Regulation No 43/2022 on Business Continuity Management and Operational Resilience for Regulated Institutions

Official Gazette n° 26 of 27/06/2022 15 AMABWIRIZA RUSANGE No 43/2022 YO KU WA 02/06/2022 AGENGA IMICUNGIRE Y’IKOMEZA RY’IMIRIMO N’UKUDAHUNGABANA K’UBURYO BW’IMIKORERE MU BIGO BIGENZURWA UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere: Icyo aya mabwiriza rusange agamije Ingingo ya 2: Abarebwa n’aya mabwiriza rusange Ingingo ya 3: Ibisobanuro by’amagambo Ingingo ya 4: Imikorere myiza y’ikigo kigenzurwa Ingingo ya 5: Kwangiriza abaguzi n’abagira uruhare mu masoko y’ikigo kigenzurwa UMUTWE WA II: IMICUNGIRE Y’IKOMEZA RY’IMIRIMO Icyiciro cya mbere: Imiterere y’imicungire y’ikomeza ry’imirimo Ingingo ya 6: Inshingano yo kugira REGULATION No 43/2022 OF 02/06/2022 GOVERNING BUSINESS CONTINUITY MANAGEMENT AND OPERATIONAL RESILIENCE FOR REGULATED INSTITUTIONS CHAPTER ONE: GENERAL PROVISIONS Article One: Purpose Article 2: Scope Article 3: Definitions of terms Article 4: Viability of regulated institution Article 5: Harm to consumers and market players of regulated institution CHAPTER II: BUSINESS CONTINUITY MANAGEMENT Section One: Business continuity management framework Article 6: Obligation to have a business RÈGLEMENT No 43/2022 DU 02/06/2022 RÉGISSANT LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS ET LA RÉSILIENCE OPÉRATIONNELLE DANS LES INSTITUTIONS RÉGLEMENTÉES CHAPITRE PREMIER : DISPOSITIONS GÉNÉRALES Article premier: Objet Article 2 : Champ d’application Article 3 : Définitions des termes Article 4: Viabilité de l'institution réglementée Article 5: Dommage aux consommateurs et aux acteurs du marché d'une institution réglementée. CHAPITRE II : GESTION DE LA CONTINUITÉ DES ACTIVITÉS Section première : Cadre de gestion de la continuité des activités Article 6: Obligation de disposer d’une

Official Gazette n° 26 of 27/06/2022 16 imicungire y’ikomeza ry’imirimo Ingingo ya 7: Imicungire y’ikomeza ry’imirimo nka kimwe mu bigize imicungire y’ibyateza ingorane Ingingo ya 8: Ibigize imicungire yikomeza ry’imirimo Ingingo ya 9: Politiki y’imicungire y’ikomeza ry’imirimo Ingingo ya 10: Itsinda rishinzwe imicungire y’ikomeza ry’imirimo Ingingo ya 11: Itsinda rishinzwe ikomeza ry’imirimo Article 12: Imiterere y’imicungire y’ikomeza ry’imirimo ICYICIRO CYA II: ISESENGURA RY’INGARUKA KU MIRIMO Ingingo ya 13: Intego z’isesengura ry’ingaruka ku mirimo Ingingo ya 14: Ibikwiye kwitabwaho mu gihe cy’isesengura ry’ingaruka ku mirimo Ingingo ya 15: Uburyo na tekiniki bikoreshwa mu gukora isesengura ry’ingaruka ku mirimo continuity management Article 7: Business continuity management as part of risk management Article 8: Elements of a business continuity management Article 9: The business continuity management policy Article 10: Business continuity management team Article 11: Responsibilities of business continuity management team Article 12: Status of business continuity management SECTION II: BUSINESS IMPACT ANALYSIS Article 13: Business impact analysis objectives Article 14: Factors to consider in business impact assessment Article 15: Methods and techniques for business impact analysis gestion de la continuité des activités Article 7: Gestion de la continuité des activités comme partie de la gestion des risques Article 8: Éléments de gestion de la continuité des activités Article 9: Politique de gestion de la continuité des activités Article 10: Équipe de gestion de la continuité des activités Article 11: Responsabilités de l'équipe de gestion de la continuité des activités Article 12: État de la gestion de la continuité des activités SECTION II: ANALYSE DE L’IMPACT SUR LES ACTIVITÉS Article 13: Objectifs de l’analyse de l’impact sur les activités Article 14: Facteurs à prendre en compte dans l'évaluation de l'impact sur les activités Article 15: Méthodes et techniques pour l’analyses d’impact sur les activités

Official Gazette n° 26 of 27/06/2022 17 Ingingo ya 16: Isesengura ry’ibyateza ingorane Ingingo ya 17: Intego z’isubukurabikorwa Ingingo ya 18: Gukemura ibibazo na gahunda z’isubukurabikorwa Ingingo ya 19: Uburyo bwo gusubukura ibikorwa ICYICIRO CYA III: GAHUNDA Y’IKOMEZA RY’IMIRIMO Ingingo ya 20: Gahunda y’ikomeza ry’imirimo Article 21 : Gusuzuma gahunda y’ikomeza ry’imirimo Ingingo ya 22: Uburyo bw’igerageza rya gahunda y’ikomeza ry’imirimo ICYICIRO CYA IV: IBISABWA MU ISUBUKURABIKORWA Ingingo ya 23: Ubufatanye mu gukoresha amashami Ingingo ya 24: Kwifashisha undi muntu mu birebana n’ahantu hagenewe isubukurabikorwa mu gihe cy’ibiza Article 16: Risk assessment Article 17: Recovery objectives Article 18: Incidents response and recovery plans Article 19: Recovery arrangements SECTION III: BUSINESS CONTINUITY PLANS Article 20: Business continuity plan Article 21: Testing of business continuity plan Article 22: Business continuity plan testing methods SECTION IV: RECOVERY REQUIREMENTS Article 23: Reciprocal use of branches Article 24: Outsourcing of disaster recovery site and solutions Article 16: Évaluation des risques Article 17: Objectifs de reprise d’activités Article 18 : La réaction aux incidents et plan de reprise d’activités Article 19: Modalités de reprise d’activités SECTION III : PLAN DE CONTINUITÉ DES ACTIVITÉS Article 20 : Plan de continuité des activités Article 21 : Test du plan de continuité des activités Article 22: Méthodes de test du plan de continuité des activités SECTION IV: EXIGENCES DE REPRISE D’ACTIVITÉS Article 23: Utilisation réciproque des branches Article 24 : Externalisation des sites et des solutions de reprise d’activités en cas de sinistre

Official Gazette n° 26 of 27/06/2022 18 n’ibisubizo bijyanye na ryo Ingingo ya 25: Ahantu hagenewe isubukurabikorwa mu gihe cy’ibiza Ingingo ya 26: Ibisubizo bijyanye n’isubukurabikorwa ICYICIRO CYA V: ITUMANAHO Ingingo ya 27: Uburyo bwo gutumanaho mu gihe habayeho ihagarika rikomeye ry’imirimo Ingingo ya 28: Itumanaho ryambukiranya imipaka mu gihe habayeho ihagarika rikomeye ry’imirimo UMUTWE WA III: UKUDAHUNGABANA KW’UBURYO BW’IMIKORERE Igice cya mbere: Imiyoborere Ingingo ya 29: Gushyiraho uburyo bwo kwihanganira ibyateza ingorane Ingingo ya 30: Ishingiro ry’ishyirwaho ry’uburyo bwo kwihanganira ingaruka Ingingo ya 31: Inshingano z'ubuyobozi bukuru Ingingo ya 32: Kumenyekanisha uburyo Article 25: Disaster recovery site Article 26: Recovery solutions SECTION V: COMMUNICATIONS Article 27: Communication procedures in the event of major disruption Article 28: Cross-border communication in the event of a major operational disruption CHAPTER III: OPERATIONAL RESILIENCE Section one: Governance Article 29: Formulation of risk tolerance Article 30: Basis for expression of impact tolerance Article 31: Responsibilities of senior management Article 32: Communication of Article 25 : Site de reprise d’activités en cas de sinistre Article 26 : Solutions de reprise d’activités SECTION V : COMMUNICATION Article 27 : Communication en cas de perturbations majeures des activités Article 28: Communication transfrontalière en cas de perturbations majeures CHAPITRE III : RÉSILIENCE OPÉRATIONNELLE Section première: Gouvernance Article 29 : Formulation de la tolérance au risque Article 30: Base de l'expression de la tolérance à l'impact Article 31 : Responsabilités de la haute direction Article 32 : Communication de

Official Gazette n° 26 of 27/06/2022 19 bwerekeye ukudahungabana kw’uburyo bw’imikorere Icyiciro cya 2: Gucunga ibyateza ingorane mu mikorere Ingingo ya 33: Ubufatanye hagati ya serivisi no kuzihuza Ingingo ya 34: Amabwiriza asanzwe ariho Igice cya 3: Imikoranire n’uburyo bwo kunganirana Ingingo ya 35: Igaragazwa ry’imikoranire n’uburyo bwo kunganirana Ingingo ya 36: Gusuzuma ibyateza ingorane bikomotse ku kwishingikiriza ku bandi Igice cya 4: Imicungire y’ibibazo Ingingo ya 37: Aho imicungire y’ikibazo igarukira Ingingo ya 38: Gusuzuma uburyo bwo guhangana n’ikibazo n’uburyo bwo gusubukura imirimo Igice cya 5: Ikoranabuhanga mu itangazabumenyi n’itumanaho operational resilience approach Section 2: Operational risk management Article 33 Collaboration and coordination between functions Article 34: Existing regulatory frameworks Section 3: Interconnections and interdependencies Article 35: Identification of interconnections and interdependencies Article 36: Third-party dependency risk assessment Section 4: Incidents management Article 37: The scope of incident management Article 38: Review of incident response and recovery procedures Section 5: Information and communication technology l'approche de résilience opérationnelle Section 2 : Gestion du risque opérationnel Article 33 : Collaboration et coordination entre les fonctions Article 34 : Cadres réglementaires existants Section 3: Interconnexions et interdépendances Article 35: Identification des interconnexions et des interdépendances Article 36 : Évaluation des risques liés à la dépendance d'un tiers Section 4 : Gestion des incidents Article 37 : Échelle de la gestion des incidents Article 38: Révision de réponse aux incidents et des procédures de la reprise d’activités Section 5: Technologies de l'information et de la communication

Official Gazette n° 26 of 27/06/2022 20 Ingingo ya 39: Politiki y’ikoranabuhanga mu itangazabumenyi n’itumanaho Ingingo ya 40: Gutuma abantu benshi kandi bari kure bagera ku makuru UMUTWE WA IV : INGINGO ZINYURANYE N’IZISOZA Ingingo ya 41: Gushyikiriza raporo ku Rwego rw’ubugenzuzi Ingingo ya 42: Ibisabwa bikwiranye n’ikigo kigenzurwa Ingingo ya 43: Ibihano byerekeye imyitwarire Ingingo ya 44: Igihe cy’inzibacyuho Ingingo ya 45: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza Ingingo ya 46: Itegurwa, isuzumwa n’iyemezwa ry’aya mabwiriza rusange Ingingo ya 47: Igihe aya mabwiriza atangirira gukurikizwa Article 39: Information communication technology policy Article 40: Implementation of wide-scale remote-access CHAPTER IV: MISCELLANEOUS AND FINAL PROVISIONS Article 41: Reports to the supervisory authority Article 42: Tailored requirements Article 43: Disciplinary sanctions and penalties Article 44: Transitional period Article 45: Repealing of inconsistent provisions Article 46: Drafting, consideration and approval of this regulation Article 47: Commencement Article 39: Politique en matière de technologies de l'information et de la communication Article 40: Mise en œuvre de l’accès à distance à grande échelle CHAPITRE III: DISPOSITIONS DIVERSES ET FINALES Article 41: Rapport à l’autorité de contrôle Article 42 : Exigences adaptées Article 43: Sanctions disciplinaires et pénalités Article 44 : Période de transition Article 45: Disposition abrogatoire Article 46: Initiation, examen et approbation du présent règlement Article 47: Entrée en vigueur

