanga; Umubare w’ibanga; b. ibyo agomba kuba afite nk’ikirango cyangwa ubutumwa kuri telefoni igendanwa; c. ibyerekeranye n’imiterere y’ibiranga umuntu nk’ibiranga imiterere y’umubiri. 6° Amakuru atagenewe rubandawese: amakuru yose ataboneka k’umugaragaro ariyo: a. yerekeranye n’ibicuruzwa na serivisi byikigo kigenzurwa cyangwa imibare; b. amakuru yihariye ya buri muntu nkuko abasonurwa n’amategeko yihariye; a. knowledge factors, such as password, PIN; b. possession factors, such as a card, token, text message on a mobile phone; c. inherence factors, such as a user’s biometrics. 6° Nonpublic data: all data that is not publicly available that is: a. related to product and services of regulated institution or related statistics; b. personal data as defined by specific laws a. facteurs de connaissance, tels que mot de passe, code PIN; b. les facteurs de possession, tels qu'une carte, un jeton, un message texte sur un téléphone mobile; c. facteurs d’héritage, tels que la biométrie d'un utilisateur. 6° Données non publiques: toutes les données non accessibles au public qui sont: a. liés aux produits et services d'une institution réglementé ou aux statistiques connexes; b. données personnelles telles que définies par des lois spécifiques.

Official Gazette n° Special of 17/06/2022 354 7° kugerageza kwinjira: uburyo bw’isizuma aho abasuzuma bakoresha inyandiko zose zihari bakora ku mpungenge bakagerageza kwinjira mu birango bya sistemu y’amakuru acungiwe umutekano ; 8° amakuru rusange: amakuru yose ikigo kigenzurwa gishobora kwizera ko ashobora gushyirwa aho buri wese yayabona 9° isuzuma ry’umwirondoro rishingiye ku byateza ingorane: Uburyo ubwo ari bwo bwose bwo gusuzuma umwirondoro bushingiye ku ngorane zishobora kuba butahura ibintu bidasanzwe cyangwa impinduka mu bijyanye n’imikoreshereze isanzwe kandi bugasaba ko habaho irindi genzura ry’ibiranga umuntu igihe ibyo bintu bidasanzwe cyangwa izo mpinduka zigaragaye nko kumubaza ibibazo byo kureba niba uwo muntu ari we koko. 7° penetration testing: a test methodology in which assessors, using all available documentation and working under specific constraints, attempt to circumvent the security features of an information system 8° publicly available information: any information that a regulated institution has a reasonable basis to believe is lawfully made available to the general public; 9° risk-based authentication: any risk-based system of authentication that detects anomalies or changes in the normal use patterns of a Person and requires additional verification of the Person’s identity when such deviations or changes are detected, such as through the use of challenge questions. 7° test de pénétration: une méthodologie de test dans laquelle les évaluateurs, utilisant tous les documentations et travaillant sous des contraintes spécifiques, tenter de contourner les éléments de sécurité d'un système d'information 8° Informations accessibles au public: toute information qu’une institution réglementée a des motifs raisonnables de croire qu’elle est légalement rendue accessible au grand public; 9° authentification basée sur les risques: tout système d'authentification basé sur les risques qui détecte des anomalies ou des changements dans les schémas d’utilisation normaux d'une personne et nécessite une vérification supplémentaire de l'identité de la personne lorsque de tels écarts ou changements sont détectés, par exemple par l'utilisation d'un défi des questions;

Official Gazette n° Special of 17/06/2022 355 10°Utanga serivisi: umuntu wo hanze ukora ibikorwa mu izina ry’ikigo kigenzurwa kandi harimo umunyamuryango witsinda ikigo kigenzurwa kibarizwamo, isosiyete ifitanye isano yaba iyo mu Rwanda cyangwa hanze; 11°umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho:kubika, kugira ibanga , ubunyangamugayo, no kugaragaza amakuru na/cyangwa sisitemu y’amakuru binyuze mu muyoboro w’ikoranabuhanga mu itangazabumenyi; 12° Ibyateza ingorane biturutse ku ikoranabuhanga mu itangazabumenyi n’itumanaho: Uruhurirane rw’ibishobora kuba biturutse ku bibazo byaterwa n’’ikoranabuhanga mu itangazabumenyi n’itumanaho n’ingaruka zabyo; 10° service provider: a person that is undertaking the outsourced activity on behalf of the regulated institution and includes a member of the group to which the regulated institution belongs, related company whether located in Rwanda or outside; 11°Cyber security: preservation of confidentiality, integrity and availability of information and/or information systems through the cyber medium; 12°Cyber risk: The combination of the probability of cyber incidents occurring and their impact; 10°prestataire de services: une personne qui entreprend l'activité externalisée pour le compte de l'institution réglementé et comprend un membre du groupe auquel appartient l'institution réglementé, société liée qu'elle soit située au Rwanda ou à l'extérieur; 11°Cybersécurité: préservation de la confidentialité, de l'intégrité et de la disponibilité des informations et/ou des systèmes d'information par le biais du cybermédia ; 12°Cyber-risque: La combinaison de la probabilité que des cybers incidents se produisent et de leur impact;

Official Gazette n° Special of 17/06/2022 356 13° Ibikorwa remezo by’ikoranabuhanga: ibyuma, software, ibikoresho by’urusobe na serivisi bisabwa kugirango habeho, imikorere no gucunga imishinga y’ikoranabuhanga ibikikije. Iyemerera ishyirahamwe gutanga ibisubizo bya serivisi na serivisi ku bakozi bayo, abafatanyabikorwa ndetse nabakiriya kandi mubisanzwe imbere mumuryango kandi byoherejwe mubikoresho bifite; 14° Ingano y’ibiteye ibyago: Amakuru ku mitungo y’ingenzi, abateza ibyago, n’amakuru y’uburyo abateza ibyago bashobora guhungabanya iyo mitungo y’ingenzi; 15°Gupima ibiteye ubwoba: ukoresheje inzira itunganijwe kugirango umenye uburyo umutungo w’ingenzi ushobora guhungabanywa n’umuntu, impamvu, n’uburyo bwo kurinda bukenewe kuri iyo mitungo ikomeye, n'ingaruka byagira mu gihe ubwo burinzi bunaniranye. 13°IT Infrastructure: the hardware, software, network resources and services required for the existence, operation and management of an enterprise IT environment. It allows an organization to deliver IT solutions and services to its employees, partners and or customers and is usually internal to an organization and deployed within owned facilities; 14°Threat profiles: information about critical assets, threat actors, and details about how threat actors might attempt to compromise those critical assets; 15°Threat modelling: using a structured process to identify how critical assets might be compromised by a threat actor and why, what level of protection is needed for those critical assets, and what impact would be if that protection failed. 13°Infrastructure informatique: désigne le matériel, les logiciels, les ressources réseau et les services nécessaires à l'existence, au fonctionnement et à la gestion d'un environnement informatique d’entreprise. Il permet à une organisation de fournir des solutions et des services informatiques à ses employés, partenaires et / ou clients et est généralement interne à une organisation et déployé dans des installations détenues; 14°Profils de menaces: informations sur les actifs critiques, les acteurs de la menace et détails sur la manière dont les acteurs de la menace pourraient tenter de compromettre ces actifs critiques; 15°Modélisation des menaces: utiliser un processus structuré pour identifier comment les actifs critiques pourraient être compromis par un acteur de la menace et pourquoi, quel niveau de protection est nécessaire pour ces actifs critiques et quel serait l'impact si cette protection échouait.

Official Gazette n° Special of 17/06/2022 357 UMUTWE WA II: IBISABWA BIGOMBA KUBAHIRIZWA CHAPTER II: REGULATORY REQUIREMENTS CHAPITRE II: EXIGENCES RÉGLEMENTAIRES Ingingo ya 4: Imiyoborere mu by’umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho Umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho ni inshingano z’abagize inama y’ubutegetsi n’ubuyobozi bukuru. Ikigo kigenzurwa kigomba kugira uburyo bw’imiyoborere buhamye ku bijyanye n’ umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho bukubiyemo nibura ibi bukurikira: 1° Ingamba mu by’umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho zihuye n’intego z’ubucuruzi; 2° Gahunda y’imiyoborere mu by’umutekano wa interineti icyemura buri rwego rw’ingamba. ubugenzuzi n’amabwiriza; Article 4: Cyber security governance Cyber security governance must be the responsibility of the Board of Directors and Senior Management. A regulated institution must have a comprehensive cyber security governance framework consisting of the following: 1° cyber security strategy linked with business objectives; 2° governing security program that address each aspect of the strategy, controls and regulations; Article 4: Gouvernance de la cybersécurité La gouvernance de la cybersécurité doit relever de la responsabilité du conseil d'administration et de la haute direction. Une institution réglementée doit disposer d'un cadre de gouvernance de cybersécurité complet comprenant les éléments suivants: 1° stratégie de cybersécurité liée aux objectifs commerciaux; 2° régir le programme de sécurité qui aborde chaque aspect de la stratégie, des contrôles et des règlements;

Official Gazette n° Special of 17/06/2022 358 3° urutonde rwuzuye rwibipimo kuri buri politiki kugirango harebwe inzira n’ibigenderwaho byubahiriza politiki; 4° imiterere y’ikigo ihamye kandi itarangwamo kugongana kw’inyungu z’abayobozi n’ububasha buhagije; 5° ibipimo no gukurikirana inzira kugirango habeho iyubahirizwa, ibitekerezo ku mikorere no gutanga ishingiro ry’aho ubuyobozi buhera mu gufata ibyemezo; 6° Gushyiraho imikorere myiza ikigo kigenzurwa kigomba kwihatira kugeraho yemewe ku rwego mpuzamahanga ku bijyanye no gucunga amakuru 7° Guteza imbere uburyo bwo gukemura ibibazo, bugaragaramo ubuyobozi bukuru n’inama y’ubutegetsi kuva ku mbibi zumvikanyweho mbere; 3° a complete set of standards for each policy to ensure procedures and guidelines comply with the policy; 4° an effective organization structure void of conflict of interest with sufficient authority and adequate resources; 5° metrics and monitoring processes to ensure compliance, feedback on effectiveness and provide the basis for appropriate management decisions; 6° Adopt best practices that regulated institution should strive to attain globally accepted practices on information security management; 7° Develop crisis management practices, involving executive management and board of directors from pre-agreed thresholds onward; 3° un ensemble complet de normes pour chaque politique afin de s'assurer que les procédures et les lignes directrices sont conformes à la politique; 4° une structure organisationnelle efficace sans conflit d'intérêts avec une autorité et des ressources suffisantes; 5° des mesures et des processus de surveillance pour assurer la conformité, le retour d'information sur l'efficacité et fournir la base de décisions de gestion appropriées; 6° Adopter les meilleures pratiques que l'institution réglementée devrait s'efforcer d'atteindre des pratiques mondialement acceptées en matière de gestion de la sécurité de l'information 7° Développer des pratiques de gestion de crise, impliquant la direction générale et le conseil d'administration à partir de seuils préalablement convenus;

Official Gazette n° Special of 17/06/2022 359 8° Ibisabwa n'amategeko n’amabwiriza yerekeye umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho, harimo n’ibanga n’inshingano k’uburenganzira bw’umuntu, birasobanuka kandi bigacungwa; 9° ingamba zo gucunga ibyateza ingorane z’ikoranabuhanga byinjijwe mu bikorwa rusange by’ubucuruzi no gucunga ibyateza ingorane ku kigo. 8° Legal and regulatory requirements regarding cyber security, including privacy and civil liberties obligations, are understood and managed; 9° cyber risk management strategy that is incorporated into the overall business strategy and risk management of the institution. 8° Les exigences légales et réglementaires en matière de cybersécurité, y compris les obligations en matière de confidentialité et de libertés civiles, sont comprises et gérées ; 9° stratégie de gestion des cyberrisques intégrée à la stratégie commerciale globale et à la gestion des risques de l'établissement. Ingingo ya 5: Komite y'Inama y'Ubutegetsi ishinzwe ikoranabuhanga Uretse aho byaba biteganyijwe ukundi mu mabwiriza rusange, Urwego rw’ubugenzuzi rushobora gusaba cyangwa gusonera ikigo kigenzurwa kugira komite ishinzwe ikoranabuhanga ku rwego rw’inama y’ubutegetsi bitewe n’ubwoko cyangwa urusobe rw’ibikorwa by’ikigo kigenzurwa. Komite ishinzwe ikoranabuhanga ifite ububasha n’inshingano bikurikira: Article 5: IT Board Committee Unless provided otherwise in a specific regulation, the Supervisory Authority may require or exempt a regulated institution to have IT Committee at the Board level depending on its nature of activity and complexity. The IT Committee shall have the following powers and responsibilities: Article 5: Comité du conseil d’administration des technologies de l'information Sauf disposition contraire dans une réglementation spécifique, l'Autorité de contrôle peut exiger ou dispenser une institution réglementée d'avoir un Comité Informatique au niveau du Conseil en fonction de la nature de son activité et de sa complexité. Le comité informatique a les pouvoirs et responsabilités suivants:

Official Gazette n° Special of 17/06/2022 360 1° gutanga inama ku cyerekezo cyerekeranye n’ikoranabuhanga n'umutekano wa interineti no gusuzuma ishoramari ry’ikoranabuhanga mu izina ry'Inama y'Ubutegetsi; 2° kugenzura komite nyobozi ishinzwe Ikoranabuhanga n’itumanaho (Ku rwego rw’ubuyobozi bukuru); 3° gushakisha amakuru ku mukozi uwo ari we wese; 4° gushaka ubufasha bwo mu rwego rw’amategeko n’urw’umwuga hanze y’ikigo; 5° kunoza uruhare rw’abo hanze bafite ubuzobere bukwiye mu gihe ari ngombwa; 6° gufatanya n’izindi komite z’Inama y’ubutegetsi n’ubuyobozi bukuru mu gutanga ibitekerezo, gusubiramo no guhindura ingamba za sosiyete n’ingamba zo mu rwego rw’ikoranabuhanga mu itangazabumenyi; 1° give advice on strategic direction on IT and cyber security and to review IT investments on Board's behalf; 2° perform oversight functions over the IT steering committee (at a senior management level); 3° seek information from any employee; 4° obtain outside legal or professional advice; 5° secure attendance of outsiders with relevant expertise, if it considers necessary; 6° work in partnership with other board committees and senior management to provide input, review and amend the aligned corporate and IT strategies; 1° donner des conseils sur l’orientation stratégique de l'informatique et de la cybersécurité et examiner les investissements informatiques au nom du conseil d'administration; 2° exercer des fonctions de supervision du comité de pilotage informatique (au niveau de la direction générale); 3° rechercher des informations auprès de tout salarié; 4° obtenir des conseils juridiques ou professionnels externes; 5° assurer la présence d'étrangers ayant une expertise pertinente, s'il le juge nécessaire; 6° travailler en partenariat avec d’autres comités du conseil et la haute direction pour fournir des commentaires, examiner et modifier les stratégies corporatives et informatiques harmonisées;

Official Gazette n° Special of 17/06/2022 361 7° Kumenya neza ko abagenzuzi b'imbere n'abaturutse hanze bemeranya na komite y'ubugenzuzi n’ubuyobozi k’uburyo umutekano w'amakuru ugomba kwitabwaho mu igenzura; 8° Kumenyesha inama y'ubutegetsi k’uburyo burambye ibyateza ikigo ingorane biturutse ku ikoranabuhanga gishobora guhura nabyo n’uburyo bwo kubibungabunga hakubiyemo ibiteye ubwoba bizwi n’ibiteganywa n’aho ibintu byerekera; 9° gusubiramo uburyo bwo gusuzuma imikorere ya gahunda y’umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho w’ikigo no kuyivugurura hakurikije uko imiterere y’iterabwoba igenda ihinduka; Abagize Komite y’ikoranabuhanga bagomba kuba bafite ubuhanga. Nibura umwe muri bo agomba kuba afite ubumenyi buhagije mu by’ikoranabuhanga cyangwa mu by’umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho. 7° Ensure that internal and external auditors agree with the audit committee and management how information security should be covered in the audit; 8° inform the Board on an ongoing basis of the institution’s cyber risk exposure and risk management practices, including known and emerging threats and trends; 9° review the procedures for testing the effectiveness of the institution’s cyber security protocols and updating them as the threat landscape evolves; The IT Committee members must be technically competent. At least one member must have substantial IT or cyber security expertise. 7° S’assurer que les auditeurs internes et externes conviennent avec le comité d’audit et la direction de la manière dont la sécurité de l'information doit être couverte dans l’audit ; 8° informer le conseil en permanence de l’exposition aux cyberrisques et des pratiques de gestion des risques de l’établissement, y compris les menaces et tendances connues et émergentes; 9° revoir les procédures de test de l’efficacité des protocoles de cybersécurité de l’institution et les mettre à jour au fur et à mesure de l’évolution du paysage des menaces; Les membres du comité informatique doivent être techniquement compétents. Au moins un membre doit avoir une solide expertise en informatique ou en cybersécurité.

Official Gazette n° Special of 17/06/2022 362 Ingingo ya 6: Komite nyobozi ishinzwe ikoranabuhanga: Ikigo kigenzurwa kigomba kugira komite nyobozi ishinzwe ikoranabuhanga igizwe n’abahagarariye serivisi y’ikoranabuhanga, serivisi ishinzwe abakozi, n’inzego zishinzwe amategeko keretse bigenwe ukundi n’urwego rw’ubugenzuzi. Komite nyobozi ishinzwe ikoranabuhanga igomba kugira nibura inshingano zikurikira: 1° gufasha ubuyobozi bukuru gushyira mu bikorwa ingamba z'umutekano mu by’ikoranabuhanga zemejwe n'inama y'ubutegetsi; 2° gukurikirana urwego rwa serivisi no kunoza, gutanga serivisi z’ikoranabuhanga n’imishinga; 3° Kuganira ku ishyirwa mu bikorwa rya gahunda n’ibikorwa byo kugabanya ingorane zaturuka ku ikoranabuhanga, harimo n’ibikorwa byo gukomeza ubucuruzi; Article 6: IT Steering Committee A regulated institution must have an IT Steering Committee with representatives from the IT, HR, legal and business lines unless otherwise provided by supervisory authority. The IT Committee shall at least have the following responsibilities: 1° assist the Executive Management in implementing IT Security Strategy that has been approved by the Board; 2° monitoring service levels and improvements, IT service delivery and projects; 3° Discuss on the implementation of plans and activities to reduce cyber risks, including business continuity planning matters; Article 6: Comité de pilotage informatique Une institution réglementée doit disposer d'un comité de pilotage informatique composé de représentants des secteurs informatique, RH, juridique et métier sauf disposition contraire l’autorité de contrôle. Le comité informatique aura au moins les responsabilités suivantes: 1° assister la direction générale dans la mise en œuvre de la stratégie de sécurité informatique approuvée par le conseil d'administration; 2° surveiller les niveaux de service et les améliorations, la prestation des services informatiques et les projets; 3° Discuter de la mise en œuvre de plans et d’activités visant à réduire les cyberrisques, y compris les questions de planification de la continuité des activités;

Official Gazette n° Special of 17/06/2022 363 4° Kujya inama ku masomo akurikira ikibazo cyabaye mu rwego rw’ikoranabuhanga n’umutekano w’amakuru no gushyira mu bikorwa ingamba zifatika. Gutanga ibitekerezo bikorwa ako kanya nyuma yo kubona ikibazo kibaye; 5° gusuzuma ingaruka zishobora kubaho mu gusubiza ku murongo gahunda y’ikigo kigenzurwa yo gukorera ahantu hatagaragara; 6° gushyiraho ingamba zapimwe kandi zicungirwa ahagaragara muri gahunda y’umutekano zishingiye ku bipimo ngenderwaho, imiterere yo gukura, gusesengura icyuho no gutanga raporo ihoraho yerekana ibikorwa; 7° gushyiraho gahunda y’umutekano mu gusuzuma imikorere kandi hagashyirwaho ibihembo bikwiye hamwe n’ibihano; 4° Deliberate on lesson learning following cyber and information security incidents and implementation of relevant recommendations. Debriefing shall begin immediately after the end of the incidents. 5° Assess potential risks involved in activating the regulated institution’s systems in a cloud environment; 6° Create a measurable and management transparent security strategy based on benchmarking, maturity models, gap analysis and continuous performance reporting that mirrors the operational processes; 7° Include security in job performance appraisals and apply appropriate rewards and disciplinary measures; 4° Délibérer sur l'apprentissage des leçons suite à des incidents de cybersécurité et de sécurité de l'information et mise en œuvre des recommandations pertinentes. Le compte rendu doit commencer immédiatement après la fin des incidents. 5° Évaluer les risques potentiels liés à l’activation des systèmes de l’institution réglementé dans un environnement cloud; 6° Créer une stratégie de sécurité mesurable et transparente de gestion basée sur des analyses comparatives, des modèles de maturité, une analyse des écarts et des rapports de performance continus qui reflètent les processus opérationnels; 7° Inclure la sécurité dans les évaluations du rendement au travail et appliquer des récompenses et des mesures disciplinaires appropriées;

Official Gazette n° Special of 17/06/2022 364 8° kumenya neza ko ingamba zemewe zo gucunga ibyago bituruka ku ikoranabuhanga byerekana uburyo ikigo giteganya gukemura ibibazo byacyo by’ikoranabuhanga ndetse n’uburyo bizakomeza urwego rwemewe rw’ibisigisigi by’ibisigisigi kandi bigakomeza guhangana k’uburyo buhoraho; Komite Nyobozi iterana byibura buri gihembwe ndetse n’ikindi gihe bibaye ngombwa. 8° ensure the approved cyber risk management strategy articulates how the institution intends to address its inherent cyber risk and how it will maintain an acceptable level of residual cyber risk and maintain resilience on an ongoing basis; The Steering Committee shall meet at least quarterly and when deem necessary. 8° veiller à ce que la stratégie approuvée de gestion des cyberrisques indique comment l'établissement entend faire face à son cyber-risque inhérent et comment il maintiendra un niveau acceptable de cyberrisque résiduel et maintiendra sa résilience de façon continue; Le comité directeur se réunit au moins une fois par trimestre et lorsque cela est jugé nécessaire. Ingingo ya 7: Urwego rushyinzwe umutekano w’ikoranabuhanga Uretse iyo biteganijwe ukundi mu mabwiriza rusange cyangwa mu mabwiriza yihariye, buri kigo kigenzurwa kigomba kugira urwego rushinzwe umutekano w’ikoranabuhanga n’abakozi babishoboye bafite ubumenyi mu ikoranabuhanga cyangwa mu by’umutekano wa interineti. Inshingano z'umutekano w’ikoranabuhanga zirimo, ariko ntabwo zigarukira kuri: Article 7: IT Security Function Unless provided otherwise in a specific regulation or Directive, each regulated Institution shall have an IT security Function with qualified staff in the IT or cyber security. The IT security function’s responsibilities shall include and not limited to: Article 7: Fonction de sécurité informatique Sauf disposition contraire dans un règlement ou une directive spécifique, chaque institution réglementée dispose d'une fonction de sécurité informatique dotée d'un personnel qualifié dans le domaine de l'informatique ou de la cybersécurité. Les responsabilités de la fonction de sécurité informatique comprennent, sans s’y limiter:

Official Gazette n° Special of 17/06/2022 365 1° gutegura ingamba z’umutekano w’ikoranabuhangana gahunda y’ikoranabuhanga; 2° Gushyira mu bikorwa no kugenzura ishyirwa mu bikorwa rya gahunda y’umutekano w’ikigo kigenzurwa; 3° Gushyiraho gahunda zo gukemura ibitaragenze neza mu ngamba zari muri gahunda no gushyira mu bikorwa politiki y’umutekano wa interineti; 4° Gusuzuma ku buryo buhoraho iby’umutekano n’igenzura; 5° gutahura ibibazo by’umutekano wa interineti no gukurikirana buri gihe uburyo budasanzwe kandi butemewe bwo kugera kuri interineti cyangwa kuyikoresha; 6° gusubiza ibibazo byagaragaye cyangwa byagaragaye ko umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho 1° designing cyber security strategy and IT program, 2° Implement and overseeing the regulated Institution’s cyber security program execution; 3° recommending actions for addressing any noted program shortfalls and enforcing its cyber security policy; 4° perform regular information security internal assessments and audit; 5° detect cyber security incidents and regularly monitoring of abnormal and unauthorized access or use; 6° respond to identified or detected cyber security incidents to mitigate any negative effects; 1° conception de la stratégie de cybersécurité et du programme informatique; 2° Mettre en œuvre et superviser l’exécution du programme de cybersécurité de l’Institution réglementé; 3° recommander des actions pour remédier à toute insuffisance constatée du programme et faire appliquer sa politique de cybersécurité; 4° effectuer régulièrement des évaluations et audits internes de la sécurité de l'information; 5° détecter les incidents de cybersécurité et surveiller régulièrement les accès ou utilisations anormaux et non autorisés; 6° répondre aux incidents de cybersécurité identifiés ou détectés pour en atténuer les effets négatifs;

Official Gazette n° Special of 17/06/2022 366 wagabanijwe kugirango ugabanye ingaruka mbi zose; 7° gukira ibitero byifashisha ikoranabuhanga no kugarura ibikorwa na serivisi bisanzwe mu buryo busanzwe; 8° kumenya no gusuzuma ibyateza ingorane biturutse ku mutekano wa interineti imbere cyangwa hanze zishobora guhungabanya umutekano cyangwa ubusugire bw’amakuru atagenewe rubanda abitswe kuri sisitemu y’amakuru y’ikigo kigenzurwa; 9° gukoresha ibikorwa remezo byo gukumira no gutahura no gushyira mu bikorwa politiki n’uburyo bwo kurinda sisitemu y’amakuru y’ikigo kigenzurwa, hamwe n’amakuru y’imari yabitswe cyangwa muri ategerejwe kuri sisitemu y’amakuru, kutinjira, gukoresha cyangwa ibindi bikorwa bibi; 7° recover from cyber-attacks and restore normal operations and services; 8° identify and assess internal and external cyber security risks that may threaten the security or integrity of non –public data stored on the regulated institution’s information systems; 9° use preventive and detective infrastructure and implement policies and procedures to protect the regulated institution’s information systems, and the financial data stored or in transit on those information systems, from unauthorized access, use or other malicious acts; 7° se remettre des cyberattaques et rétablir les opérations et services normaux; 8° identifier et évaluer les risques de cybersécurité internes et externes susceptibles de menacer la sécurité ou l'intégrité des données financières stockées dans les systèmes d'information no-publiques de l'établissement réglementé; 9° utiliser une infrastructure de prévention et de détection et mettre en œuvre des politiques et des procédures pour protéger les systèmes d’information de l’institution réglementé, ainsi que les données financières stockées ou en transit sur ces systèmes d’information, contre tout accès, utilisation ou autres actes de malveillance non autorisés;

Official Gazette n° Special of 17/06/2022 367 10°Gushyiraho no kubungabunga uburyo bwo guhangana n’ibiteye ubwoba ikigo; 11°gushyiraho no gukomeza ubushobozi bwo kwerekana ibiteye ubwoba; 12°gukora isuzuma ryimbitse. Umuyobozi w’urwego rw’umutekano w’ikoranabuhanga cyangwa abakozi bashinzwe umutekano w’ikoranabuhanga bagomba gutanga raporo k’ubuyobozi bukuru ndetse no kuri komite y’inama y’ubutegetsi ishinzwe ikoranabuhanga. 10°Establish and maintain threat profiles for identified threats to the institution; 11°establish and maintain threat modelling capabilities; 12°Conduct comprehensive penetration tests. The head of the IT Security function or the staff in charge of IT Security shall report administratively to Chief Executive officer and functionally to the IT Board Committee. 10°Établir et maintenir des profils de menaces pour les menaces identifiées à l'institution; 11°établir et maintenir des capacités de modélisation des menaces; 12°Effectuer des tests de pénétration complets. Le responsable de la fonction Sécurité informatique ou le personnel en charge de la sécurité informatique rend compte administrativement au directeur général et fonctionnellement au comité du conseil informatique. Ingingo ya 8: Ingamba zo gucunga umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho Ikigo kigenzurwa kigomba gukomeza ingamba z’umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho cyashyizeho mu kurinda ibanga, ubunyangamugayo no kuboneka kw’amakuru atagenwe rubanda y’ikigo Article 8: Cyber security strategy The regulated institution must maintain a cyber security strategy designed to protect the confidentiality, integrity and availability of the regulated institution’s non-public data, systems and the underlying IT infrastructure. Article 8: Stratégie de cybersécurité L’institution réglementée doit maintenir une stratégie de cybersécurité conçue pour protéger la confidentialité, l’intégrité et la disponibilité des données non publiques, des systèmes et de l’infrastructure informatique sous-jacente de l’institution réglementé.

Official Gazette n° Special of 17/06/2022 368 kigenzurwa, sisitemu n’ibikorwa remezo by’ikoranabuhanga. Ingamba z’umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho zigomba gutanga ishingiro rya gahunda y’ibikorwa igizwe na gahunda y’ umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho, nk’uko yashyizwe mu bikorwa, igera ku ntego z'umutekano ziteganijwe. Inyandiko zose n’amakuru ajyanye n’ingamba na gahunda y’ikigo kigenzurwa ku mutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho bigomba gushyikirizwa Urwego rw’ubugenzuzi igihe bisabwe. The cyber security strategy must provide the basis for an action plan comprised of cyber security program that, as implemented, achieve the planned security objectives. All documentation and information relevant to the regulated institution’s cyber security strategy and program must be made available to the Supervisory Authority upon request. La stratégie de cybersécurité doit fournir la base d'un plan d'action comprenant un programme de cybersécurité qui, tel qu'il est mis en œuvre, permet d'atteindre les objectifs de sécurité prévus. Tous les documents et informations concernant la stratégie et le programme de cybersécurité de l’institution réglementé doivent être mis à la disposition de l’Autorité de contrôle sur demande. Ingingo ya 9: Politiki y’umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho Ikigo kigenzurwa kigomba gushyira mu bikorwa no kubika politiki yanditse yemewe n’inama y’ubutegetsi. Article 9: Cyber security Policy A regulated institution must implement and maintain a written policy approved by the board. Article 9: Politique de cybersécurité Une institution réglementée doit mettre en œuvre et maintenir une politique écrite approuvée par le conseil.

Official Gazette n° Special of 17/06/2022 369 Politiki y’umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho igomba kuba ishingiye ku gusuzuma ibyateza ingorane ku kigo kigenzurwa no gukemura byibuze ibice bikurikira by’ibikorwa by’ikigo: 1° Umutekano w’amakuru; 2° Imiyoborere no gushyira mu byiciro amakuru; 3° Ibarura ry’umutungo no gucunga ibikoresho; 4° Kugenzura uburyo bwo kugera ku makuru no gucunga imyirondoro y’abantu; 5° Imikorere y’uburyo bukoresha ikoranabuhanga n’ibibazo bijyanye n’uko ubwo buryo buboneka; 6° Kugenzura uburyo bukoresha ikoranabuhanga n’muyoboro; The cyber security policy must be based on the regulated institution’s risk assessment and address at least the following areas of the institution’s operations: 1° Information security; 2° Data governance and classification; 3° Asset inventory and device management; 4° Access controls and identity management; 5° Systems operations and availability concerns; 6° Systems, applications and network security; La politique de cybersécurité doit être fondée sur l’évaluation des risques de l’institution réglementé et aborder au moins les domaines suivants des opérations de l’institution: 1° Sécurité de l'information; 2° Gouvernance et classification des données; 3° Inventaire des actifs et gestion des appareils; 4° Contrôle d'accès et gestion des identités; 5° Problèmes d'exploitation et de disponibilité des systèmes; 6° Sécurité des systèmes, des applications et des réseaux;

Official Gazette n° Special of 17/06/2022 370 7° Gutunganya uburyo bukoresha ikoranabuhanga, kubugura no kunoza imikorere yabwo; 8° Umutekano w’ahantu hakorerwa no gukora amagenzura mu rwego rw’ibidukikije; 9° Kurinda amakuru y’abakiriya no kubagirira ibanga; 10° Imicungire y’ugurisha n’iy’utanga serivisi; 11° Isuzuma ry’ibyateza ingorane biturutse ku ikoranabuhanga; 12° Isuzuma ryimbitse no kugenzura ahari intege nkeya; 13°Gusuzuma neza ibyaterza ibibazo biturutse ku ikoranabuhanga; 14°kumenyesha abakozi, abakiriya n'abafatanyabikorwa ibijyanye n' umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho; 7° Application development, acquisition and quality assurance; 8° Physical security and environmental controls; 9° Customer data protection and privacy; 10°vendor and service provider management; 11°Cyber risk management; 12°penetration testing and vulnerability assessments; 13°Cyber incident management; 14°awareness of staff, customers and stakeholders with regard to cyber security; 7° Développement d'applications, acquisition et assurance qualité; 8° Sécurité physique et contrôles environnementaux; 9° Protection des données et confidentialité des clients; 10°la gestion des vendeurs et des prestataires de services; 11°Gestion des cyberrisques; 12°tests de pénétration et évaluations de vulnérabilité; 13°Gestion des cyberincidents; 14°sensibilisation du personnel, des clients et des parties prenantes à la cybersécurité;