21 AMABWIRIZA No 43 /2022 YO KU WA 02/06/2022 RUSANGE AGENGA IMICUNGIRE Y’IKOMEZA RY’IMIRIMO N’UKUDAHUNGABANA K’UBURYO BW’IMIKORERE MU BIGO BIGENZURWA Ishingiye ku Itegeko N° 48/2017 ryo ku wa 23/09/2017 rigenga Banki Nkuru y’u Rwanda nk’uko ryahinduwe kugeza ubu, cyane cyane mu ngingo zaryo, iya 6, iya 6 bis , iya 8, iya 9 ; iya 10 n’iya 15; Ishingiye ku Itegeko N° 47/2017 ryo ku wa 23/09/2017 rigena imitunganyirize y’imirimo y’amabanki, cyane cyane mu ngingo zaryo, iya 37 n’iya 117; Ishingiye ku Itegeko N° 030/2021 ryo ku wa 30/06/2021 rigenga imitunganyirize y’umurimo w’ubwishingizi cyane cyane mu ngingo zaryo, iya 56, iya 57 n’iya 60 n’iya 82; Iashingiye ku Itegeko N° 05/2015 ryo ku wa 30/03/2015 rigenga imitunganyirize y’ubwiteganyirize bwa pansiyo cyane cyane mu ngingo yayo ya 3; Ishingiye ku Itegeko N° 072/2021 ryo ku wa 05/11/2021 rigenga ibigo by’imari iciriritse byakira amafaranga abitswa, REGULATION No 43/2022 OF 02/06/2022 GOVERNING BUSINESS CONTINUITY MANAGEMENT AND OPERATIONAL RESILIENCE FOR REGULATED INSTITUTIONS Pursuant to Law N° 48/2017 of 23/09/2017 governing the National Bank of Rwanda as amended to date, especially in its Articles 6, 6 bis, 8, 9; 10 and 15; Pursuant to Law N° 47/2017 of 23/09/2017 governing the organization of banking, especially in its Articles 37 and 117; Pursuant to Law N° 030/2021 of 30/06/2021 governing the organisation of insurance business, especially in its articles 56, 57, 58, 60 and 82; Pursuant to Law N° 05/2015 of 30/03/2015 governing the organization of pension schemes especially in its article 3; Pursuant to Law N° 072/2021 of 05/11/2021 governing deposit-taking microfinance institutions, especially in its RÈGLEMENT No 43/2022 DU 02/06/2022 RÉGISSANT LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS ET LA RÉSILIENCE OPÉRATIONNELLE DANS LES INSTITUTIONS RÉGLEMENTÉES Vu la Loi N° 48/2017 du 23/09/2017 régissant la Banque Nationale du Rwanda telle que modifiée à ce jour, spécialement en ses articles 6, 6 bis, 8, 9 ; 10 and 15 ; Vu la Loi N° 47/2017 du 23/09/2017 portant organisation de l’activité bancaire, spécialement en ses articles 37 et 117 ; Vu la Loi N° 030/2021 du 30/06/2021 régissant l’organisation d’activité d’assurance, spécialement en ses articles 56, 57, 58, 60 et 82 ; Vu la Loi N° 05/2015 du 30/03/2015 régissant l’organisation des régimes de pension spécialement en son article 3 ; Vu Loi N° 072/2021 du 05/11/2021 régissant les institutions de microfinance de dépôt, spécialement en ses articles 23 et 24 ;

22 cyane cyane mu ngingo zaryo, iya 23 n’iya 24; Ishingiye ku Itegeko N° 061/2021 ryo ku wa 14/10/2021 rigenga uburyo bwo kwishyurana, cyane cyane mu ngingo yaryo ya 8 ; Ishingiye ku Itegeko Nº 73/2018 ryo ku wa 31/08/2018 rigena uburyo bw’ihererekanyamakuru ku myenda cyane cyane mu ngingo iya 9, iya 13 n’iya 23; Isubiye ku mabwiriza rusange N° 04/2018 yo ku wa 24/01/ 2018 yerekeye imicungire y’ikomeza ry’imirimo; Banki Nkuru y’u Rwanda, mu ngingo zikurikira yitwa «Urwego rw’ubugenzuzi» , ishyizeho aya mabwiriza rusange akurikira : UMUTWE WA MBERE: INGINGO RUSANGE Ingingo ya mbere: Icyo aya mabwiriza agamije Aya mabwiriza rusange agamije guteza imbere, kunoza no gushyiraho ukudahungabana kw’uburyo bw’imikorere bw’ikigo kigenzurwa mu rwego rwo gukurikirana ko gifite ubushobozi bwo articles 23 and 24; Law N° 061/2021 of 14/10/2021 governing the payment system, especially in its article 8; Pursuant to Law Nº 73/2018 of 31/08/2018 governing credit reporting system, especially in its articles 9, 13 and 23; Having reviewed the Regulation N° 04/2018 of 24/01/ 2018 on business continuity management; The National Bank of Rwanda hereinafter referred to as the «Supervisory Authority», issues the following regulation: CHAPTER ONE: GENERAL PROVISIONS Article One: Purpose This regulation aims at promoting, enhancing, and ensuring operational resilience for a regulated institution to ensure that it is able to continue operations on a going concern while minimizing Vu la Loi N° 061/2021 du 14/10/2021 régissant le système de paiement, spécialement en son article 8 ; Vu la Loi Nº 73/2018 du 31/08/2018 régissant le système d’information sur les crédits, spécialement en ses articles 9,13 et 23 ; Ayant revu le Règlement N° 04/2018 du 24/01/ 2018 sur la gestion de la continuité des activités ; La Banque Nationale du Rwanda, ci-après dénommée « Autorité de contrôle », édicte le présent règlement : CHAPITRE PREMIER : DISPOSITIONS GÉNÉRALES Article premier: Objet Le présent règlement vise à promouvoir, améliorer et assurer la résilience opérationnelle d’une institution réglementée afin de s’assurer qu’elle est en mesure de poursuivre ses opérations en

23 gukomeza ibikorwa byacyo kigabanya ibihombo mu gihe habayeho ihagarika rikomeye ry’imirimo. Ingingo ya 2: Abarebwa n’aya mabwiriza Aya Mabwiriza rusange akurikizwa mu bigo bigenzurwa. Ingingo ya 3: Ibisobanuro by’amagambo Muri aya mabwiriza rusange, amagambo akurikira asobanura: 1º Ikigo kigenzurwa: ikigo cyemerewe gukora kandi kigenzurwa kigenzurwa n’ Urwego rw’Ubugenzuzi; 2º inama y’ubutegetsi: inama y’ubutegetsi n’inama y’abacunga iby’abandi b’umwuga z’ibigo bigenzurwa; 3º imicungire y’ikomeza ry’imirimo: uburyo bwo kubona imirimo muri rusange bukubiyemo politiki, ibigenderwaho, ingamba n’ibikurikizwa bituma ibikorwa runaka bikomeza gukorwa cyangwa bigasubizwa ku murongo losses in the event of major operational disruptions. Article 2: Scope This Regulation applies to regulated institutions. Article 3: Definitions of terms For the purposes of this Regulation, the following terms and expressions means: 1º a regulated institution: any financial institution licensed and supervised by the Supervisory Authority; 2º board of directors: board of directors and board of trustees for regulated institutions; 3º business continuity management (BCM): a whole-of-business approach that includes policies, standards, frameworks and procedures for ensuring that specific operations can be maintained or recovered in a timely activité, tout en minimisant les pertes en cas de perturbations opérationnelles majeur. Article 2 : Champ d’application Le présent règlement s'applique à toute institution réglementée. Article 3 : Définitions des termes Aux fins du présent règlement, les termes et expressions suivants signifient : 1° Une institution règlementée: toute institution agrée et supervisée par l’Autorité de contrôle ; 2° conseil d'administration: conseil d'administration et conseil des fiduciaires pour les institutions réglementées ; 3° gestion de la continuité des activités (BCM): approche globale qui comprend des politiques, des normes, des cadres et des procédures pour assurer que les opérations spécifiques peuvent être maintenues ou recouvrées en temps opportun en

24 mu gihe gikwiye iyo hari icyabihagaritse. Iyi micungire igamije kugabanya ibyateza ingaruka zijyanye n’ibikorwa, n’imari, n’amategeko, n’isura by’ikigo ndetse n’izindi ngaruka zigaragara zituruka ku ihagarara ; 4º gahunda y’ikomeza ry’imirimo (BCP): gahunda y’ibikorwa yuzuye kandi yanditse igaragaza uburyo bukoreshwa kugira ngo ibikorwa by’ikigo kigenzurwa bikomeze cyangwa byongere gukora mu gihe habayeho ihungabana kandi ikanashyiraho inzira n’uburyo bikenewe kugira ngo bikorwe; 5º ikomeza ry’imirimo: ubushobozi bw’ikigo kigenzurwa bwo gukomeza imirimo y’ingenzi ku rugero runaka rwateganyijwe mu gihe habaye ikibazo kiyikoma mu nkokora; 6º isesengura ry’ingaruka ku mirimo (BIA): uburyo bwo kugaragaza no gupima (mu ngano no mu ireme) imirimo na serivisi by’ingenzi, ubushobozi bw’ingenzi bw’imbere mu kigo n’ubuva hanze n’urugero rw’ubudahungabanywa fashion in the event of disruption and whose purpose is to minimize the operational, financial, legal, reputational and other material risks arising from disruption; 4º business continuity plan (BCP): a comprehensive and documented plan of action that sets out procedures and establishes the processes and systems necessary to continue and/or restore the operations of a regulated institution in the event of a disruption; 5º business continuity: the capability of a regulated institution to continue delivering its critical activities to pre-defined levels during a disruptive incident; 6º business impact analysis (BIA): the process of identifying and measuring (quantitatively and qualitatively) critical operations and services, key internal and external dependencies and appropriate resilience levels. It cas de perturbation. Son but est de minimiser les risques opérationnelles, financières, juridiques, de réputation et d’autres risques matérielles résultant d’une interruption ; 4° plan de continuité des activités (BCP): un plan d’action complet et documenté qui définit les procédures et établit les procédés et systèmes nécessaires pour poursuivre ou rétablir le fonctionnement d’une organisation en cas de perturbation ; 5° continuité des activités: la capacité d'une institution réglementée à continuer à exercer ses activités critiques à des niveaux prédéfinis lors d'un incident perturbateur ; 6° analyse d’impact sur les activités (BIA): le processus d'identification et d’évaluation (quantitativement et qualitativement) des opérations et services clés, des principales dépendances internes et externes et des niveaux de résilience

25 bukwiye. Hasuzumwa ingorane n’ingaruka zishobora kuba zitewe n’ihagarika ry’imirimo mu buryo butandukanye hashingiwe ku byakwangirika mu kigo kigenzurwa ku rwego rw’imari, rw’amabwiriza n’amategeko ndetse n’isura by’ikigo ; 7º itsinda rishinzwe imicungire y’amage: itsinda rigizwe n’abayobozi bakuru ba ngombwa, abafatanyabikorwa b’ingenzi (ni ukuvuga uhagarariye itangazamakuru, umujyanama mu mategeko, ushinzwe ibikoresho, umuhuzabikorwa mu bikorwa byo gutabara n’abandi) n’abashinzwe imirimo y’ingenzi y’ikigo bashinzwe ibikorwa byo kuzahura imirimo mu gihe cy’amage; 8º amage: ikintu cyose cyabaho bikagira ingaruka ku mirimo, ku bakozi, ku gaciro k’abanyamigabane, k’abafatanyabikorwa, ku kirango cy’ibicuruzwa, ku isura y’ikigo, ku cyizere cyangwa/ndetse no ku ngamba cyangwa intego by’ikigo kigenzurwa ; 9º ibikorwa by’ingenzi: imirimo, assesses the risks and potential impact of various disruption scenarios on a regulated institution financial, regulatory, legal and reputational damage basis; 7º crisis management team: a team consisting of key executives, key role players (i.e., media representative, legal counsel, facilities manager, disaster recovery coordinator, etc.), and the appropriate business owners of critical functions who are responsible for recovery operations during a crisis; 8º crisis: an event, occurrence and/or perception that threatens the operations, staff, shareholder value, stakeholders, brand, reputation, trust and/or strategic/business goals of a regulated institution; 9º critical business operations: the appropriés. Elle évalue les risques et l'impact potentiel de divers scénarios de perturbation sur le plan des dommages financiers, réglementaires, légaux et sur le plan des dommages liés à la réputation d’une institution réglementée; 7° équipe de gestion de crise: une équipe composée des principaux dirigeants, des acteurs clés (c’est-à￾dire représentants des médias, conseillers juridiques, gestionnaires des installations, coordinateur de la reprise des activités après désastre , etc), et les propriétaires réels des fonctions clés de l’organisation qui sont responsables de la reprise des opérations au cours d’une crise ; 8° crise: un événement, incident et / ou une perception qui menace les opérations, le personnel, la valeur des actionnaires, les parties prenantes , la marque, la réputation, la confiance et/ ou les objectifs stratégiques/commerciaux d’une institution réglementée; 9° opérations des activités

26 ibikoresho n’ibikorwaremezo bishobora, mu gihe bihagaritswe, kugira ingaruka ikomeye ku mirimo y’ikigo kigenzurwa, isura yacyo, inyungu zacyo, abakibitsamo cyangwa abishingiwe n”abandi bafatanyabikorwa; 10º serivisi z’ingenzi: igikorwa cyose, umurimo, akazi cyangwa serivisi yabura bikagira ingaruka zikomeye ku mikomereze y’imirimo y’ikigo kigenzurwa; 11º ahantu hagenewe isubukurabikorwa mu gihe cy’ibiza: ahantu hateganyijwe gukoreshwa mu gihe habaye ihagarika rikomeye ry’imirimo ku buryo imirimo y’ikigo kigenzurwa ikomeza 12º ikiza: impanuka ikomeye ibayeho ku buryo butunguranye kandi itateganyijwe igatuma Ikigo kibura ubushobozi bwo gukora imirimo, uburyo na serivisi bya ngombwa mu gihe runaka kitifuzwa igateza igihombo kitifujwe; business functions, resources and infrastructure that may, if disrupted, have a material impact on a regulated institution’s business functions, reputation, profitability, depositors and/or policyholders and other stakeholders; 10º critical services: any activity, function, process or service, the loss of which would be material to the continued operation of a regulated institution; 11º disaster recovery site: a site held in readiness for use in the event of a major disruption that maintains a regulated institution business continuity; 12º disaster: a sudden, unplanned catastrophic event that compromises an organization´s ability to provide critical functions, processes, or services for some unacceptable period of time, causing unacceptable damage or essentielles: les fonctions commerciales, les ressources et les infrastructures qui, si elles sont perturbées, peuvent avoir un impact important sur les fonctions commerciales, la réputation, la rentabilité, les déposants et/ou les assurés et les autres les parties prenantes d'une institution réglementée ; 10° services essentiels: toute activité, fonction, processus ou service dont la perte serait importante pour la continuité des opérations d’une institution réglementée; 11° site de reprise d’activités en cas de désastre: un site tenu prêt à l'emploi en cas de perturbation majeure qui assure la continuité des activités d'une institution réglementée ; 12° désastre : événement catastrophique soudain et imprévu qui compromet la capacité d’une organisation à fournir les fonctions, procédés ou services essentiels pendant une certaine période de temps inacceptable, causant des

27 13º gahunda y’ingoboka yihutirwa: ibikorwa bigomba gukorwa nyuma y’uko habaye ikibazo kibangamira imirimo na/cyangwa ubuzima bw’abantu kandi bigomba kuba birimo ibijyanye n’imicungire y’imikoranire n’ababagana n’imikoranire myiza n’abayobozi b’inzego za Leta bireba. Urugero: polisi, abakora muri serivisi yo kurwanya inkongi, serivisi z’ubuzima, n’abayobozi b’inzego z’ibanze ; 14º itsindary’imbangukiragutabara: ikigo icyo ari cyo cyose gishinzwe gutabara rubanda mu gihe habayeho ibiza (nk’ishami rirwanya inkongi, serivisi za polisi, ibitaro); 15º imyitozo: uburyo bwo gusuzuma no kwitoza gahunda z’ikomeza ry’imirimo bikorewe ahantu hagenzurwa hakoreshejwe abagize itsinda n’abakozi; 16ºIyangirizwa : kutanyurwa guterwa na serivisi mbi ikigo kigenzurwa giha abakigana cyangwa, ku loss; 13º emergency procedures: a set of actions to be taken following an incident which jeopardizes business operations and/ or human life and which should include arrangements for public relations management and for effective liaison with appropriate public authorities e.g. police, fire service, health-care services and local government; 14º emergency response team: any organization that is responsible for responding to hazards to the general population (e.g. fire brigades, police services, hospitals); 15º exercising: the process through which business continuity plans are tested, rehearsed in a controlled environment using team members and staff; 16º harm: dissatisfaction caused by poor service of a regulated institution to customers or, on the dommages ou perte inacceptables; 13° procédures d’urgence : les actions à entreprendre suite à un incident compromettant les activités et / ou la vie humaine et qui devraient inclure des dispositions pour la gestion des relations publiques et une liaison efficace avec les autorités publiques concernées, par exemple, la police, les services d’incendie, les services de santé et les autorités locales ; 14° équipe d’intervention d’urgence: tout organisme chargé de répondre aux dangers pour la population en général (par exemple les pompiers, les services de police, les hôpitaux); 15° exercice: le processus par lequel les plans de continuité des activités sont testés, répétés dans un environnement contrôlé en utilisant les membres de l’équipe et le personnel; 16° dommage: insatisfaction causée par le mauvais service d'une institution réglementée aux clients ou, du côté

28 ruhande rw’abitabira isoko, ingorane ziterwa n’ihagarika rikomeye ry’imirimo bigatuma urwego rw’imari rudakora neza bikaba byanatuma abantu batera icyizere isoko ndetse bikaba byanatera ihungabana rikomeye ry’imirimo yarwo; 17º kwihanganira ingaruka: ubushobozi bw’ikigo bwo kwihanganira ihagarika ry’imirimo, hateganyijwe ko ihagarika rya serivisi runaka rishobora kubaho; 18º imicungire y’ikibazo: uburyo bwo kumenya ikibazo, kugisesengura, kugikosora no kucyigiraho ndetse no kwirinda ko cyongera kubaho cyangwa kugabanya ubukana bwacyo; 19º ikibazo: ibintu biriho cyangwa byabayeho bihagarika imirimo ku buryo bifite cyangwa byagize ingaruka mbi ku mirimo n’ibikorwa by’ingenzi y’ikigo kigenzurwa cyangwa bigatuma abakiriya batagerwaho na serivisi uko byari biteganyijwe; side of market participants, risks that major operational disruptions pose to the smooth operating of financial markets and the potential threat to market confidence that can result from a substantial disruption; 17º impact tolerances: institution’s tolerance for disruption, under the assumption that disruption to a particular business service may occur; 18º incident management: the process of identifying, analysing, rectifying and learning from an incident and preventing recurrences or mitigating the severity thereof; 19º incident: current or past disruptive event the occurrence of which would negatively affect or had negatively effected critical operations or services of a regulated institution or an expected level of service delivery to customer; des participants au marché, risques que les perturbations opérationnelles majeures posent au bon fonctionnement des marchés financiers et menace potentielle pour la confiance du marché qui peut résulter d'une perturbation grave ; 17° seuil maximum de perturbation : tolérance de l'institution à l'égard des perturbations, au cas où un service commercial particulier serait perturbé; 18° gestion des incidents : processus consistant à identifier, analyser, rectifier et tirer les leçons d'un incident et à en prévenir la répétition ou en atténuer la gravité ; 19° incident: événements perturbateurs actuels ou passés dont la survenance affecterait négativement ou avait affecté les opérations ou services essentielles d'une institution réglementée oula prestation de services au client comme anticipé;

29 20º ihagarika rikomeye ry’imirimo: ihagarikwa ry’imirimo isanzwe y’ikigo rifite ingaruka zikomeye ku hantu hagari ndetse n’ahahakikije n’abahaturiye kandi imibereho yabo mu bukungu ari ho ishingiye; 21º ukudahungabana kw’uburyo bw’imikorere: ubushobozi bw’ikigo kigenzurwa bwo gukora imirimo y’ingenzi mu gihe hari ihagarika ry’imirimo. Ubu bushobozi bufasha ikigo kigenzurwa kumenya no kwirinda ibyagihungabanya, guhangana n’ihagarika ry’imirimo no kuryitwaramo neza, ndetse no kwikura muri icyo kibazo no kugikuramo amasomo mu rwego rwo kugabanya ingaruka byagira ku itangwa ry’ imirimo y’ingenzi mu gihe cy’ihagarika ry’imirimo; 22º icyateza ingorane zerekeye imikorere: ikintu cyateza igihombo biturutse ku mikorere y’imbere idahwitse cyangwa mibi, ku bantu n’uburyo cyangwa ku mpamvu ziturutse hanze; 23º kwimura amakuru ku gihe: uburyo bwo gukura amakuru 20º major operational disruption: a high impact disruption of normal business operations, affecting a large geographic area and adjacent communities that are economically integrated to it; 21º operational resilience: the ability of a regulated institution to deliver critical operations through disruption. This ability enables a regulated institution to identify and protect itself from threats and potential failures, respond and adapt to, as well as recover and learn from disruptive events in order to minimize their impact on the delivery of critical operations through disruption; 22º operational risk: the risk of loss from inadequate or failed internal processes, people and systems or from external events; 23º real-time data replication: instantaneous regeneration and 20° perturbation opérationnelle majeur: une perturbation ayant un impact grave sur les opérations commerciales normales, affectant une vaste zone géographique et les communautés adjacentes qui lui sont économiquement intégrées ; 21° résilience opérationnelle : capacité d'une institution réglementée à mener à bien les opérations essentielles en cas de perturbation. Cette capacité permet à une institution réglementée d'identifier et de se protéger contre les menaces et les défaillances potentielles, de réagir et de s'adapter aux événements perturbateurs, ainsi que de s'en remettre et d'en tirer des enseignements afin de minimiser leur impact sur la réalisation des opérations essentielles par le biais de perturbations ; 22° risque opérationnel: le risque de perte provenant des processus internes inadéquats ou défaillants, de personnes et systèmes ou provenant d’événements extérieurs; 23° réplication des données en temps réel: régénération et récupération

30 ahantu hagenewe isubukurabikorwa mu gihe cy’ibiza agasubizwa ahakusanyirizwa amakuru mu kigo kigenzurwa nyuma y’ihagarikwa ry’imirimo y’ahakusanyirizwa amakuru mu kigo kigenzurwa; 24º intego y’isubukurabikorwa: intego igaragazwa mbere kugira ngo imirimo runaka ndetse n’ibikoresho byayo bisubukurwe ku rwego runaka (urwego rw’isubukurabikorwa) mu gihe runaka nyuma y’ihagarikwa (igihe cy’isubukurabikorwa); 25º intego y’igihe cy’isubukura bikorwa: igaragaza igihe runaka amakuru agomba kuba yongeye kuboneka kugira ngo ba nyir’ibikorwa bakoresha ayo makuru bashobore kuyemera. Ibi bifatwa nk’igihe kiri hagati y’igihe amakuru ya nyuma yabikiwe n’igihe ihagarikabikorwa ryashoboraga kubaho. Intego y’igihe cy’isubukurabikorwa ishyirwaho hashingiwe ku kureba igihe cyakwihanganirwa cyo kubura amakuru cyangwa igihe yongeye kubonekera; recovery of data from disaster recovery site to the data centre of a regulated institution after a disruption in the data centre of a regulated institution; 24º recovery objective: a predefined goal for recovering specific business operations and supporting systems to a specified level of service (recovery level) within a defined period following a disruption (recovery time); 25º recovery point objective (RPO): a point in time to which data must be restored in order to be acceptable to the owner of the processes supported by that data. This is often thought of as the time between the last available backup and the time a disruption could potentially occur. The RPO is established based on tolerance for loss of data or re￾entering of data; instantanées des données du site de reprise d’activités en cas de désastre vers le centre de données d'une institution réglementée après une perturbation dans le centre de données d'une institution réglementée ; 24° objectif de la reprise d’activités: un objectif prédéterminé de récupération des activités commerciales spécifiques et les systèmes d'appui y relatifs à un niveau de service fixé (niveau de reprise) pendant une période définie après une interruption (temps de reprise); 25° Objectif de point de reprise d’activités: un point dans le temps auquel les données doivent être restaurées afin d’être acceptables par le propriétaire des processus qui utilise ces données. Il est souvent considéré comme la période entre la dernière sauvegarde disponible et le moment où une rupture éventuelle pourrait se produire. L’objectif de point de reprise d’activités est établi en fonction de la tolérance de perte de données ou de la réinsertion de données;