Official Gazette n° Special of 17/06/2022 371 15° ibisabwa ubunyangamugayo bw’abakozi baba bagira ho bahurira n’amakuru, sisitemu n’umuyoboro harimo amasezerano yo kutamena ibanga; 16° igenzura kuri sisitemu, ahantu hagaragara harimo amakuru y’abakiriya n’ibikoresho byo kugenzura bikorwa n’ababiherewe uburenganzira. Politiki igomba gusubirwamo mu gihe gikwiye. 15°integrity requirements of staff dealing with data, systems and networks including non-disclosure agreement; 16°controls to systems, physical locations containing customer information and tools to monitor access by authorized persons. The policy shall be reviewed within a reasonable period. 15°Exigences en matière d'intégrité du personnel traitant des données, des systèmes et des réseaux, y compris l'accord de non-divulgation; 16°des contrôles aux systèmes, aux emplacements physiques contenant des informations sur les clients et des outils pour surveiller l'accès des personnes autorisées. La politique doit être réexaminée dans un délai raisonnable. Ingingo ya 10: Amasuzuma yo kugerageza kwinjira no kureba intege nke Ikigo kigenzurwa kigomba gukora byibuze: 1° Isuzuma ryinjira buri mwaka: isuzuma ryo kwinjira rigomba kwibanda ku gupima ubushobozi bwo gukumira no kubona ubudahangarwa mu by’ikoranabuhanga hamwe n’ubushobozi bwo gusubiza no gusubira Article 10: Penetration Testing and Vulnerability Assessments A regulated institution is required to conduct at least: 1° Annual penetration tests: The penetration testing shall focus on testing preventive and detective cyber resilience capabilities as well as test response and recovery capabilities. Tests should not result in a pass or fail, rather they should provide the Article 10: Tests de pénétration et évaluations de la vulnérabilité Une institution réglementée est tenue d'effectuer au moins: 1° Des tests de pénétration annuels: Les tests de pénétration doivent se concentrer sur le test des capacités de cyber￾résilience préventive et de détection ainsi que sur les capacités de réponse aux tests et de récupération. Les tests ne doivent pas

Official Gazette n° Special of 17/06/2022 372 ku murongo. Isuzuma ntirigomba kuvamo gutsinda cyangwa gutsindwa, ahubwo rigomba guha urwego rwageragejwe gushishoza ku mbaraga n'intege nke zarwo, kandi bikabasha kwiga no gutera imbere kugirango hatezwe imbere umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho; 2° Amasuzuma y’ahari intege nke akorwa kabiri mu mwaka: gukora isuzuma ry’intege nke zisikana sisitemu y'imbere ku mbogamizi zizwi, no gusuzuma urwego rw’ishyirwa mu bikorwa rya politiki y’ umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho n’uburyo bushingiye ku gusuzuma ingaruka; Umuntu wese wemerewe gukora isuzuma ryo kwinjira cyangwa gusuzuma ahari intege nke agomba kuba afite nibura bumwe mu bumenyi bukurikira: 1° impamyabumenyi yizewe y’umutekano y’umwuga (CISSP); tested entity with insight into its strengths and weaknesses, and enable it to learn and evolve to improve their cyber security maturity; 2° Bi-annual vulnerability assessments: conduct vulnerability assessments that scan internal systems for known vulnerabilities, and review the implementation level of cyber security policies and procedures based on the risk assessment; Any person entrusted to conduct penetration test or vulnerability assessment shall have at least one or some of the following qualification: 1° Certified Information Systems Security Professional (CISSP); aboutir à une réussite ou à un échec, ils doivent plutôt fournir à l'entité testée un aperçu de ses forces et faiblesses, et lui permettre d'apprendre et d'évoluer pour améliorer sa maturité en matière de cybersécurité; 2° Évaluations bi-annuelles de la vulnérabilité: effectué des évaluations de vulnérabilité qui analysent les systèmes internes pour détecter les vulnérabilités connues et examiner le niveau de mise en œuvre des politiques et procédures de cybersécurité en fonction de l'évaluation des risques; Toute personne chargée d'effectuer un test de pénétration ou une évaluation de la vulnérabilité doit posséder au moins une ou certaines des qualifications suivantes: 1° Professionnel certifié de la sécurité des systèmes d'information (CISSP);

Official Gazette n° Special of 17/06/2022 373 2° impamyabumenyi mu gucunga umutekano w’amakuru (CISM); 3° Ufite imyamyabumenyi mu kugenzura sisitimu z’amakuru (CISA) 4° Imyamyabumenyi m’ubwirinzi no kugenzura ibikoresho n’imiyoboro y’ikoranabuhanga(CEH); 5° Ushinzwe gucunga ibyateza umutekano mucye wizewe wabigize umwuga (OSCP); 6° Uwemererwe gukora isuzuma ryimbitse (LPT); 7° Indi mpamyabumenyi yo mu rwego rumwe nazo. Ikigo kigenzurwa kigomba ishyikiriza Urwego rw’ubugenzuzi incamake y’ibyavuye mu igenzura mu gihe cy’iminsi icumi n’itanu (15) igenzura rimaze gukorwa. 2° Certified Information Security Manager (CISM); 3° Certified Information Systems Auditor (CISA); 4° Certified Ethical Hacker (CEH); 5° Offensive Security Certified Professional (OSCP); 6° Licensed Penetration Tester (LPT); 7° Any other similar certification. The regulated institution shall share with the Supervisory Authority an executive summary of the findings of the test within fifteen days (15) after the test. 2° Professionnel certifié de la sécurité de l'information (CISM); 3° Auditeur Certifié des Systèmes d'Information (CISA); 4° Hacker éthique certifié (CEH); 5° Professionnel certifié en sécurité offensive (OSCP); 6° Testeur de pénétration agréé (LPT); 7° Toute autre certification similaire. L'institution réglementé partage avec l’autorité de contrôle un résumé des conclusions du test dans un délai de quinze jours( 15) après le test.

Official Gazette n° Special of 17/06/2022 374 Ingingo ya 11: Inzira y'ubugenzuzi Ikigo cyigenzurwa kigomba kubungabunga neza sisitemu zirimo inzira z’ubugenzuzi zagenewe gutahura no gukemura ibibazo umutekano mucye w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho bifite amahirwe menshi yo kwangiza ibintu byose bigize ibikorwa bisanzwe by’ikigo kigenzurwa. Article 11: Audit Trail A regulated institution must securely maintain systems that includes audit trails designed to detect and respond to cyber security incidents that have reasonable likelihood of materially harming any material part of the normal operations of the regulated institution. Article 11: Piste d'audit Une institution réglementée doit maintenir en toute sécurité des systèmes comprenant des pistes d'audit conçues pour détecter et répondre aux incidents de cybersécurité qui ont une probabilité raisonnable de nuire sensiblement à tout élément important des opérations normales de l'institution réglementée. Ingingo ya 12: Gucunga umutekano w’imirongo itwara amakuru isimbura iyindi Ibigo bigenzurwa bigomba guha abakiriya amakuru yerekeye ingamba zisabwa mu gihe ukoresha imirongo itwara amakuru isimbura iyindi buri gihe, kumenyesha abakiriya ingaruka zishobora guterwa n’imirongo itwara amakuru isimbura iyindi kandi bigasaba gukingira no gukurikiza amahame y’ibanga yo kugabanya izo ngaruka ku bakiriya. Aya makuru agomba kuboneka ku mugaragaro. Ibigo bigenzurwa bigomba kugena ibintu byerekana umuntu ku giti cye no kwemeza Article 12: Alternative Delivery Channels (ADC) Security Management Regulated Institutions shall provide customers with information about the precautions required when using ADC regularly, inform customers about potential risks associated to the ADC, and recommended protection and privacy principles for minimizing these risks to the customer. This information shall be publicly available. Regulated Institutions shall determine individual identification and authentication Article 12: Gestion de la sécurité des canaux de distribution alternatifs (ADC) Les institutions réglementées doivent fournir aux clients des informations sur les précautions requises lors de l'utilisation régulière de l'ADC, informer les clients des risques potentiels associés à l'ADC et des principes de protection et de confidentialité recommandés pour minimiser ces risques pour le client. Ces informations sont accessibles au public. Les institutions réglementées déterminent les facteurs d'identification et d'authentification

Official Gazette n° Special of 17/06/2022 375 ibintu ku rubuga rwa interineti no mu bindi bikorwa bya kure hashingiwe kuri politiki yemejwe n'inama y'ubutegetsi, gusuzuma ingaruka, no kurinda amakuru ndetse n'amabwiriza yerekeye ubuzima bwite. factors for online and other remote transactions based on Board-approved policies, risk assessments, and data protection and privacy guidelines. individuels pour les transactions en ligne et autres transactions à distance sur la base des politiques approuvées par le Conseil, des évaluations des risques et des directives en matière de protection des données et de confidentialité. Ingingo ya 13: Gucunga ibyateza ingorane biturutse ku ikoranabuhanga Ikigo kigenzurwa kigomba gusuzuma buri gihe ingaruka ziterwa na sisitemu y’amakuru y’ikigo cy bihagije kugirango hakorwe igenamigambi ry’umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho nk'uko bisabwa n’aya mabwiriza. Isuzuma ry’ibyateza ingorane rigomba kuvugururwa igihe cyose bikenewe kugirango hakemurwe impinduka kuri sisitemu y’amakuru y’ikigo kigenzurwa, amakuru atagenewe rubanda cyangwa ibikorwa by’ubucuruzi. Isuzuma ry’ikigo kigenzurwa rigomba kwemerera gusubiramo ubugenzuzi kugira ngo hasubizwe ibijyanye n’iterambere ry’ikoranabuhanga n’iterabwoba rigenda Article 13: Cyber Risk Management A regulated institution shall conduct a periodic risk assessment of the regulated institution’s information systems sufficient to inform the design of the cyber security strategy and policy as required by this regulation. Such risk assessment shall be updated as reasonably necessary to address changes to the regulated institution’s information systems, no-public data or business operations. A regulated institution risk assessment must allow for revision of controls to respond to technological developments and evolving threats and shall consider the particular risks of Article 13: Gestion des cyber risques Une institution réglementée procède à une évaluation périodique des risques des systèmes d’information de l’institution réglementé, suffisante pour éclairer la conception de la stratégie et de la politique de cybersécurité, conformément au présent règlement. Cette évaluation des risques est mise à jour si cela est raisonnablement nécessaire pour tenir compte des modifications apportées aux systèmes d’information, aux données non-publiques ou aux opérations commerciales de l’institution réglementé. Une évaluation des risques des établissements réglementés doit permettre de réviser les contrôles pour répondre aux développements technologiques et aux menaces en évolution

Official Gazette n° Special of 17/06/2022 376 ryiyongera kandi harebwa ibyateza ingorane zishobora guterwa n’ibikorwa by’ubucuruzi by’ikigo kigenzurwa bijyanye n’umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho, amakuru atari rusange yakusanyijwe cyangwa abitswe, sisitemu y’amakuru yakoreshejwe; kuboneka no gukora neza kugenzura no kurinda amakuru atagenewe rubanda na sisitemu y’amakuru. Isuzuma ry’ibyateza ingorane rigomba gukorwa hakurikijwe politiki n’uburyo byanditse kandi bigomba kwandikwa. Politiki n'inzira bigomba kuba bikubiyemo: 1° ibigenderwaho mu gusuzuma no gushyira mu byiciro ibyateza ingorane mu rwego rw’umutekano wa interineti naho byabonetse cyangwa ibibazo byugarije ikigo muri urwo rwego; 2° ibigenderwaho mu gusuzuma ibanga, ubudakemwa, umutekano n’iboneka rya sisitimu y’amakuru atagenwe rubanda hakubiyemo n’ubugenzuzi bukwiye hakurikijwe ibyateza ingorane byagaragaye; the regulated institution’s business operations related to cyber security, non-public information collected or stored, information systems utilized and the availability and effectiveness of controls to protect non-public data and information systems. The risk assessment must be carried out in accordance with written policies and procedures and shall be documented. Such policies and procedures shall include: 1° Criteria for the evaluation and categorization of identified cyber security risks or threats facing the institution; 2° Criteria for the assessment of the confidentiality, integrity, and availability of the financial information systems and non-public data, including the adequacy of existing controls in the context of identified risks; et doit prendre en compte les risques particuliers des opérations commerciales de l'établissement financier liés à la cybersécurité, les informations non publiques collectées ou stockées, les systèmes d'information utilisés et les disponibilité et efficacité des contrôles pour protéger les données non-publiques et les systèmes d'information. L'évaluation des risques doit être effectuée conformément aux politiques et procédures écrites et doit être documentée. Ces politiques et procédures doivent inclure: 1° Critères d'évaluation et de catégorisation des risques ou menaces de cybersécurité identifiée auxquels l'établissement est confronté; 2° Critères d'évaluation de la confidentialité, de l'intégrité et de la disponibilité des systèmes d'information financière et des données non -publiques, y compris l'adéquation des contrôles existants dans le contexte des risques identifiés;

Official Gazette n° Special of 17/06/2022 377 3° ibisabwa bigaragaza uburyo ubukana bw’ ibyateza ingorane byagaragaye bushobora kugabanywa cyangwa kwakirwa hashingiwe ku isuzuma ry’ ibyateza ingorane ryakozwe n’uburyo gahunda y’umutekano wa interineti izabasha gukemura izo ngorane. Urwego rw’ikigo kigenzurwa rushinzwe gucunga ibyateza ingorane rugomba kubamo kandi ntibirangirire k mirimo ikurikira: 1° Gusuzuma ibyateza ingorane n’imikoreshereze ijyanye n’umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanahono kumenya niba bihuje n’ibyifuzo by’ikigo kigenzurwa; 2° Gukurikirana ibyateza ingorane biriho kandi bigaragara n’impinduka ku mategeko n’amabwiriza. 3° Gufatanya n'abayobozi ba sisitemu n'abandi bashinzwe kurinda umutungo w'amakuru w'ikigo kigenzurwa 3° Acceptance criteria describing how identified risks will be treated or accepted based on the institution’s risk appetite and how the cyber security strategy and policy will address the risks. The regulated institution risk management function should include and not limited to the tasks below: 1° Assessing the risks and exposures related to cyber security and determining whether they are aligned to the regulated institution’s risk appetite; 2° Monitoring current and emerging risks and changes to laws and regulations.; 3° Collaborating with system administrators and others charged with safeguarding the information assets of the regulated 3° Critères d'acceptation décrivant comment les risques identifiés seront traités ou acceptés en fonction de l'appétit pour le risque de l'établissement et comment la stratégie et la politique de cybersécurité aborderont les risques. La fonction de gestion des risques des institutions réglementé devrait inclure, sans s'y limiter, les tâches ci-dessous: 1° évaluer les risques et expositions liés à la cybersécurité et déterminer s'ils sont alignés sur l'appétit pour le risque de l'institution réglementé; 2° Surveiller les risques actuels et émergents et l'évolution des lois et règlements; 3° Collaborer avec les administrateurs de système et autres personnes chargées de protéger les actifs informationnels de

Official Gazette n° Special of 17/06/2022 378 kugirango habeho igishushanyo mbonera gikwiye; 4° kubika ibitabo bihamye byerekeranye na interineti: Ibipimo byingenzi byerekana ibyateza ingorane (KRI) bigomba kumenyekana buri gihe kandi bigasuzumwa. Kumenya ibyateza ingorane bigomba kurebwa mbere kandi bikubiyemo gukemura ibibazo by’umutekano; 5° Kugenzura ishyirwa mu bikorwa ry’ingamba na gahunda by’umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho; 6° Kurinda ibanga, ubunyangamugayo no kuboneka kw’amakuru n’ibikorwa remezo by’ ikoranabuhanga; 7° kumenya neza ko ibarura ry'umutungo w’ikoranabuhanga ryuzuye, ryashyizwe mu rwego rwaryo no kunenga ubucuruzi, ryashyizweho kandi rikabungabungwa; institution to ensure appropriate control design; 4° Maintain comprehensive cyber risk registers: Key risk indicators (KRI) should be regularly identified and assessed. Risk identification should be forward looking and include the security incident handling; 5° Ensure implementation of the cyber security strategy and program; 6° Safeguarding the confidentiality, integrity and availability of information and the underlying IT infrastructure; 7° Ensure that a comprehensive inventory of IT assets, classified by business criticality, is established and maintained; l'institution réglementé pour assurer une conception de contrôle appropriée; 4° Tenir à jour des registres complets des cyber risques: les indicateurs clés de risque (KRI) doivent être régulièrement identifiés et évalués. L'identification des risques doit être prospective et inclure la gestion des incidents de sécurité; 5° Assurer la mise en œuvre de la stratégie et du programme de cybersécurité; 6° Préserver la confidentialité, l'intégrité et la disponibilité des informations et de l'infrastructure informatique sous-jacente; 7° S'assurer qu'un inventaire complet des actifs informatiques, classés par criticité métier, est établi et maintenu;

Official Gazette n° Special of 17/06/2022 379 8° Isesengura ry’ingaruka zihari k’ ubucuruzi kugira ngo hasuzumwe buri gihe akamaro k'ubucuruzi ku mutungo w’ikoranabuhanga; 9° Gutegura no gushyira mu bikorwa uburyo bwo gupima ibyateza ingorane kugira ngo harebwe neza uburyo ikigo gicunga neza ingorane rusange z’ikoranabuhanga no kugabanya ingorane zikomoka ku ikoranabuhanga zisigaye za sisitemu zikomeye z’urwego bityo hagashyirwaho gahunda ihamye yo gucunga ingorane z’ikoranabuhanga; 10°Kumenyekanisha ingorane zose z’ikigo buri gihe kandi byuzuye ku nama y’ubutegetsi kugirango bifashe mu kugereranya ingorane zose hagamijwe kureba iziza imbere kurusha izindi; 11°Gukora igeregageza ry’ibitagenda neza mu ikipe; 12°Gukora isesengura ry’ingaruka k’ ubucuruzi no gusuzuma ingorane aho bagaragaza umutungo w’ingenzi mu 8° A Business Impact Analysis process is in place to regularly assess the business criticality of IT assets; 9° Design and implement a risk quantification framework in order to effectively assess how well the institution is managing its aggregate cyber risk and mitigating the residual cyber risk of its sector-critical systems and therefore develop a robust cyber risk management plan; 10°Reporting all enterprise risks consistently and comprehensively to the board to enable the comparison of all risks equally in ensuring that they are prioritized correctly; 11°Conduct red team exercises. 12°Carry out a business impact analysis and risk assessment where they identify critical assets to their business processes 8° Un processus d'analyse d'impact sur l'activité est en place pour évaluer régulièrement la criticité métier des actifs informatiques; 9° Concevoir et mettre en œuvre un cadre de quantification des risques afin d'évaluer efficacement dans quelle mesure l'établissement gère son cyber-risque global et atténue le cyberrisque résiduel de ses systèmes sectoriels critiques et, par conséquent, élabore un solide plan de gestion des cyberrisques; 10°rendre compte de tous les risques de l'entreprise de manière cohérente et complète au conseil d'administration afin de permettre la comparaison de tous les risques de manière égale en s'assurant qu'ils sont correctement hiérarchisés; 11°Conduire des exercices de l'équipe rouge. 12°Réaliser une analyse d'impact sur l'entreprise et une évaluation des risques où ils identifient les actifs critiques pour

Official Gazette n° Special of 17/06/2022 380 bikorwa byabo by’ubucuruzi no gutondekanya ingorane / ingaruka zibareba. Gahunda yo kwirinda ingorane igomba gutegurwa kugirango hagabanuke ingorane zagaragaye. and class the risks/impact pertaining to them. A risk treatment plan shall be developed to mitigate the risks identified. leurs processus d'affaires et classent les risques / impacts les concernant. Un plan de traitement des risques doit être élaboré pour atténuer les risques identifiés. Ingingo ya 14: Isuzuma ry’abatanga serivisi bavuye hanze Ikigo kigenzurwa kigomba gushyira mu bikorwa politiki n’uburyo bwateganijwe bugamije kurinda umutekano wa sisitemu y’amakuru n’amakuru atagenewe rubanda ashobora kugerwaho, cyangwa afitwe n’abatanga serivisi. Izi politiki n’uburyo bigomba gushingira ku isuzuma ry’ingorane z’ikigo kigenzurwa kandi zigakemura ibikurikira: 1° kumenya no gusuzuma ibyateza ingorane by’utanga serivisi; 2° ibikorwa bishoboka by’umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho bisabwa kuba byujujwe n’abatanga serivisi Article 14: Assessment of a Service Provider A regulated institution must implement written policies and procedures designed to ensure the security of information systems and non￾public data that are accessible to, or held by, service providers. Such policies and procedures shall be based on the risk assessment of the regulated institution and shall address to the extent applicable: 1° the identification and risk assessment of service providers; 2° minimum cyber security practices required to be met by such third party service providers in order for them to do business with the regulated institution; Article 14: Évaluation d'un fournisseur de services Une institution réglementée doit mettre en œuvre des politiques et des procédures écrites conçues pour assurer la sécurité des systèmes d'information et des données non-publiques qui sont accessibles ou détenus par des fournisseurs de services. Ces politiques et procédures sont fondées sur l'évaluation des risques de l'institution réglementé et portent, dans la mesure du possible: 1° l'identification et l'évaluation des risques des prestataires de services; 2° les pratiques minimales de cybersécurité que ces prestataires de services tiers doivent respecter pour pouvoir faire affaire avec l'institution réglementés;

Official Gazette n° Special of 17/06/2022 381 baturutse hanze kugirango babashe gukorana n’ikigo kigenzurwa; 3° Igenzura ryimbitse mu gusuzuma bihagije imikorere by’umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho y’abatanga serivisi biturutse hanze; 4° isuzuma rigaruka mu gihe runaka ry’abatanga serivisi baturutse hanze hashingiwe ku ngorane bagaragaza ndetse no gukomeza guhaza ibikorwa byabo byo gucunga umutekano wa interineti; 5° Abazana ibicuruzwa n’abandi bafatanyabikorwa basuzumwa buri gihe hakoreshejwe igenzura, ibisubizo by’isuzuma, cyangwa ubundi buryo bwo gusuzuma kugirango bemeze ko bubahiriza inshingano zabo; 6° Igisubizo n’igenamigambi ryo gusubiza ibintu k’ umurongo no kugerageza ibikorwa by’abatanga ibicuruzwa hamwe n’abandi batanga serivise; 3° due diligence processes used to evaluate the adequacy of cyber security practices of such service providers; 4° periodic assessment of such service providers based on the risk they present and the continued adequacy of their cyber security practices; 5° Suppliers and third party partners are routinely assessed using audits, test results, or other forms of evaluations to confirm they are meeting their contractual obligations; 6° Response and recovery planning and testing are conducted with suppliers and third- party providers; 3° les processus de diligence raisonnable utilisés pour évaluer l'adéquation des pratiques de cybersécurité de ces prestataires de services; 4° évaluation périodique de ces prestataires de services en fonction du risque qu'ils présentent et de l'adéquation continue de leurs pratiques de cybersécurité ; 5° Les fournisseurs et partenaires tiers sont régulièrement évalués à l'aide d'audits, de résultats de tests ou d'autres formes d'évaluations pour confirmer qu'ils respectent leurs obligations contractuelles ; 6° La planification et les tests de réponse et de reprise sont menés avec des fournisseurs et des fournisseurs tiers ;