31 26º intego y’igihe cy’isubukurabikorwa: igihe gisabwa kugira ngo imirimo runaka isubukurwe. Icyo gihe kigizwe n’ibice bibiri: igihe cyo gushyira mu bikorwa gahunda y’ikomeza ry’imirimo n’igihe cyo gusubukura imirimo; 27º isubukurabikorwa: kongera kubaka ibikorwa by’imirimo runaka kugeza ku gipimo gihagije nyuma y’ihagarikwa ryayo ku buryo ikigo gishobora kurangiza inshingano zacyo zitararangizwa; 28º ahantu hamwe honyine hatuma imirimo ihagarara: ahantu hamwe hatanga serivisi, igikorwa ndetse/cyangwa hakorerwa imirimo hadashobora gusimburwa kandi mu gihe hatariho bigatuma akazi runaka ka ngombwa gapfa. Ingingo ya 4: Imikorere myiza y’ikigo kigenzurwa Ikigo kigenzurwa kigomba gukora imirimo n’ubucuruzi byacyo mu buryo burambye, bwizewe kandi butuma butajegajega. Kubera ibivugwa mu gika kibanziriza iki, ikigo kigenzurwa kigomba kurinda no 26º recovery time objective (RTO): the duration of time required to resume a specified business operation. It has two components, the duration of time from activation of the business continuity plan and the recovery of business operations; 27º recovery: the rebuilding of a specific business operation following a disruption to a level sufficient to meet outstanding business obligations; 28ºsingle point of failure: a unique source of a service, activity, and/or process where, there is no alternative and whose loss could lead to the failure of a critical function. Article 4: Viability of regulated institution A regulated institution shall run its operations and business in a sustainable, safe and sound manner. For the purpose of preceding paragraph, a regulated institution shall maintain and 26° durée maximale d'interruption admissible (RTO): la durée de temps nécessaire pour reprendre une activité déterminée. Il a deux composantes : la durée du temps d’activation du plan de continuité des activités et la reprise des activités; 27° Reprise d’activités: le rétablissement à un niveau suffisant d’une activité spécifique suite à une interruption pour remplir les obligations d’affaires inexécutées; 28° point de défaillance unique: une source unique d’un service, d’une activité et/ou d’un processus qui n’a aucune alternative et dont la perte pourrait conduire à l’échec d’une fonction essentielle. Article 4 : Viabilité de l'institution réglementée Une institution réglementée doit mener ses opérations et activités commerciales d’une manière durable, sûre et saine. Aux fins de l’alinéa précédent, une institution réglementée doit maintenir et

32 kongera ukudahungabana kw’uburyo bw’imikorere bwacyo, cyane cyane kugira ngo gihangane n’ibyateza ingorane zivuka muri iki gihe zirimo umutekano w’urusobe rwa mudasobwa. Ingingo ya 5: Kwangiriza abaguzi n’abagira uruhare mu masoko y’ikigo kigenzurwa Ikigo kigenzurwa kigomba kugabanya uko bishoboka kose ukwangirizwa kw’abaguzi no kwangirizwa cyo ubwacyo kwatewe n’ihagarika rikomeye ry’imirimo. Ukubangamirwa ku bigo bigenzurwa n’abandi bagira uruhare mu masoko guterwa n’ihagarikwa rikomeye ry’imirimo harimo: 1º kudakora kwa serivisi zihuriweho cyangwa igikorwaremezo cy’isoko risangiwe; 2º kugera ku makuru y’ibanga mu buryo butagenzuwe no kuyakoresha nabi; 3º kudashobora kubona amakuru y’isoko mu kugena ibiciro ; raise its operational resilience, particularly in response to emerging risks including cyber security. Article 5: Harm to consumers and market players of regulated institution A regulated institution shall minimize harm both to consumers and to itself caused by major operational disruption. Harm to regulated institutions and other market participants may rise from major operational disruption and includes: 1° the failure of a shared facility or market infrastructure; 2° uncontrolled access to and misuse of market sensitive data; 3° the inability to access market data for pricing; and renforcer sa résilience opérationnelle, en particulier pour répondre aux risques émergents y compris la cybersécurité. Article 5 : Dommage aux consommateurs et aux acteurs du marché d'une institution réglementée. Une institution réglementée doit réduire au minimum le dommage causé tant aux consommateurs qu'à elle-même par une perturbation opérationnelle majeure. Le dommage causé aux institutions réglementées et aux autres acteurs du marché peut découler de la perturbation opérationnelle majeur et comprend : 1º la défaillance d'une facilité ou d'une infrastructure de marché partagée ; 2º l'accès non contrôlé à des données sensibles du marché et leur utilisation abusive ; 3º l'impossibilité d'accéder aux données du marché pour la tarification ; et

33 4º kudashobora gutanga serivisi za nyuma yo kugurisha. Mu byangiriza abaguzi harimo guhungabana: 1º muri serivisi z’ubucuruzi zisanzwe zihari; 2º muri serivisi nshya z’ubucuruzi; 3º mu bikorwa bituma igicuruzwa kiboneka; 4º kw’umutekano w’amakuru y’ibanga arebana n’isoko. UMUTWE WA II: IMICUNGIRE Y’IKOMEZA RY’IMIRIMO Icyiciro cya mbere: Imiterere y’imicungire y’ikomeza ry’imirimo Ingingo ya 6: Inshingano yo kugira imicungire y’ikomeza ry’imirimo Ikigo kigenzurwa kigomba buri gihe kugira uburyo buhamye bwo gucunga ikomeza ry’imirimo. Hashingiwe ku bivugwa mu gika kibanziriza iki cy’iyi ngingo, Inama 4° the inability to complete post-sale activity. Harm to consumers includes disruption to: 1° ongoing availability of existing business services; 2° supply of new business services; 3° availability of a vital link in a value chain; 4° the security of market sensitive data. CHAPTER II: BUSINESS CONTINUITY MANAGEMENT Section One: Business continuity management framework Article 6: Obligation to have a business continuity management A regulated institution shall have a strong business continuity management at all time. For the purpose of Paragraph One of this Article, the board of directors of a 4º l'impossibilité de terminer les activités qui suivent la vente. Le dommage aux consommateurs comprend la perturbation à: 1° la disponibilité des services commerciaux existants; 2° la fourniture de nouveaux services commerciaux; 3° la disponibilité d'un lien vital dans une chaîne de valeur ; 4° la sécurité des données sensibles du marché. CHAPITRE II : GESTION DE LA CONTINUITÉ DES ACTIVITÉS Section première : Cadre de gestion de la continuité des activités Article 6: Obligation de disposer d’une gestion de la continuité des activités Une institution réglementée doit en tout temps disposer d’une gestion de la continuité des activités solide. Aux fins de l’alinéa premier du présent article, le conseil d'administration d'une

34 y’ubutegetsi y’ikigo kigenzurwa igomba: 1º kwemeza imicungire y’ikomeza ry’imirimo; 2º gutegura gahunda y’ikomeza ry’imirimo ishyira imbere imirimo y’ibanze, igena abakozi ndetse n’ibikenerwa bihagije, ikora igenzura, yemeza gahunda yo gukomeza imirimo, isesengura ibyavuye mu masuzuma kandi ireba iyubahirizwa rya gahunda iriho; 3º gushyiraho itsinda rishinzwe ikomeza ry’imirimo aho ihitamo ry’abarize rigomba gushingira ku miterere y’imirimo, ingano, urusobe by’ikigo kigenzurwa, ndetse n’aho giherereye; 4º kugaragaza neza uruhare n’inshingano za buri muntu uri mu itsinda rishinzwe ikomeza ry’imirimo; 5º gushyiraho itsinda rishinzwe imicungire y’amage; 6º kugaragaza ibikorwa byihutirwa regulated institution shall: 1° approve a business continuity management; 2° perform business continuity planning prioritizing critical business functions, allocating sufficient resources and personnel, providing oversight, approving the business continuity plan, reviewing test results and ensuring maintenance of the current plan; 3° to put in place business continuity team whose members’ selection should consider the nature of business activities, size, complexity, and geographical location of a regulated institution; 4° clearly define the roles and responsibilities for each person involved in business continuity management team; 5° establish a crisis management team; 6° re-prioritize and re-allocate institution réglementée doit : 1º approuver la gestion de la continuité des activités ; 2º faire la planification de la continuité des activités en donnant priorité aux fonctions essentielles, en affectant des ressources et le personnel suffisants, en assurant la supervision, en approuvant le plan de continuité des activités, en évaluant des résultats des tests et en s’assurant du maintien du régime actuel ; 3º mettre en place une équipe chargée de la continuité des activités dont la sélection des membres est subordonnée à la nature des activités, la taille, la complexité et la localisation géographique d’une institution règlementée ; 4º définir clairement les rôles et responsabilités de chaque personne impliquée dans l'équipe de gestion de la continuité des activités ; 5º mettre en place une équipe de gestion de crise ; 6º redéfinir les priorités et réaffecter

35 kurusha ibindi no kongera kubigenera ibikenewe hagamijwe kwihutisha isubukurabikorwa; 7º kwishingira no kubazwa ibice bimwe by’umurimo byerekeye ikomeza ry’imirimo bihabwa abandi bantu , mu gihe ikigo kigenzurwa gihisemo kubikora; 8º kugaragaza, gusuzuma no gucunga ibyateza ingorane bishingiye ku gukomeza imirimo kugira ngo ikigo kimenye neza ko gishobora gusohoza inshingano zerekeye imari na serivisi gifitiye abakibitsamo, abafatabwishingizi n’abandi kibereyemo umwenda; 9º gufata ibyateza ingorane ikomeza ry’imirimo n’igenzura ryaryo nk’ibigize uburyo rusange bwo gucunga ibyateza ingorane no kwemeza politiki y’imicungire y’ikomeza ry’imirimo; 10º guhuza n’igihe politiki yo gucunga ikomeza ry’imirimo igaragaza intego zayo n’uburyo ikoresha ku birebana n’imicungire y’ikomeza ry’imirimo; 11º gukurikirana ko ibyateza ingorane resources in order to expedite recovery; 7° to be responsible and accountable for outsourced portions of the business continuity function, if a regulated institution opts to do so; 8° identify, assess and manage potential business continuity risks to ensure that it is able to meet its financial and service obligations to its depositors, policyholders and other creditors; 9° consider business continuity risks and controls as part of its overall risk management systems and approve a business continuity management policy; 10° up-date business continuity management policy that sets out its objectives and approach in relation to business continuity management; 11° ensure that the institution’s les ressources afin d’accélérer la reprise d’activités; 7º être responsable et rendre compte des parties de la fonction de continuité des activités externalisées, si une institution réglementée choisit de le faire ; 8º identifier, évaluer et gérer les risques potentiels de continuité des activités afin de s'assurer qu'elle est en mesure de remplir ses obligations financières et de service envers ses déposants, ses assurés et ses autres créanciers ; 9º considérer les risques et les contrôles de continuité des activités comme faisant partie de son cadre global de gestion des risques et approuver une politique de gestion de la continuité des activités ; 10º actualiser la politique de gestion de la continuité des activités qui définit ses objectifs et son approche en matière de gestion de la continuité des activités ; 11º veiller à ce que les risques et les

36 mu ikomeza ry’imirimo y’ikigo n’igenzura ryaryo byitabwaho mu buryo rusange bw’imicungire y’ibyateza ingorane. Inama y’ubutegetsi y’ikigo kigenzurwa ishinzwe gucunga ikomeza ry’imirimo, haba mu gihe imirimo ikorwa cyangwa idakorwa n’abandi bantu cyangwa mu rwego rw’itsinda ry’amasosiyete. Ingingo ya 7: Imicungire y’ikomeza ry’imirimo nka kimwe mu bigize imicungire y’ibyateza ingorane Gahunda y’ikomeza ry’imirimo igomba kuba kimwe mu bigize imicungire y’ibyateza ingorane muri rusange mu kigo kigenzurwa kandi ikaba ikubiye mu buryo bw’imikorere yacyo. Hashingiwe ku bivugwa mu gika cya mbere cy’iyi ngingo, inama y’ubutegetsi n’ubuyobozi bukuru bikora ku buryo: 1° abakozi bahugurwa kandi bamenyeshwa uruhare rwabo mu gushyira mu bikorwa gahunda y’ikomeza ry’imirimo; 2° ibikenewe mu birebana n’abakozi business continuity risks and controls are taken into account as part of its overall risk management systems. The board of a regulated institution remains responsible for business continuity management whether or not business operations are outsourced or are part of a corporate group. Article 7: Business continuity management as part of risk management Business continuity management shall form an integral part of the overall risk management of a regulated institution and shall be embedded in its operations. For the purpose of Paragraph One of this Article, the board of directors and senior management shall ensure that: 1° employees are trained and made aware of their roles in the implementation of the business continuity plan; 2° sufficient human and financial contrôles de continuité des activités de l'institution soient pris en compte dans le cadre global de gestion des 12º risques. Le Conseil d'administration d'une institution réglementée reste responsable de la gestion de la continuité des activités, bien que les opérations commerciales soient externalisées ou pas ou qu'elles fassent partie d'un groupe de sociétés. Article 7: Gestion de la continuité des activités comme partie de la gestion des risques La continuité des activités doit faire partie de cadre global de gestion des risques d’une institution réglementée et intégrée dans ses opérations. Aux fins de l’alinéa premier du présent article, le conseil d'administration et la direction s’assurent que: 1° les employés sont formés et conscients de leurs rôles dans l’exécution du plan de continuité des activités; 2° des ressources humaines et