Official Gazette n° Special of 17/06/2022 382 7° Gukora isuzuma ryihariye rikemura ibibazo byuzuzanya, nko guhuza sisitemu yo kwishyura, serivisi zohererezanya ubutumwa, imiyoboro yo gutanga amasoko, n’abandi batanga serivise zikomeye cyangwa abafatanyabikorwa. 7° Conduct specific testing that addresses external interdependencies, such as connectivity to payment systems, messaging services, delivery channels, markets, and other critical service providers or partners. 7° Effectuer des tests spécifiques qui abordent les interdépendances externes, telles que la connectivité aux systèmes de paiement, aux services de messagerie, aux canaux de livraison, aux marchés et à d'autres fournisseurs de services ou partenaires critiques. Ingingo ya 15: Uruhare rw’urwego rw’ubugenzuzi bw’imbere Ikigo kigenzurwa kigomba gushyira mu itsinda ryacyo ry’ubugenzuzi bw’imbere abagenzuzi b'umutekano w’amakuru babishoboye. Ibikorwa byo kugenzura umutekano w’amakuru bishobora gutangwa binyuze imbere. Sisitemu y’ubugenzuzi bw’imbere igomba kuba ikwiranye n’ubunini bw’ikigo ndetse na kamere, ingano n’ibyateza ingorane z’ibikorwa byacyo bitanga isuzuma rihagije no gusuzuma sisitemu y’amakuru. Abagenzuzi b’umutekano w’amakuru mu kigo kigenzurwa bagomba kwemeza igipimo cy’ubugenzuzi kitagarukira ku mirimo ikurikira: Article 15: Role of Internal Audit Function A regulated Institution shall incorporate qualified information security auditors within their Internal Audit team. Information security audit activities can be outsourced or through internal placement. Internal audit systems shall be appropriate to the size of the institution and to the nature, scope and risk of its activities that provide for adequate testing and review of information systems. The regulated institution internal information security auditors should therefore ensure that the audit scope includes and not limited to the tasks below: Article 15 : Rôle de la fonction d'audit interne Une institution réglementée doit intégrer des auditeurs qualifiés en sécurité de l'information au sein de son équipe d'audit interne. Les activités d'audit de sécurité de l'information peuvent être externalisées ou par le biais d'un placement interne. Les systèmes d'audit interne doivent être adaptés à la taille de l'établissement et à la nature, à l'étendue et au risque de ses activités qui prévoient des tests et un examen adéquat des systèmes d'information. Les auditeurs internes de la sécurité de l'information des institutions réglementés devraient donc veiller à ce que la portée de l'audit comprenne et ne se limite pas aux tâches ci-dessous:

Official Gazette n° Special of 17/06/2022 383 1° Gukomeza gusuzuma no gutanga raporo kubyerekeye ingorane zaturuka kuri interineti kugenzura sisitemu ya ICT mu kigo kigenzurwa n’ibindi bifitanye isano n’abandi bantu; 2° Gukorana umwete ukwiye hagamijwe kugabanya ingorane ziturutse ku bandi bantu; 3° gusuzuma gahunda n’uburyo bukoreshwa mu rwego rw’umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanahoko byashyizwe mu bikorwa; 4° Gukora isuzuma risanzwe ryigenga no gusuzuma ahari intege nke; 5° Kumenyesha inama y’ubutegetsi ibyavuye mu isuzuma; 6° Kumenya neza ko ahakorerwa n’ahasuzumirwa hatandukanye n’aho ibikorwa bikorerwa; 1° Continuous review and report on cyber risks and controls of the ICT systems within the regulated institution and other related third-party connections; 2° Conduct up-front due diligence to mitigate risks associated with third parties; 3° Assess both the design and effectiveness of the cyber security framework implemented; 4° Conduct regular independent threat and vulnerability assessment tests; 5° Report to the board the findings of the assessments; 6° Ensure the development and testing environment are separate from the production environment; 1° Examen et rapport continus sur les cyberrisques et les contrôles des systèmes ICT au sein de l'institution réglementé et autres connexions tierces connexes; 2° Effectuer une due diligence initiale pour atténuer les risques associés aux tiers; 3° évaluer à la fois la conception et l'efficacité du cadre de cybersécurité mis en œuvre; 4° Effectuer régulièrement des tests indépendants d'évaluation des menaces et des vulnérabilités; 5° Faire rapport au conseil d’administration des résultats des évaluations; 6° S'assurer que l'environnement de développement et de test est séparé de l'environnement de production ;

Official Gazette n° Special of 17/06/2022 384 7° gusuzuma niba gahunda yo gucunga y’ikigo yo gucunga ibyateza ingorane ikwiranye n’ubunini bwacyo n’ubunini bw’ibikorwa, imikoranire, hamwe n’ingano y’ibyateza ingorane; 8° Kugira inama ubuyobozi bukuru niba politiki n’ibikorwa by’ikigo bihagije kugira ngo igendane n’ibyateza ingorane bikomoka kuri interineti bigaragara n’ibisabwa n’amabwiriza y’urwego. 7° Assess if the institution’s cyber risk management framework is appropriate for its size, complexity, and scope of operations, interconnectedness, and risk profile; 8° Advise senior management on whether the institution’s policies and procedures are adequate to keep up with emerging cyber risks and industry regulations. 7° évaluer si le cadre de gestion des cyberrisques de l’institution est adapté à sa taille, à sa complexité et à son champ d’opérations, à son interconnexion et à son profil de risque; 8° Conseiller la direction générale sur l’adéquation des politiques et procédures de l’institution pour suivre les cyberrisques émergents et les réglementations du secteur. Ingingo ya 16: Gusuzuma umwirondoro hakoreshejwe ibintu byinshi Gishingiye ku isuzuma ry’ibyagiteza ingorane cyakoze, ikigo kigenzurwa kigomba gukoresha amagenzura akwiye ashobora kuba akubiyemo gusuzuma umwirondoro w’abantu hakoreshejwe ibintu byinshi bibaranga hagamijwe kubakumira kugera ku makuru atagenewe rubanda cyangwa kuri sisitemu y’amakuru. Gusuzuma umwirondoro w’umuntu hakoreshejwe ibintu byinshi bimuranga bigomba gukorwa k’ umuntu uwo ari we Article 16: Multi-Factor Authentication Based on its risk assessment, a regulated institution must use effective controls, which will include risk-based multi-factor authentication, to protect against unauthorized access to non-public data or information systems. Multi-factor authentication must be utilized for any individual accessing the regulated institution’s internal networks from an external Article 16: Authentification multifactorielle Sur la base de son évaluation des risques, une institution réglementée doit utiliser des contrôles efficaces, qui comprendront une authentification multifactorielle basée sur les risques, pour se protéger contre tout accès non autorisé aux données non-publiques ou aux systèmes d'information. L’authentification multifacteur doit être utilisée pour toute personne accédant aux réseaux internes de l’institution réglementé à

Official Gazette n° Special of 17/06/2022 385 wese winjira mu miyoboro y’ikigo kigenzurwa y’imbere anyuze mu miyoboro yo hanze cyeretse gusa iyo ukuriye urwego rw’ikoranabuhanga yemeye mu nyandiko ikoreshwa ry’ubundi buryo bumeze nk’ubwo cyangwa ubundi buryo bw’igenzura bufite umutekano kurusha ubwo ngubwo. network, unless the head of IT Security function or relevant staff has approved in writing the use of reasonably equivalent or more secure access controls. partir d’un réseau externe, à moins que le responsable de la fonction de sécurité informatique ou le personnel concerné n’ait approuvé par écrit l’utilisation de contrôles d’accès raisonnablement équivalents ou plus sécurisés. Ingingo ya 17: Igabanywa ry’amakuru agomba kubikwa Ikigo kigenzurwa kigomba kugira politiki yo kubika amakuru kugirango kibungabunge umutekano no gutangwa buri gihe hashingiwe ku makuru atagenewe rubanda yagaragajwe n’isuzuma ry’ibyateza ingorane, usibye aho ayo makuru asabwa n’amategeko cyangwa amabwiriza kubikwa. Article 17: Limitations on Data Retention A regulated institution must have a data retention policy for the secure keeping and disposal on a periodic basis of any non-public data identified as per their Risk assessment, except where such information is otherwise required to be retained by law or regulation. Article 17: Limitations de la conservation des données Une institution réglementée doit avoir une politique de conservation des données pour la conservation sécurisée et l'élimination périodique de toutes les données non￾publiques identifiées conformément à leur évaluation des risques, sauf lorsque ces informations doivent par ailleurs être conservées par la loi ou la réglementation. Ingingo ya 18: Amahugurwa no kumenyekanisha Ikigo kigenzurwa kigomba: 1° gushyira mu bikorwa politiki, inzira zikurikizwa n’amagenzura ashingiye ku Article 18: Training and awareness A regulated institution must: 1° design a consistent and updated security awareness program in line with Article 18: Formation et sensibilisation Une institution réglementée doit: 1° concevoir un programme de sensibilisation à la sécurité cohérent et

Official Gazette n° Special of 17/06/2022 386 byateza ingorane hagamijwe kugenzura ibikorwa by’abakoresha; ingamba n’ibiteye ubwoba mu mutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho ndetse n’aho ibintu bigana; 2° gutanga amahugurwa ahoraho yo kumenyekanisha umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho kubagize inama y'ubutegetsi, abayobozi bakuru n'abakozi bose bakorana na sisitemu y’amakuru y’ikigo harimo abakozi, abimenyereza umwuga n’abandi bantu; 3° gusuzuma akamaro k’amahugurwa yo kumenyekanisha binyuze mu bibazo bisanzwe no kwigana isuzuma. Inama y’ubutegetsi/ubuyobozi bukuru bugenera amafaranga ahagije amahugurwa n’ubukangurambaga busabwa. institution’s risk assessment, strategy and current cyber security threats and trends; 2° provide regular cyber security awareness training for board members, senior managers and all personnel that interacts with institution’s information system including but not limited to staff, interns, third party; 3° evaluate the effectiveness of the awareness training through regular quizzes and test simulations. Board/ Senior Management shall allocate adequate funds for all required trainings and awareness. actualisé, conforme à l’évaluation des risques de l’institution, à sa stratégie et aux menaces et tendances actuelles en matière de cybersécurité; 2° dispenser régulièrement une formation de sensibilisation à la cybersécurité aux membres du conseil d'administration, aux cadres supérieurs et à tout le personnel qui interagit avec le système d'information de l'établissement, y compris, mais sans s'y limiter, le personnel, les stagiaires, les tiers; 3° évaluer l'efficacité de la formation de sensibilisation à travers des quiz et des simulations de tests réguliers; Le conseil d'administration / la direction générale alloue des fonds adéquats pour toutes les formations et sensibilisations requises.