37 n’imari biboneka mu gushyigikira imicungire y’ikomeza ry’imirimo; na 3° gahunda z’ikomeza ry’imirimo zita ku bijyanye n’ibikorwa na tekiniki ariko ko zinita ku bijyanye no kurinda ubuzima bw’abantu. Ingingo ya 8: Ibigize imicungire yikomeza ry’imirimo Imicungire y’ikomeza ry’imirimo y’ikigo kigenzurwa ikubiyemo nibura: 1° politiki y’imicungire y’ikomeza ry’imirimo; 2° inyigo y’ingaruka ku mirimo; 3° intego n’ingamba z’isubukurabikorwa; 4° gahunda y’ikomeza ry’imirimo; 5° gahunda zo: a. gusuzuma no kugerageza gahunda resources are made available to provide support for business continuity management; and 3° the business continuity plans not only consider the business process and technical aspects, but also recognize the protection of human life. Article 8: Elements of a business continuity management A business continuity management of a regulated institution shall, at a minimum, include: 1° a business continuity management policy; 2° a business impact analysis; 3° recovery objectives and strategies; 4° a business continuity plan; 5° programs for: a. review and testing of the financières suffisantes sont disponibles pour fournir un soutien à la gestion de continuité des activités; et 3° les plans de continuité tiennent compte non seulement des processus d’activités et des aspects techniques, mais aussi reconnaissent la protection de la vie humaine. Article 8: Éléments de gestion de la continuité des activités La gestion de la continuité des activités d'une institution réglementée comprend au minimum : 1° une politique de gestion de la continuité des activités ; 2° une analyse d’impact sur les activités; 3° objectifs et stratégies de reprise d’activités ; 4° un plan de continuité des activités ; 5° des programmes pour : a. réexamen et le test du plan

38 y’ikomeza ry’imirimo; b. guhugura no gukangurira abakozi ibirebana n’imicungire y’ikomeza ry’imirimo. Ingingo ya 9: Politiki y’imicungire y’ikomeza ry’imirimo Politiki y’imicungire y’ikomeza ry’imirimo igomba kujyana n’imiterere, ingano n’urusobe by’ibikorwa by’ikigo kigenzurwa. Politiki y’ikomeza ry’imirimo igomba kwemezwa n’inama y’ubutegetsi ikanavugururwa igihe cyose bibaye ngombwa. Ubuyobozi bukuru n’abakuru b’imirimo y’ingenzi bagomba kugira uruhare rugaragara mu ishyirwa mu bikorwa rya politiki y’imicungire y’ikomeza ry’imirimo. Urwego rw’umurimo rucunga ibyateza ingorane, n’urushinzwe iyubahirizwa zigomba kugira uruhare mu gushyiraho politiki y’imicungire y’ikomeza ry’imirimo kandi urwego rw’ubugenzuzi bw’imbere mu kigo rukagira inshingano zo guhora ruyigenzura. business continuity plan b. training and ensuring awareness of staff in relation to business continuity management. Article 9: The business continuity management policy The business continuity management policy shall be commensurate with the nature, size and complexity of a regulated institution’s operations. The business continuity policy must be approved and validated by the Board of directors of a regulated institution and shall be reviewed when situation so requires. The senior management and the heads of business line shall be strongly involved in the implementation of the business continuity management policy. The risk management function and the compliance function shall be committed to the design of the business continuity management policy and the internal audit function must be involved in its regular audit. de continuité des activités ; b. la formation et la sensibilisation du personnel en matière de gestion de la continuité des activités. Article 9: Politique de gestion de la continuité des activités La politique de gestion de la continuité des activités doit être adaptée à la nature, à la taille et à la complexité des activités de l’institution réglementée. La politique de continuité des activités doit être approuvée et validée par le conseil d’administration et doit être revue lorsque la situation l'exige. La direction et les responsables d’unités opérationnelles doivent être fortement impliqués dans la mise en œuvre de la politique de gestion de la continuité des activités. La fonction de gestion des risques et la fonction de conformité doivent s’engager dans la conception de la politique de gestion de la continuité des activités et la fonction d’audit interne doit être impliquée dans son audit régulier.

39 Mu gusuzuma politiki yacyo y’imicungire y’ikomeza ry’imirimo, ikigo kigenzurwa kigomba kureba ko ingamba gishobora gufata igihe izindi zinaniwe cyangwa zidakora neza zijyanye n’uburyo bw’imikorere bwacyo, ibyateza ingorane, imbaraga ikigo kigenzurwa gifite zo guhangana n’ibyakiburabuza zikitezweho n’ibikorwa byihutirwa mu gusubukura imirimo Politiki y’imicungire y’ikomeza ry’imirimo igomba gusobanura neza uruhare, inshingano ndetse n’abakozi bashinzwe kugira icyo bakora mu rwego rw’imicungire y’ikomeza ry’imirimo. Ingingo ya 10: Itsinda rishinzwe imicungire y’ikomeza ry’imirimo Ikigo kigenzurwa kigomba kugira itsinda rishinzwe imicungire y’ikomeza ry’imirimo rigizwe nibura n’aba bakurikira: 1° umuhuzabikorwa (uturuka mu buyobozi bukuru); 2° umukozi ushinzwe gucunga ibyateza ingorane; 3° abakuriye inzego z’imirimo; In reviewing its business continuity management policy, a regulated institution shall ensure that contingency strategies remain consistent with current operations, risks, threats, resiliency expectations and recovery priorities. The business continuity management policy shall clearly state the roles, responsibilities and authorities to act in relation to the business continuity management. Article 10: Business continuity management team A regulated institution shall have a business continuity management team that shall be comprised of at least: 1° coordinator (drawn from the senior management); 2° risk management officer; 3° functional department Lors de la révision de sa politique de gestion de la continuité des activités, une institution réglementée doit veiller à ce que les stratégies de contingence demeurent cohérentes aux opérations, risques, menaces, attentes en matière de résilience et priorités de reprise d’activités. La politique de gestion de la continuité des activités doit définir clairement les rôles, les responsabilités et les autorités chargées d’agir dans le cadre de la gestion de la continuité des activités. Article 10: Équipe de gestion de la continuité des activités Une institution réglementée doit disposer d'une équipe de gestion de la continuité des activités comprenant au moins : 1° un coordinateur (provenant de la direction); 2° un responsable de la gestion des risques; 3° les chefs de départements.

40 Ingingo ya 11: Itsinda rishinzwe ikomeza ry’imirimo Inshingano z’ibanze z’itsinda rishinzwe ikomeza ry’imirimo zirimo izi zikurikira: 1° gushyiraho gahunda y’ikomeza ry’imirimo yemezwa n’inama y’ubutegetsi, ishingiye ku nzego eshanu (5) zikurikira zigaragaza imigendekere y’imicungire y’ikomeza ry’imirimo: a. urwego rw’ingamba: gusuzuma imiterere y’inzego z’imirimo hitawe ku bafatanyabikorwa b’ingenzi, ibisabwa mu rwego rw’amategeko n’amabwiriza yerekeranye n’ikomeza ry’imirimo; b. urwego rw’ibikorwa by’ikigo: gutegura ingamba zo gusubukura ibikorwa n’uburyo bw’imikorere; c. abantu n’ibikoresho bikenerwa kugira ngo imirimo ikomeze: heads Article 11: Responsibilities of business continuity management team The major responsibilities of the business continuity team include the following: 1° to develop a business continuity plan, for board approval, along the following five (5) levels which reflect the business continuity management life cycle: a. strategic level: examine the organizational framework taking note of the key business stakeholders, legislative and regulatory requirements in relation to business continuity; b. process level: develop resumption strategies for business processes and activities; c. resource recovery: ensure the deployment of appropriate Article 11: Responsabilités de l'équipe de gestion de la continuité des activités Les principales responsabilités de l'équipe de continuité des activités sont les suivantes: 1° élaborer un plan de gestion de la continuité des activités pour approbation par le conseil d’administration, selon les cinq (5) niveaux suivants qui reflètent le cycle de vie de la gestion de la continuité des activités: a. au niveau stratégique: examiner le cadre organisationnel en tenant en considération les parties prenantes clés, des exigences législatives et réglementaires en rapport avec la continuité des activités ; b. au niveau des processus opérationnels: élaborer des stratégies de reprise d’activités pour les processus opérationnels et les activités; c. ressources de reprise d’activités: assurer le

41 kureba ko ibikoresho byose byatanzwe uko bikwiye ku buryo butuma imirimo ikomeza mu nzira zose z’ibikorwa; d. ubukangurambaga no kwigisha: gushyiraho umuco werekeye ikomeza ry’imirimo binyuze mu isuzuma rya gahunda z’ubukangurambaga ku ikomeza ry’imirimo. Kumenya ko abayobozi b’imicungire y’ikomeza ry’imirimo babihuguwemo n’umuntu ubifitemo ubushobozi n’uburambe; e. gusuzuma, kwita ku bikoresho, gupima no kugenzura: kumenya ko gahunda y’imicungire y’ikomeza ry’imirimo y’Ikigo yizewe binyuze mu gukora igenzura n’isuzuma ku buryo bwigenga. 2° kumenya ko ibipimo ari nyabyo hakoreshejwe amafishi bigakorwa buri mwaka.; 3° gukurikirana ko ibipimo by’ubushobozi bw’isubukurabikorwa bitangwa; resources to ensure appropriate continuity across all business processes and activities; d. awareness and education: develop a business continuity culture through assessment of business continuity awareness campaigns. Ensure that the business continuity management managers are trained by an experienced business continuity management trainer; e. testing, maintenance, measurement and audit: Ensure reliability of the business continuity plan of an organization through independent review and testing. 2° to ensure appropriate measurements through scorecards are done on an annual basis; 3° ensure a recovery capability measurement is offered; déploiement des ressources appropriées pour assurer une continuité appropriée dans tous les processus opérationnels et les activités; d. sensibilisation et éducation: développer une culture de la continuité des activités à travers l’évaluation des campagnes de sensibilisation sur la continuité des activités. S’assurer que les responsables de la gestion de la continuité des activités sont formés par un formateur expérimenté; e. test, entretien, mesure et audit: s’assurer de la fiabilité du plan de continuité des activités d’une organisation à travers une vérification et un test menés de façon indépendante. 2° s’assurer que des mesures appropriées par le biais des tableaux de bord de gestion sont faits annuellement ; 3° s’assurer qu’une mesure de capacité de reprise d’activités est offerte;

42 4° gukurikirana ko gahunda y’ikomeza ry’imirimo ishyirwa mu bikorwa hakorwa buri mwaka: a. isesengura ry’ingaruka ku mirimo ; b. isesengura ry’ibyateza ingorane ikigo cyose; c. imicungire y’ibyateza ingorane n’ikurikirana ryabyo kugira ngo hamenyekane ibikorwa bya ngombwa n’ibibazo bikomeye bishobora kubaho bigahagarika imirimo. Article 12: Imiterere y’imicungire y’ikomeza ry’imirimo Itsinda rishinzwe ikomeza ry’imirimo rigomba guha ku buryo buhoraho inama y’ubutegetsi n’ubuyobozi bukuru raporo ku miterere y’imicungire y’ikomeza ry’imirimo igaragaza ahagaragaye ibyuho. Ibi bikorwa muri raporo ku ishyirwa mu bikorwa, raporo ku mbogamizi, ibyagaragajwe n’isuzuma ndetse na gahunda zirebana na byo kugira ngo gahunda y’ikomeza ry’imirimo yongererwe ingufu. 4° ensure the implementation of the business continuity plan by annually conducting: a. a business impact analysis ; b. an enterprise – wide risk assessment; and c. a risk management and risk monitoring to identify the critical activities and potential major disruptions. Article 12: Status of business continuity management The business continuity team shall submit a report on the status of business continuity management to the board and senior management on a regular basis, highlighting where gaps are identified. This is through implementation status reports, incident reports, testing results and related plans for strengthening the business continuity plan. 4° s’assurer de la mise en exécution du plan de continuité des activités en procédant périodiquement à: a. l’analyse de l’impact sur les activités ; b. l’évaluation des risques à l’échelle de l’entreprise ; c. la gestion des risques et le suivi des risques pour identifier les activités essentielles et les perturbations majeures éventuelles. Article 12: État de la gestion de la continuité des activités L’équipe chargée de la continuité des activités doit transmettre régulièrement le rapport sur l’état de la gestion de la continuité des activités au Conseil d’administration et à la direction tout en soulignant des lacunes identifiées. Ceci se fait à travers de rapports d’état d’exécution, des rapports d’incident, des résultats des tests et les plans connexes pour le renforcement du plan de continuité des activités.

43 Impinduka muri gahunda y’ikomeza ry’imirimo zigomba gukurikiza uburyo ikigo kigenzurwa gisanzwe gikoresha mu gucunga impinduka ku birebana na politiki n’imikorere biri mu nyandiko zacyo. Ubu buryo bwo kugenzura impinduka bugomba kugaragaza ko gahunda zahujwe n’igihe zatanzwe kandi zinonosorwa binyuze mu mavugurura ahoraho akorwa kuri gahunda yose. ICYICIRO CYA II: ISESENGURA RY’INGARUKA KU MIRIMO Ingingo ya 13: Intego z’isesengura ry’ingaruka ku mirimo Isesengura ry’ingaruka ku mirimo, ku byerekeranye n’ikigo kigenzurwa, rigomba nibura: 1° kumvikanisha intego za ngombwa, ibyihutirwa n’iteganyagihe ryo gusubukura imirimo; 2° kugaragaza amakuru y’ingenzi n’ibikorwaremezo ayo makuru ashingiraho; 3° guha umwanya w’ibanze umutekano w’ikoranabuhanga mu itangazabumenyi n’itumanaho Changes in the business continuity plan shall follow a regulated institution’s formal change management process in place for its policy or procedure documents. This formal change control process shall ensure that the updated plans are distributed and reinforced by regular reviews of the complete plan. SECTION II: BUSINESS IMPACT ANALYSIS Article 13: Business impact analysis objectives Business impact analysis shall, in relation to the regulated institution, at least: 1° provide an understanding of most critical objectives, priority and the timeframes for resumption of business operations; 2° identify their critical information assets and the infrastructure upon which it depends; 3° prioritize cyber security efforts based on the significance of the critical information assets critical Les changements au plan de continuité d’activités doivent suivre le processus formel en place de gestion du changement de l’institution réglementée pour ses documents de politiques ou de procédures. Ce processus formel de contrôle des changements doit s’assurer que les plans mis à jour sont distribués et renforcés par des examens réguliers du plan complet. SECTION II: ANALYSE DE L’IMPACT SUR LES ACTIVITÉS Article 13: Objectifs de l’analyse de l’impact sur les activités L’analyse de l’impact sur les activités doit, en relation avec une institution réglementée, au moins : 1° faire comprendre des objectifs les plus essentiels , la priorité et les délais pour la reprise des activités commerciales; 2° identifier leurs informations critiques et les infrastructures dont elle dépend ; 3° donner la priorité aux efforts de cybersécurité en fonction de l'importance d’informations

44 hakurikijwe agaciro k’umutungo urebana n’amakuru y’ingenzi ku mirimo hubahirizwa ibisabwa byose mu rwego rw’amabwiriza n’amategeko akurikizwa; 4° gutanga amakuru akurikira yerekeye ibisabwa mu mitunganyirize y’akazi buri gihe kugira ngo buri mirimo ushobore gukorwa ku buryo bukomeza cyangwa isubukurabikorwa ribe mu gihe cyateganyijwe: a. umubare w’abakozi n’ubumenyi bwabo bw’ingenzi; b. ikoreshwa ry’amakuru n’urusobe by’amakuru yo mu bwoko bw’ikoranabuhanga; c. imbogamizi zituma ikigamijwe kigorana kukigeraho; d. ibikorwa by’ingenzi cyangwa akazi bikeneye kubikwa kugira ngo uburyo bw’imikorere ndetse n’imirimo bikomeze; e. abantu, uburyo bw’imikorere, inzira zikoreshwa, abafatanyabikorwa b’ikigo baba operations while observing all legal and regulatory requirements into force; 4° provide the following information about resource required over time to enable each business function within the organization achieve continuity or resumption of activity within the established timeframes: a. staff numbers and key skills; b. data applications and systems; c. constraints; d. Mission Critical Activities (MCA’s) or tasks that need to be recorded to ensure continuity of the process and business; e. dependencies on people, systems, processes, internal and external parties; essentielles pour les activités essentielles tout en respectant toutes les exigences légales et réglementaires en vigueur ; 4° fournir les informations suivantes sur les ressources nécessaires au fil du temps pour permettre à chaque unité opérationnelle de l'organisation d'assurer la continuité ou la reprise d'activité dans les délais fixés: a. le nombre d’employés et les compétences clés; b. les applications et systèmes de données; c. contraintes; d. les activités essentielles ou les tâches qui doivent être enregistrées pour assurer la continuité du processus et des activités; e. dépendances sur des personnes, des systèmes, des processus ainsi que des parties internes et externes;

45 ab’imbere cyangwa hanze ikigo gikeneye kugirango kibashe gukora; f. igihe cy’isubukurabikorwa (RTO) n’intego y’amakuru agomba kugarurwa kugira ngo ibikorwa bisubukurwe cyangwa igikorwa cy’ingenzi (RPO) cyangwa imirimo ikigo gikeneye kubika; 5° kugaragaza isesengura ry’ingaruka z’uburyo koranabuhanga rigaragaza cyane cyane: a. aho buherereye; b. abakuriye abafite ishami ry’akazi; c. amakuru ku buryo koranabuhanga; d. amatariki yo gutangira gukoreshwa; e. umukozi w’umutekinisiye ubishinzwe; f. intego y’igihe cyo kugarura amakuru, intego y’igihe cy’isubukurabikorwa n’ g. urutonde rw’uburyo bwo guhitamo f. Recovery time objective (RTO) and Recovery Point Objective (RPO) for every Mission Critical Activities (MCA) or business that needs to be recorded. 5° provide an impact assessment of systems highlighting: a. location; b. department unit heads; c. information on IT system; d. commissioning dates; e. technical person responsible; f. Recovery Time Objective, Recovery Point Objective; and g. a list of recovery options for f. objectif de délai de reprise d’activité s (RTO) et objectif de point de reprise d’activités(RPO) pour toutes les activités essentielles (MCA) ou pour l’activité qui doit être enregistrée; 5° évaluer l’impact des systèmes mettant en évidence: a. l’emplacement; b. les propriétaires du département ; c. l’information sur le système informatique ; d. les dates de mise en service ; e. le responsable technique ; f. Objectif de délai de reprise d’activités, Objectif de point de reprise d’activités ; et g. une liste des options de reprise

46 isubukurabikorwa kuri buri mikorere y’umurimo. Isesengura ry’ingaruka ku mirimo rigomba kwemezwa n’amashami y’akazi cyangwa abakuru b’imirimo mu buryo buzwi bagaragaza ko bumvise, bemeye kandi basuzumye ko iryo sesengura ry’ingaruka ku mirimo ari nyaryo. Ingingo ya 14: Ibikwiye kwitabwaho mu gihe cy’isesengura ry’ingaruka ku mirimo Mu gihe cyo gusuzuma ingaruka ku mirimo, ikigo kigenzurwa kigomba kwita: 1° ku buryo butandukanye imirimo ishobora guhagararamo mu bihe bitandukanye; 2° ku gihe ikigo kigenzurwa gishobora kumara kidakora kidafite buri murimo w’ingenzi; 3° ingaruka z’ihagarara ry’imirimo y’ingenzi ku baguzi n’abandi bafatanyabikorwa mu mirimo y’ikigo kigenzurwa; each business process. Business impact analysis shall be signed off by department or functional heads through a formal functional process stipulating that they understand, accept and verified that the business impact assessments are correct. Article 14: Factors to consider in business impact assessment When conducting the business impact assessment, the regulated institution considers: 1° plausible disruption scenarios over varying periods of time; 2° the period of time for which the regulated institution could not operate without each of its critical business operations; 3° the impact of disruption to the critical business operations on consumers and other stakeholders d’activités pour chaque processus d’activités. Les analyses de l’impact sur les activités doivent être signés par les chefs de département ou les chefs de services à travers un processus formel fonctionnel stipulant qu’ils comprennent, acceptent et ont vérifié si les analyses d’impact sur les activités sont correctes. Article 14: Facteurs à prendre en compte dans l'évaluation de l'impact sur les activités Lors de l'évaluation de l'impact sur les activités, l'institution réglementée prend en considération : 1° des scénarios de perturbation plausibles sur des périodes variables ; 2° la période pendant laquelle l'institution réglementée ne pourrait pas fonctionner sans chacune de ses opérations commerciales essentielles; 3° les conséquences d’une perturbation des activités essentielles sur les consommateurs

47 4° n’ingaruka zerekeye imari, amategeko, n’isura y’ikigo ihagarara ry’imirimo y’ikigo kigenzurwa ryagira mu bihe bitandukanye. Ingingo ya 15: Uburyo na tekiniki bikoreshwa mu gukora isesengura ry’ingaruka ku mirimo Uburyo bukurikira bukomatanyirijwe hamwe, ariko butagarukira ku bukurikira, bukoreshwa mu gukora isesengura ry’ingaruka ku mirimo: 1° urutonde rw’ibibazo; 2° kugirana ibiganiro; 3° n’imyiherero y’akazi Ibivuye mu isesengura ryakozwe hashingiwe ku buryo buvugwa mu gika cya mbere cy’iyi ngingo bishingirwaho mu ishyirwaho rya gahunda y’ikomeza ry’imirimo. Amakuru yose y’ingenzi abikwa kugirango yifashishwe. of a regulated institution’s service; and 4° the financial, legal, regulatory and reputational impact of a disruption to regulated institution’s critical business operations over varying periods of time. Article 15: Methods and techniques for business impact analysis A combination of methods and techniques, not limited to the following are used to carry out business impact analysis: 1° questionnaires; 2° interviews, and 3° workshops. The outcome obtained in accordance with business impact analysis carried out in line with a combination of methods and techniques mentioned on paragraph One of this Article provides a basis for the business continuity plan. All relevant information shall be stored for reference. et autres parties prenantes du service d'une institution réglementée; et 4° l'impact financier, juridique, réglementaire et sur la réputation issue de la perturbation dans les opérations commerciales essentielles d'une institution réglementée au cours des périodes de temps variables. Article 15: Méthodes et techniques pour l’analyses d’impact sur les activités Une combinaison des méthodes et techniques, ne se limitant pas aux suivantes, est utilisée pour effectuer l’analyse de l’impact sur les activités: 1° des questionnaires ; 2° des interviews ; et 3° des ateliers Le résultat obtenu conformément à l'analyse d'impact sur l'activité réalisée conformément à une combinaison de méthodes et de techniques mentionnées au premier paragraphe du présent article sert de base au plan de continuité des activités. Toutes les informations pertinentes sont