Official Gazette n° Special of 17/06/2022 387 Ingingo ya 19: Guhisha amakuru atagenewe rubanda Ikigo kigenzurwa kigomba gushyira mu bikorwa igenzura, harimo no gushyira amakuru mu ibanga, kugira ngo birinde amakuru yatanzwe cyangwa yoherejwe n’ikigo kigenzurwa haba mu nzira zinyura mu miyoboro yo hanze ndetse no m’ uburuhukiro. Mu gihe ikigo kigenzurwa cyemeza ko kubika amakuru mu gutambuka ku miyoboro yo hanze bidashoboka, ikigo kigenzurwa gishobora ahubwo kubona ayo makuru atagenewe rubanda hakoreshejwe uburyo bunoze bwo guhwanisha bwasuzumwe kandi bwemejwe na komite nyobozi y’ikoranabuhanga. Mu gihe ikigo kigenzurwa gikoresha igenzura rihuza nk'uko byavuzwe haruguru, uburyo bwo guhisha amakuru no gukoresha neza igenzura rihuza rizasuzumwa na komite ishinzwe ikoranabuhanga. Article 19: Encryption of non-public data A regulated institution must implement controls, including encryption, to protect data held or transmitted by the regulated institution both in transit over external networks and at rest. To the extent a regulated institution determines that encryption of data in transit over external networks is infeasible, the regulated institution may instead secure such non-public data using effective alternative compensating controls reviewed and approved by the IT steering Committee. To the extent that a regulated institution is utilizing compensating controls as mentioned above, the feasibility of encryption and effectiveness of the compensating controls shall be reviewed by the IT steering Committee. Article 19: Cryptage des données non￾publiques Une institution réglementée doit mettre en œuvre des contrôles, y compris le cryptage, pour protéger les données détenues ou transmises par l’institution réglementé à la fois en transit sur des réseaux externes et au repos. Dans la mesure où une institution réglementée détermine que le cryptage des données en transit sur des réseaux externes est irréalisable, l'institution réglementée peut à la place sécuriser ces données non-publiques à l'aide de contrôles compensatoires alternatifs efficaces examinés et approuvés par le comité de pilotage informatique. Dans la mesure où une institution réglementée utilise les contrôles compensatoires mentionnés ci-dessus, la faisabilité du cryptage et l'efficacité des contrôles compensatoires seront examinées par le comité de pilotage informatique.

Official Gazette n° Special of 17/06/2022 388 Ingingo ya 20: Gahunda yo gukemura ibibazo bivutse Ikigo kigenzurwa kigomba gushyiraho gahunda yo gukemura ibibazo bivutse yanditse igamije gukemura ibyo bibazo ako kanya no kuyikura mu kibazo icyo aricyo cyose cyerekeranye n’umutekano wa interineti bikibangamira ibanga, ubudakemwa cyangwa ukuboneka k’ uburyo bukoresha ikoranabuhanga bukoreshwa n’ikigo cyangwa imikorere ihoraho y’ubwoko ubwo ari bwo bwose bw’ubucuruzi cyangwa bw’ibikorwa by’ikigo. Gahunda yo gukemura ibibazo bivutse igomba kwita kuri ibi bintu bikurikira: 1° Inzira z’imbere zikurikizwa mu gukemura ikibazo cyerekeranye n’igikorwa gihungabanya umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho; 2° Intego za gahunda yo gukemura ibibazo bivutse; Article 20: Incident response and business continuity management A regulated institution must establish a written incident response management plan designed to promptly respond to, contain, and recover from, disruptions caused by any cyber incident materially affecting the confidentiality, integrity or availability of the institution’s information systems or the continuing functionality of any aspect of the institution’s business or operations. The incident response and business continuity management plan shall address the following areas: 1° the internal processes for responding to cyber security incident and disasters; 2° the goals of the incident response and business continuity plans; Article 20: Réponse aux incidents et gestion de la continuité des activités Une institution réglementée doit établir un plan écrit de gestion des réponses aux incidents conçu pour répondre, contenir et récupérer rapidement les perturbations causées par tout cyberincident affectant matériellement la confidentialité, l'intégrité ou la disponibilité des systèmes d'information de l'institution ou la fonctionnalité continue de tout aspect de l'entreprise ou les opérations de l'institution. Le plan de gestion de la réponse aux incidents et de la continuité des activités doit aborder les domaines suivants: 1° les processus internes de réponse aux incidents et catastrophes de cybersécurité; 2° les objectifs des plans d'intervention en cas d'incident et de continuité des activités;

Official Gazette n° Special of 17/06/2022 389 3° Gusobanura mu buryo bwumvikana uruhare, inshingano n’inzego z’ubuyobozi zifatirwamo ibyemezo; 4° Itumanaho no guhanahana amakuru imbere mu kigo no hanze yacyo; 5° Kumenya ibikenewe mu rwego rwo kongera ingufu ahagaragaye intege nke mu buryo bwo guhanahana amakuru bukoreshwa n’ubugenzuzi bijyana; 6° Gukora inyandiko na raporo ku bikorwa bihungabanya umutekano w’ibijyanye n’ ikoranabuhanga no ku bikorwa byerekeranye no gukemura ibibazo byavutse; 7° Gusuzuma no gusubiramo gahunda yo gukemura ibibazo bivutse uko bibaye ngombwa hakurikijwe igikorwa gihungabanya umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho cyabaye; 8° kumenya no kugabanya ingorane zaterwa n’ ikoranabuhanga no guhuza 3° the definition of clear roles, responsibilities and levels of decision-making authority; 4° external and internal communications and information sharing; 5° identification of requirements for the remediation of any identified weaknesses in information systems and associated controls; 6° documentation and reporting on cyber incidents / attacks and related incident response activities; 7° the evaluation and revision as necessary of the incident response and business continuity plans following a cyber security event; 8° identification and mitigation of cyber risks posed through interconnectedness to sector 3° la définition de rôles, de responsabilités et de niveaux de décision clairs; 4° les communications externes et internes et le partage d'informations; 5° l'identification des exigences pour la correction des faiblesses identifiées dans les systèmes d'information et les contrôles associés; 6° documentation et rapports sur les cyberincidents / attaques et les activités de réponse aux incidents connexes; 7° l'évaluation et la révision si nécessaire des plans de réponse aux incidents et de continuité d'activité suite à un événement de cybersécurité ; 8° identification et atténuation des cyberrisques posés par l'interconnexion

Official Gazette n° Special of 17/06/2022 390 abafatanyabikorwa bo mu rwego rw’imari , abafatanyabikorwa bo hanze n’abandi bantu kugira ngo birinde ko ingorane zakwirakwira ; 9° ishyirwa mu bikorwa rya gahunda nziza yo kuzamura ifitanye isano n’inzego zifata ibyemezo, uburyo bwo kwirinda ingorane zikomoka kuri interineti zikwirakwiye, ingamba z’itumanaho, hamwe n’uburyo bwo kwinjiza amasomo yakuwe muri gahunda y’ umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho. partners, external stakeholders and other third parties to prevent cyber risk contagion; 9° Implementation of effective escalation protocols linked to organization decision levels, cyber contagion containment procedures, communication strategies, and processes to incorporate lessons learned into the cyber security program. avec les partenaires du secteur, les parties prenantes externes et d'autres tiers pour prévenir la contagion des cyberrisques; 9° mise en œuvre de protocoles d'escalade efficaces liés aux niveaux de décision de l'organisation, aux procédures de confinement de la cyber contagion, aux stratégies de communication et aux processus pour intégrer les leçons apprises dans le programme de cybersécurité. Ingingo ya 21: Kumenyesha no gutanga raporo kubyabaye ku bijyanye n’ikoranabuhanga Ikigo kigenzurwa kigomba kumenyesha Urwego rw’ubugenzuzi byihuse bishoboka mu gihe kitarenze amasaha abiri (2) uhereye igihe ikibazo cyabereye cyangwa byemejwe ko habaye ikibazo gifitanye isano n’ikoranabuhanga cyaba ari kimwe muri ibi bikurikira: Article 21: Notification and reporting of the cyber incident A regulated institution must notify the Supervisory Authority as promptly as possible within a period not exceeding two (2) hours from the occurrence of the incident or from a determination that a cyber security incident has occurred that is either of the following: Article 21: Notification et signalement du cyberincident Une institution réglementée doit informer l’Autorité de Contrôle le plus rapidement possible dans un délai ne dépassant pas deux (2) heures à compter de la survenance de l'incident ou à partir de la détermination qu'un incident de cybersécurité s'est produit qui est l'un des suivants:

Official Gazette n° Special of 17/06/2022 391 1° Igikorwa gihungabanya umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho gishobora kubuza ikigo kigenzurwa gukomeza ibikorwa byacyo bisanzwe byo guha serivisi z’imari abakiriya bacyo; 2° Ibikorwa bihungabanya umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho uko bigaragara bishobora guhungabanya k’uburyo bugaragara igice gifatika cy’ibikorwa bisanzwe by’ikigo. Ikigo kigenzurwa kigomba gushyikiriza Urwego rw’ubugenzuzi raporo yuzuye y’igikorwa gihungabanya umutekano mu gihe cy’amasaha 24 kuva igikorwa kibaye nk; uko bikubiye k’ umugereka w’aya mabwiriza rusange. Ibyihariye byerekeye gutanga raporo ku gikorwa gihungabanya umutekano w’ibijyanye n’ikoranabuhanga bishobora kuganwa n’amabwiriza. 1° Cyber security incident that may disrupt a regulated institution from continuing its normal operations for customer-facing transactions; 2° Cyber security events that have a reasonable likelihood of materially harming any material part of the normal operation(s) of the institution. A regulated institution must submit to the Supervisory Authority the full incident report within 24 hours from the occurrence of the incident as per the annex on this regulation. Specific reporting requirements on cyber security incident may be provided in the Directive. 1° incident de cybersécurité pouvant empêcher une institution réglementée de poursuivre ses opérations normales pour les transactions avec les clients; 2° les événements de cybersécurité qui ont une probabilité raisonnable de nuire matériellement à une partie importante du (des) fonctionnement (s) normal (s) de l'établissement. Une institution réglementée doit soumettre à l’Autorité de contrôle le rapport d'incident complet dans les 24 heures suivant la survenance de l'incident conformément à l'annexe du présent règlement. Des exigences spécifiques en matière de rapports d'incident de cybersécurité peuvent être prévues dans la directive.

Official Gazette n° Special of 17/06/2022 392 Ikigo kigenzurwa kigomba gushyikiriza Urwego rw’ubugenzuzi inyandiko nk’uko igaragara ku mugereka yemeza ko gahunda y’ikigo kigenzurwa y’ umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho cyubahiriza ibyo gisabwa n’aya mabwiriza. Iyo nyandiko igomba gushyikirizwa Urwego rw’ubugenzuzi mu gihe kitarenze itariki ya 15 Mutarama buri mwaka. A regulated institution shall submit to the Supervisory Authority on an annual basis a written statement as per the appendix certifying that the regulated institution cyber security program is in compliance with the requirements set forth in this Regulation. The statement shall be submitted not later than 15th January of each year. Une institution Réglementée soumet à l’Autorité de contrôle sur une base annuelle une déclaration écrite conformément à l'annexe certifiant que le programme de cybersécurité de l'institution réglementée est conforme aux exigences énoncées dans le présent règlement. Le relevé doit être soumis au plus tard le 15 janvier de chaque année. Ingingo ya 22: Inyandiko yo kwisuzuma Ikigo kigenzurwa kigomba gushyikiriza Urwego rw’ubugenzuzi buri mwaka inyandiko yanditse yo kwisuzuma ikubiye ku mugereka yemeza ko ingamba z’ umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho z’ikigo kigenzurwa zubahiriza ibisabwa bivugwa muri aya mabwiriza. Inyandiko itangwa bitarenze ku ya 15 Mutarama ya buri mwaka. Article 22: Statement of self-assessment A regulated institution must submit to the Supervisory Authority on annual basis a written statement of self-assessment per the appendix certifying that the regulated institution cyber security strategy is in compliance with the requirements set forth in this Regulation. The statement shall be submitted not later than 15th January of each year. Article 22: Déclaration d'auto-évaluation Une institution réglementée doit soumettre à l’Autorité de contrôle sur une base annuelle une déclaration écrite d'auto-évaluation conformément à l'annexe certifiant que la stratégie de cybersécurité de l'institution réglementée est conforme aux exigences énoncées dans le présent règlement. Le relevé doit être soumis au plus tard le 15 janvier de chaque année.