48 Ingingo ya 16: Isesengura ry’ibyateza ingorane Isesengura ry’ibyateza ingorane risuzuma imirimo yihutirwa cyane yagaragajwe n’isesengura ry’ingaruka ku mirimo. Isesengura ry’icyateza ingorane riteganya nibura kugera ku bintu bikurikira: 1° kugaragaza ubucucike bw’iby’ibyateza ingorane butakwemerwa n’ahantu hamwe honyine hatuma imirimo ihagarara; 2° kugaragaza ibishobora guhungabanya bishobora guturuka imbere mu kigo cyangwa hanze byatuma imirimo ihagarara no gusuzuma ikigero cyabo cyo kuba byabaho n’ingaruka byagira; 3° gushyira imbere ibishobora guhungabanya hashingiwe ku miterere y’ikigo; 4° gutanga amakuru y’uburyo bwo gucunga icyateza ingorane ndetse na gahunda y’ibikorwa yerekeye Article 16: Risk assessment A risk assessment examines the most urgent business functions identified during business impact analysis. A risk assessment shall at minimum achieve the following: 1° identify unacceptable concentrations of risk and single point of failure; 2° identify internal and external threats that may cause a disruption and assess their probability and impact; 3° prioritize threats according to the institution; 4° provide information for a risk control management strategy and an action plan for risks to be conservées à titre de référence. Article 16: Évaluation des risques Une évaluation des risques examine les fonctions d’activité les plus urgentes identifiées lors de l’analyse de l’impact sur les activités. Une évaluation des risques atteint, au minimum, les objectifs suivants: 1° identifier des concentrations inacceptables des risques et des points uniques de défaillance; 2° identifier les menaces internes et externes qui peuvent causer une perturbation et évaluer leur probabilité et impact; 3° accorder la priorité aux menaces en fonction de l’institution; 4° fournir des informations pour une stratégie de gestion du contrôle des risques et un plan d’action pour les

49 ibibazo byateza ingorane byakemurwa; 5° koroshya ibyateza ingorane hakoreshejwe gahunda yo kubikemura ifite inyandiko ishingiyeho; 6° ingaruka ku kuzahura ibikorwa by’ingenzi; Mu buryo na tekiniki bikoreshwa mu gukora inyigo y’ibyateza ingorane hakubiyemo: 1° amakuru ashingiye ku ibarurishamibare; 2° imibare yatangajwe igaragaza inshuro ibiza bibaho; 3° uburyo bwerekeye kugaragaza ibipimo by’ibyago byo guhura n’ingorane, ingaruka zazo, ndetse n’ubushobozi; 4° isesengura ry’ibyuho; 5° isuzuma ry’ubudahungabana; addressed; 5° mitigation of risks through a documented remediation plan; 6° impact on restoring critical business functions; The methods and techniques to be used to provide a risk assessment include: 1° statistics data; 2° published disaster frequency statistics; 3° scoring systems for impact, probability and ability; 4° gap analysis; 5° stress testing. risques à traiter; 5° atténuation des risques à travers un plan de remédiation documenté ; 6° impact sur le rétablissement des fonctions essentielles de l’entreprise, Les méthodes et techniques à utiliser dans l’évaluation du risque comprennent notamment: 1° les données statistiques; 2° les statistiques publiées sur la fréquence des catastrophes; 3° le système de notation pour l’impact, la probabilité et la capacité; 4° l’analyse des écarts; 5° test de résistance

50 Ingingo ya 17: Intego z’isubukurabikorwa Ikigo kigenzurwa kigaragaza kandi kigashyiraho intego z’isubukurabikorwa zikwiye n’ingamba z’ishyirwamubikorwa hashingiwe ku byavuye mu isesengura ry’ingaruka ku mirimo no ku miterere, ingano n’urusobe byacyo. Intego z’isubukurabikorwa zigomba kuba zifite aho zihuriye n’ibyateza ingorane izo ntego zateza mu mikorere y’ikigo kigenzurwa. Hashingiwe ku bivugwa mu gika kibanziriza iki, itsinda rishinzwe imicungire y’ikomeza ry’imirimo y’ikigo kigenzurwa rigomba: 1 º gusesengura ibyateza ingorane intego z’isubukurabikorwa zateza urwego rw’imari hashingiwe kuri serivisi z’ingenzi gitanga ndetse n’uburemere bwazo ku rwego rw’imari; 2 º kugaragaza imirimo n’ibikorwa bigomba gusubukurwa mbere y’ibindi; 3 º gushyiraho intego Article 17: Recovery objectives A regulated institution identifies and develop appropriate recovery objectives and implementation strategies based on the results of the business impact analysis and its nature, size and complexity. The recovery objectives reflect the risk they represent to the operation of regulated institution. For the purpose of preceding paragraph, a regulated institution´s business continuity management team must: 1° make an assessment of the risks recovery objectives may pose to the financial sector based on critical services they provide and their significance to the financial system; 2° identify those business functions and operations to be recovered on a priority basis; 3° establish recovery objectives Article 17: Objectifs de reprise d’activités Une institution réglementée identifie, et développe des objectifs de reprise d’activités appropriés et des stratégies de mise en œuvre sur la base des résultats de l'analyse de l'impact sur les activités et de sa nature, de sa taille et de sa complexité. Les objectifs de reprise d’activités doivent refléter le risque qu’ils représentent pour le fonctionnement de l’institution réglementée. Aux fins de l’alinéa précédent, l’équipe chargée de la gestion de continuité des activités de l’institution réglementée doit: 1 º faire une évaluation des risques que les objectifs de reprise d’activités peuvent représenter au secteur financier en fonction des services essentiels qu’elles fournissent et leur importance pour le système financier; 2 º identifier les activités et les opérations à rétablir prioritairement ; 3 º établir des objectifs de la reprise

51 z’isubukurabikorwa zijyanye n’ingorane zishobora guteza urwego rw’imari. Ingingo ya 18: Gukemura ibibazo na gahunda z’isubukurabikorwa Ikigo kigenzurwa gishyiraho kandi kigashyira mu bikorwa uburyo bwo gukemura ibibazo ndetse na gahunda z’isubukuramirimo mu rwego rw’imicungire y’ibibazo bishobora guhagarika ibikorwa by’ingenzi. Ikigo kigenzurwa kigomba kunoza gahunda zo gukemura ibibazo no gusubukura imirimo kita ku masomo cyakuye mu bibazo byabanje. Ingingo ya 19: Uburyo bwo gusubukura ibikorwa Ikigo kigenzurwa gisuzuma ko uburyo bwerekeye isubukurabikorwa buboneye mu gihe cyo gusuzuma niba gahunda y’ikomeza ry’imirimo y’ikigo ishobora gukorana n’ihagarika rikomeye ry’imirimo. Isuzuma rigamije kureba ko uburyo bwerekeye isubukurabikorwa riboneye rigomba gusesengura ibi bikurikira: 1° niba ahandi hantu hakorerwa ari proportional to the risk they pose to the financial system. Article 18: Incidents response and recovery plans A regulated institution shall develop and implement response and recovery plans to manage incidents that are likely to disrupt the delivery of critical operations. A regulated institution shall continuously improve their incident response and recovery plans by incorporating the lessons learned from previous incidents. Article 19: Recovery arrangements A regulated institution shall review the adequacy of recovery arrangements when evaluating whether an institution’s business continuity plan is able to accommodate major operational disruptions. The review of the adequacy of recovery arrangements must assess the following areas among others: 1° whether the alternate site is d’activités proportionnels au risque qu’ils représentent pour le système financier. Article 18 : La réaction aux incidents et plan de reprise d’activités Une institution réglementée élabore et met en œuvre des plans de réaction et de reprise d’activités pour gérer les incidents susceptibles de perturber la réalisation des activités essentielles. Une institution réglementée améliore continuellement ses plans de réaction et de reprise d’activités en cas d'incident en intégrant les leçons tirées des incidents précédents. Article 19: Modalités de reprise d’activités Une institution réglementée doit examiner la justesse des dispositions de reprise d’activités lors de l’évaluation pour savoir si son plan de continuité des activités peut supporter des perturbations opérationnelles majeures. L’examen de l’adéquation des dispositions de reprise d’activités doit évaluer les domaines suivants entre autres: 1° si le site alternatif est suffisamment

52 kure bihagije y’ishami rikuru ry’ikigo kigenzurwa; 2° ahantu ho kwimukira mu gihe cy’ibiza hafite ibikoresho bihagije, amakuru ndetse n’ubushobozi byo mu rwego rw’ikoranabuhanga bifasha gukomeza ibikorwa na serivisi z’ibanze mu gihe gihagije; 3° ibarura ry’imitungo (kaseti zibitse amakuru y’ingoboka, imiyoboro y’itumanaho, uburyo bw’imikorere n’ibikoresho bijyana n’ikoranabuhanga) rikenewe mu gihe cy’isubukurabikorwa hanze y’ikigo; 4° ibyo abakozi bakenera n’aho bakwimurirwa mu gihe cy’ihagarika rikomeye ry’imirimo; 5° imirimo ikorwa hifashishijwe undi muntu harimo: a. niba ikigo gitanga serivisi gisuzuma neza ibyateza ihagarikwa ry’ibikorwa byacyo kandi niba gishobora gushyira mu bikorwa gahunda yacyo y’ikomeza ry’imirimo kandi hakarebwa niba igendanye na gahunda y’ikomeza sufficiently remote from the main branch of a regulated institution; 2° whether disaster recover site is sufficiently equipped with the necessary equipment, IT solutions and data to maintain critical operations and services for a sufficient time period; 3° an inventory of assets (backup tapes, communication links, operating systems, hardware) needed for offsite recovery; 4° staff requirements and reallocation to the alternate site in the event of a major disruption; 5° outsourced activities, including: a. whether the company that provides the service adequately assesses the risks of disruption of its operations and effectively can operate its business continuity plan, taking into account its alignment with the regulated institution’s business éloigné du siège d’une institution réglementée; 2° si le site de reprise d’activité en cas de désastre est suffisamment équipé de matériel nécessaire, de solutions informatiques et données pour maintenir les opérations et services essentiels pour une période suffisante ; 3° un inventaire des biens (cassettes de sauvegarde de données, liens de communication, systèmes d’exploitation, disque dur) nécessaire pour la reprise des activités hors site; 4° les besoins du personnel et sa réaffectation au site alternatif en cas de perturbation majeure ; 5° les activités externalisées, y compris: a. vérifier si la société qui fournit le service évalue de manière adéquate les risques de perturbation de ses opérations et peut mettre en œuvre de façon efficace son plan de continuité d’activités tout en tenant compte de son alignement sur le

53 ry’imirimo y’ikigo kigenzurwa; b. uruhare ndetse n’inshingano zo gukomeza no kugerageza gahunda y’ikomeza ry’imirimo y’utanga serivisi; c. ingamba zo gusoza kwifashisha undi umuntu; d. ingamba za ngombwa kugira ngo hirindwe uko bishoboka kose ihagarika ry’imirimo mu gihe hashakwa undi muntu watanga serivisi; 6° uburyo, ibikoresho n’imiterere y’imicungire by’ikigo cyabyaye ikigo kigenzurwa; 7° uburyo bw’ikoranabuhanga n’uburyo bwo gucunga umutekano w’amakuru, harimo: a. ubudakemwa, ibanga, no kuba ubwo buryo buboneka; b. imirimo n’inshingano zijyanye n’amakuru n’uburyo akoreshwa; continuity plan; b. the roles and responsibilities for maintaining and testing the service provider’s business continuity plan; c. an exit strategy from outsourced activities; d. procedures required to ensure minimum disruption to business when an alternative service provider is sought; 6° systems, tools and management structures from the parent of a regulated institution; 7° information Technology (IT) framework and information security management system, including: a. systems’ integrity, confidentiality and availability; b. roles and responsibilities for data and data processes; plan de continuité d’activités de l’institution réglementée; b. les rôles et les responsabilités pour maintenir et tester le plan de continuité d’activités du prestataire de services; c. une stratégie de sortie pour les activités externalisées; d. les procédures requises pour assurer une perturbation minimale des activités lors de la recherche d’un autre prestataire de services ; 6° systèmes, outils et structures de gestion de la part de l’institution mère de l’institution réglementée; 7° cadre des technologies de l’information (TI) et système de gestion de la sécurité de l’information y compris: a. l’intégrité, la confidentialité et la disponibilité des systèmes; b. les rôles et responsabilités pour les données et les processus de données;