Official Gazette n° Special of 17/06/2022 393 UMUTWE WA III: INGINGO ZINYURANYE N’IZISOZA CHAPTER III: MISCELLANEOUS AND FINAL PROVISIONS CHAPITRE III: DISPOSITIONS DIVERSES ET FINALES Ingingo ya 23: Ikurikizwa ry’andi mategeko Bitabangamiye ibivugwa muri aya mabwiriza rusange, ikigo kigenzurwa kigomba kubahiriza ibindi bisabwa n'amategeko n’amabwiriza akurikizwa mu gucunga umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho no kurinda amakuru y’ibanga. Article 23: Application of other laws Without prejudice to the provisions of this regulation, a regulated institution shall abide with other legal and regulatory requirements applicable to cyber security and data protection and privacy. Article 23: Application d'autres lois Sans préjudice des dispositions du présent règlement, une institution réglementée se conforme aux autres exigences légales et réglementaires applicables à la cybersécurité et à la protection des données et de la vie privée. Ingingo ya 24: Ibisabwa byihariye Ibigo bigenzurwa byubahiriza ibikubiye muri aya mabwiriza rusange, keretse Urwego rw’ubugenzuzi rushizeho amabwiriza agena ibisabwa bikwiranye n’ikigo hashingiwe ku miterere, ingano, imikomerere n’iterambere ry’ibikorwa byacyo. Article 24: Tailored requirements Regulated institution shall comply with provisions of this regulation, unless the Supervisory authority issue by a Directive tailored requirement proportionate to the nature, size, complexity and maturity in its business operations. Article 24: Exigences adaptées Les institutions réglementées doivent se conformer aux dispositions du présent règlement, l’autorité de contrôle peut par une directive émettre des exigences adaptées, proportionnelles à la nature, à la taille, à la complexité et à la maturité de ses activités.

Official Gazette n° Special of 17/06/2022 394 Ingingo ya 25: Ibihano n’ibyemezo byo mu rwego rw’ubutegetsi Iyo ikigo kigenzurwa cyitabashije kubahiriza ibisabwa muri aya mabwiriza, Urwego rw ‘ubugenzuzi ishobora kugifatira ibihano biteganywa n’amabwiriza rusange yihariye. Article 25: Penalties and administrative sanctions Where a regulated institution fails to satisfy any of the requirements of this Regulation, the Supervisory Authority may apply any sanctions available under relevant provisions of the relevant specific regulations. Article 25: Pénalités et sanctions administratives Lorsqu'une institution réglementée ne satisfait pas à l'une des exigences du présent règlement, l’Autorité de contrôle peut appliquer les sanctions prévues par les dispositions pertinentes des règlements spécifiques concernés. Ingingo ya 26: Igihe cy’inzibacyuho Ibigo bigenzurwa bitari bisanzwe bikurikiza aya mabwiriza rusange bihawe igihe cy’umwaka umwe ngo cyubahirize aya mabwiriza rusange uhereye igihe atangarijwe mu igazetti ya Republika y’u Rwanda. Article 26: Transition period Regulated institutions that do not comply with the provisions of this regulation are given a period of One year to comply with them from the publication in the Official Gazette of the Republic of Rwanda. Article 26: Période de transition Les institutions réglementées qui ne respectent pas les dispositions de ce règlement disposent d'un délai d'un an pour s'y conformer à compter de la publication au Journal Officiel de la République du Rwanda. Ingingo ya 27: Itegurwa, isuzumwa n’iyemezwa ry’aya mabwiriza rusange Aya mabwiriza rusange yateguwe, asuzumwa kandi yemezwa mu rurimi rw’Icyongereza Article 27: Drafting, consideration and approval of this Regulation This regulation was prepared, considered and approved in English Article 27: Initiation, examen et approbation du présent règlement Le présent Règlement a été initié, examiné et approuvé en anglais.

Official Gazette n° Special of 17/06/2022 395 Ingingo ya 28: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza rusange Amabwiriza rusange No 02/2018 yo ku wa 24/01/2018 yerekeye umutekano w’ibijyanye n’ikoranabuhanga mu itangazabumenyi n’itumanaho n’izindi ngingo zose zibanziriza aya mabwiriza rusange zinyuranye na yo zivanyweho. Article 28: Repealing Provision The regulation No 02/2018 of 24/01/2018 on cyber security and any prior provisions contrary to this regulation are hereby repealed. Article 28: Disposition abrogatoire Le règlement N ° 02/2018 du 24/01/2018 sur la cybersécurité et toute disposition antérieure contraire au présent règlement sont abrogés. Ingingo ya 29: Igihe aya mabwiriza rusange atangirira gukurikizwa Aya mabwiriza rusange atangira gukurikizwa ku munsi atangarijweho mu Igazeti ya Leta ya Repubulika y’u Rwanda. Article 29: Commencement This regulation comes into force on the date of its publication in the Official Gazette of the Republic of Rwanda. Article 29: Entrée en vigueur Le présent règlement entre en vigueur le jour de sa publication au Journal Officiel de la République du Rwanda.

Official Gazette n° Special of 17/06/2022 396 Kigali 02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho Ikirango cya Repubulika: Seen and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux

Official Gazette n° Special of 17/06/2022 397 UMUGEREKA WA MBERE: INYANDIKO IGARAGAZA RAPORO Y’IBYABAYE MU MUTEKANO W’IBIJYANYE N’IKORANABUHANGA No Itariki y’igikorwa Isaha y’igikorwa Ubwoko bw’igikorwa Aho ibintu byabereye/ ishami Icyakozwe Igihe byakemukiye Ikigereranyo cy’ingaruka byateje (Mu mafaranga cyangwa mu mikorere) Abashinzwe kubahiriza amategeko bahageze Ibyemezo byafashwe mu gukumira ibindi bikorwa mu hazaza

Official Gazette n° Special of 17/06/2022 398 APPENDIX 1: CYBER SECURITY INCIDENT REPORT FORMAT No Date of Incident Time of Incident Type/Nature of Incident Physical location/branch Action Taken Time of resolution Estimated/actual impact of the incident (Financial and Operational) Law enforcement authorities involved (if applicable) Action Taken to mitigate future incidents

Official Gazette n° Special of 17/06/2022 399 ANNEXE 1 : FORMULAIRE DE RAPPORT D'INCIDENT DE CYBERSECURITE No date de l'incident Heure de l'incident Type / nature de l'incident (a) Emplacement physique / succursale Action prise Temps de résolution Estimé / réel impact de la incident (Financier et Opérationnel) (b) ceux qui appliquent la loi impliqués Mesures prises pour atténuer les incidents futurs

Official Gazette n° Special of 17/06/2022 400 UMUGEREKA WA 2 (Izina ry’ikigo kigenzurwa) Itariki…….. Inyandiko igaragaza ukwisuzuma Inama y'ubutegetsi [cyangwa Umuyobozi mukuru w'ikigo kigenzurwa] iremeza: (1) Inama y’ubutegetsi (cyangwa izina ry'umuyobozi mukuru) yasuzumye inyandiko, raporo, impamyabumenyi n'ibitekerezo by'abo bakozi, abakozi, abahagarariye, abacuruzi bo hanze n'abandi bantu cyangwa bya ngombwa; (2) Mu bumenyi bw’abagize inama y’ubutegetsi [Izina ry’umuyobozi mukuru] Gahunda y’umutekano wa interineti cyangwa gahunda [ izina ry’ikigo kigenzurwa] ku itariki ya …………………/……./….. [Itariki ibyemezo by’inama y’ubutegetsi byafatiweho cyangwa ubuyobozi bukuru mu kubahiriza ibyagaragajwe mu mwaka urangira……../…../ ……….[ Umwaka inama y’ubutegetsi yafatiyeho imyanzura cyangwa iyubahirizwa ry’ibyabonetse yatangiwe] byubahiriza aya mabwiriza rusange [ Nimero y’amabwiriza] (Amazina …………………………………….Itariki: _____

Official Gazette n° Special of 17/06/2022 401 APPENDIX 2 (Regulated Institution Name) Date_ _ Statement of self-assessment The Board of Directors [or a Senior Officer(s) of the regulated institution] certifies: (1) The Board of Directors (or name of Senior Officer(s)) have reviewed documents, reports, certifications and opinions of such officers, employees, representatives, outside vendors and other individuals or entities as necessary; (2) To the best of the Board of Directors [or name of Senior Officer(s)] knowledge, the Cyber security strategy or program of (name of a regulated institution) as of /_____/___ (date of the Board Resolution or Senior Officer(s)) Compliance Finding for the year ended _____ //____________(year for which Board Resolution or Compliance Finding is provided) complies with this Regulation (regulation number). Signed by the Chairperson of the Board of Directors (or the CEO) (Name) ______________________________________ Date: _____

Official Gazette n° Special of 17/06/2022 402 ANNEXE 2 (Nom de l'institution réglementé) Date…….. Déclaration d'auto-évaluation Le conseil d'administration [ou un (des) dirigeant (s) supérieur (s) de l'institution réglementé] certifie: (1) Le conseil d'administration (ou le nom du ou des hauts dirigeants) a examiné les documents, rapports, certifications et opinions de ces dirigeants, employés, représentants, fournisseurs externes et autres personnes ou entités, le cas échéant; (2) Au meilleur de la connaissance du Conseil d'administration [ou nom du ou des hauts fonctionnaires], la stratégie ou le programme de cybersécurité de (Nom de l'institution réglementé) en date du ____ / _____ / _______ (date de la résolution du conseil ou du haut fonctionnaire (s)) La constatation de conformité pour l'année terminée le _____ / ____ / ________________ (année pour laquelle la résolution du Conseil ou la constatation de conformité est fournie) est conforme au présent règlement (numéro de règlement). Signé par le président du conseil d'administration (ou le chef de la direction) (Nom …………………………………….date: _____

Official Gazette n° Special of 17/06/2022 403 Kigali, 02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho Ikirango cya Repubulika: Seen and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux IBONYWE KUGIRANGO BISHYIRWE KU MUGEREKA W’ AMABWIRIZA RUSANGE No 50/2022 YO KU WA 02/06/2022 YEREKEYE UMUTEKANO W’IBIJYANYE N’IKORANABUHANGA MU ITANGAZABUMENYI N’ITUMANAHO MU BIGO BIGENZURWA SEEN TO BE ANNEXED ON REGULATION No50/2022 OF 02/06/2022 ON CYBER SECURITY IN REGULATED INSTITUTIONS VU POUR ETRE ANNEXE AU REGLEMENT No50/2022 DU 02/06/2022 SUR LA CYBERSECURITE DANS LES INSTITUTIONS REGLEMENTEES