54 c. ubushobozi mu gihe cy’imirimo mu buryo busanzwe no mu bihe imirimo iba ikorwa ari myinshi mu gihe kimwe; d. uburyo bwo kugaragaza, kurinda, gutahura no guhangana n’imbogamizi zerekeranye n’ibibazo byaba ku makuru n’umutekano; e. igishushanyo kigaragaza uko ibibazo bibaho; f. ibijyanye n’isubukurabikorwa cyangwa gahunda zo kugarura ibikorwa kugira ngo imirimo y’ikigo kigenzurwa yongere ikomeze; g. gahunda y’isubukurabikorwa; h. kwimuka. ICYICIRO CYA III: GAHUNDA Y’IKOMEZA RY’IMIRIMO Ingingo ya 20: Gahunda y’ikomeza ry’imirimo Ikigo kigenzurwa kigomba buri gihe kugira gahunda y’ikomeza ry’imirimo c. capacity for normal activity levels and for peaks; d. processes to identify, protect, detect, respond and recover from information and security incidents; e. incident flow chart; f. resumption aspects or business restoration plans for resuming the activities of the regulated institution; g. recovery action plan; h. relocation. SECTION III: BUSINESS CONTINUITY PLANS Article 20: Business continuity plan A regulated institution shall, at all times, maintain a documented business continuity c. la capacité pour les niveaux d’activité normaux et pours les pics ; d. les processus d’identification, de protection, de détection, de réaction et de reprise d’activités face aux incidents d’informations et de sécurité ; e. le diagramme de flux des incidents; f. aspects de reprise d’activités ou plans de restauration des activités afin de reprendre les activités de l’institution réglementée; g. plan d’action de la reprise des activités; h. déménagement. SECTION III : PLAN DE CONTINUITÉ DES ACTIVITÉS Article 20 : Plan de continuité des activités Une institution réglementée doit, à tout moment, maintenir un plan de continuité des

55 yanditse. Gahunda y’ikomeza ry’imirimo igomba guhuza n’intego za politiki y’imicungire y’ikomeza ry’imirimo. Gahunda y’ikomeza ry’imirimo igomba: 1 º kugaragaza impamvu zatuma gahunda y’ikomeza ry’imirimo ishyirwa mu bikorwa; 2 º kugaragaza neza abayobozi bafata ibyemezo; 3 º kugaragaza neza uburyo ubuyobozi busimburanamo mu gihe habaye ihagarika ry’imirimo bigatuma abakozi b’ingenzi babura uko bakora ibyo bashinzwe; 4 º kugaragaza mu buryo burambuye gahunda y’ingoboka yihutirwa; 5 º kugaragaza ibikenerwa n’ahakorerwa imirimo byateganyijwe bisimbura ibyo bikenerwa byunganira imirimo y’ingenzi; 6 º gushyiraho uburyo bwitabazwa bugaragaza ingamba zafatwa mu rwego rwo kwimurira imirimo plan. The business continuity plan shall meet the objectives of the business continuity management policy. A business continuity plan shall: 1° set out conditions for activating business continuity plans; 2° clearly set out the decision-making authority; 3° provide clear guidance regarding the succession of authority in the event of a disruption that disables key personnel; 4° detail emergency procedures; 5° identify the processing resources and locations available to replace those supporting critical activities; 6° set out fall back procedures which describe the actions to be taken to move essential business activités documenté. Le plan de continuité des activités doit répondre aux objectifs de la politique de gestion de la continuité des activités. Un plan de continuité des activités doit : 1° définir les conditions d'activation des plans de continuité des activités; 2° définir clairement l'autorité décisionnelle; 3° donner des orientations claires concernant la succession de l'autorité en cas de perturbation qui rend le personnel clé incapable de travailler; 4° détailler les procédures d'urgence ; 5° identification des ressources et des emplacements de traitement, disponibles pour remplacer ceux qui soutiennent des activités essentielles; 6° mettre en place les procédures de repli qui décrivent les actions à entreprendre pour déplacer les

56 y’ingenzi cyangwa serivisi z’ubufasha ahandi hantu h’agateganyo no kongera gukora imirimo nk’uko bisanzwe mu gihe cya ngombwa; 7 º kugaragaza amakuru agomba kubikwa ngo azifashishwe mu gihe ububiko bw’ibanze bwaba bugize ikibazo n’aho abikwa, n’ibisabwa kugira ngo amakuru abikwe ngo azifashishwe mu gihe runaka kandi hubahirijwe gahunda izwi ; 8 º gushyiraho uburyo bwo gusubukura imirimo, busobanura ibigomba gukorwa kugira ngo imirimo yongere ikorwe nk’uko bisanzwe; 9 º gushyiraho ingengabihe igaragaza neza uburyo n’igihe gahunda izageragerezwaho n’uburyo bwo guhorana iyo gahunda; 10 º kugaragaza no gushyira mu byiciro ibikorwa by’ingenzi n’ibintu cyangwa abantu ikigo gishingiyeho kugira ngo kibashe gukora, baba ab’imbere cyangwa hanze yacyo; 11 º kugaragaza ibyiciro activities or support services to alternative temporary locations and to bring business processes back into operation in the required time-scales; 7° identify information to be backed up and the location for storage, as well as the requirement for the information to be saved for back￾up purpose on a stated schedule and compliance therewith; 8° set out resumption procedures, which describe the actions to be taken to return to normal business operations; 9° set out schedule which specifies how and when the plan will be tested and the process for maintaining the plan; 10° identifying and categorizing critical business operations and key internal and external dependencies; 11° set out recovery levels and time activités essentielles ou des services d’appui vers d’autres sites alternatifs temporaires et redémarrer les activités dans un délai approprié ; 7° identifier les informations à sauvegarder et l'emplacement de stockage, ainsi que l'exigence de sauver des informations à des fins de sauvegarde selon un calendrier défini et le respect de celui-ci ; 8° définir les procédures de reprise d’activités, qui décrivent les actions à entreprendre pour revenir aux activités normales ; 9° mettre en place le calendrier de maintien qui spécifie comment et quand le plan sera testé et le processus de maintien du plan ; 10° identifier et classifier les opérations des activités essentielles ainsi que les dépendances internes et externes clés; 11° définir les niveaux de reprise

57 by’isubukurabikorwa n’igihe buri gikorwa cy’ingenzi kizasubukurirwa; 12 º kugaragaza ingamba z’isubukurabikorwa kuri buri murimo w’ingenzi; 13 º kugaragaza ibikorwaremezo n’ibikoresho bya ngombwa ngo gahunda y’ikomeza ry’imirimo ishyirwe mu bikorwa; 14 º gushyiraho gahunda z’itumanaho ku bakozi ndetse n’abafatanyabikorwa; 15 º kugaragaza neza ibikorwa by’imenyekanisha no kwigisha byateganyirijwe gusobanura ibikorwa n’imirimo by’ingenzi by’ibigo by’imari, uburyo bw’ikomeza ry’imirimo no kumenya ko bikomeza gukorwa neza; 16 º kuvuga mu buryo burambuye uruhare, inshingano n’abayobozi bafite ububasha ku birebana na gahunda y’ikomeza ry’imirimo; 17 º kugaragaza uburyo butandukanye targets for each critical business operation; 12° set out recovery strategies for each critical business operation; 13° highlights infrastructure and resources required to implement the business continuity plan; 14° establish communication plans with staff and external stakeholders; 15° highlight awareness and education activities, which are designed to create understanding of critical financial institutions operations and functions, business continuity processes and ensure that the processes continue to be effective; 16° detail roles, responsibilities and authorities to act in relation to the business continuity plan; 17° highlight scenario analyses of d’activités et les délais pour chaque opération des activités essentielle ; 12° définir des stratégies de reprise d’activités pour chaque opération d’activité essentielles; 13° mettre en évidence les infrastructures et les ressources nécessaires à la mise en œuvre du plan de continuité des activités ; 14° établir des plans de communication avec le personnel et les parties prenantes externes ; 15° souligner les activités de sensibilisation et d’éducation conçues pour créer une compréhension des opérations et des fonctions essentielles des institutions financières et des processus de continuité des activités et s'assurer que les processus continuent d'être efficaces ; 16° détailler les rôles, les responsabilités et les autorités qui agissent en relation avec le plan de continuité des activités; 17° souligner les analyses de scénarios

58 ihagarara ry’imirimo rishobora kubamo; 18 º kugaragaza imbago za buri kintu cyateza ihagarikwa ry’imirimo gituma gahunda y’ikomeza ry’imiromo ishyirwa mu bikorwa: a. kwita ku isubukurabikorwa; b. gushyiraho intego y’igihe cy’isubukurabikorwa (RTO) ndetse n’intego y’igihe cyo kugarura amakuru (RPO); c. guteganya kwimura amakuru amwe mu gihe gikwiye hagati y’ahakorerwa h’ibanze n’ahantu hagenewe isubukurabikorwa mu gihe cy’amage; d. bgshyiraho imirongo ngenderwaho y’itumanaho. Gahunda y’ikomeza ry’imirimo yita ku isesengura ry’ingaruka ku mirimo n‘ingaruka zayo ku mu rwego rw’umutungo, rw’ibikorwa, rw’amategeko nurw’isura y’ikigo. Gahunda y’ikomeza ry’imirimo ivugururwa igihe cyose bibaye ngombwa. potential disruptions; 18° demonstrate limits within each disruption scenario that activate a business continuity plan which: a. addresses resumption aspects; b. sets recovery time objectives (RTO) and recovery point objectives (RPO); c. sets out real-time data replication between primary site and disaster recovery site; d. establishes communication guidelines. Business continuity plan shall consider business impact analysis and its consequences in relation to financial, operational, legal and reputational aspects of a regulated institution. The Business Continuity Plan shall be reviewed when the situation so requires. de perturbations potentielles ; 18° montrer les limites dans chaque scénario de perturbations qui activent une procédure de continuité d’activités qui: a. traite des aspects de reprise d’activités ; b. définit le temps de reprise d’activités (RTO) et les objectifs relatifs au temps de la reprise d’activités (RPO) ; c. prévoit la réplication des données en temps réel entre le site principal et le site de reprise d’activités en cas de désastre ; d. établit des directives de communication. Le plan de continuité des activités doit tenir compte de l'analyse de l'impact sur les activités et ses conséquences au niveau financier, opérationnel, juridique et de réputationnel. Le plan de continuité des activités est réexaminé lorsque la situation l'exige.

59 Article 21 : Gusuzuma gahunda y’ikomeza ry’imirimo Ikigo kigenzurwa gisuzuma ubumenyingiro, ubumenyi, ubushobozi mu miyoborere ndetse n’ubushobozi bwo gufata ibyemezo by’abakozi bacyo mu bikorwa byo gusuzuma gahunda y’ikomeza ry’imirimo. Ikigo kigenzurwa kigomba, mu buryo ngarukagihe, guteganya kujya cyimurira ibikorwa byacyo, abantu, ibikorwa n’amakuru (yaba abitse ku buryo bw’ikoranabuhanga n’atabitse ku buryo bw’ikoranabuhanga) ahantu hagenewe gusubukurira ibikorwa mu gihe cy’ibiza mu rwego rwo gusuzuma niba gahunda y’ikomeza ry’imirimo ikora neza no kumenya igihe byasaba kugira ngo imirimo yongere ikorwe nk’uko bisanzwe. Ikigo kigenzurwa gikora ku buryo : 1º kigira gahunda y’igerageza igaragaza mu buryo burambuye uburyo cyamenya neza ko cyakwihanganira ingaruka ku birebana na serivisi zacyo z’ingenzi; 2º gusuzuma imicungire y’ikomeza Article 21: Testing of business continuity plan A regulated institution shall assess skills, knowledge, management and decision making ability of its human resource in the business continuity testing. A regulated institution shall consider periodically moving their operations including people, processes and resources (IT and non-IT) to the planned Disaster Recovery site (DRS) in order to test the business continuity plan effectiveness and gauge the recovery time needed to bring operations to normal functioning. A regulated institution shall ensure that: 1° it has a testing plan that details how it shall assure itself that it is able to remain within impact tolerances for its important business services; 2° testing of the overall business Article 21 : Test du plan de continuité des activités Une institution réglementée évalue les compétences, les connaissances, la capacité de gestion et de prise de décision de ses ressources humaines dans le processus du test du plan de continuité des activités. Une institution réglementée doit envisager de déplacer périodiquement ses opérations, y compris les personnes, les processus et les ressources (informatiques et non￾informatiques) au site de reprise d’activité en cas de désastre prévu afin de tester l’efficacité du plan de continuité des activités et de mesurer le temps de reprise d’activités nécessaire pour restaurer son fonctionnement à la normale. Une institution réglementée veille à ce que: 1º elle dispose d'un plan de test qui détaille comment elle doit s'assurer qu'elle est en mesure de rester dans les tolérances d'impact pour ses services commerciaux importants ; 2º le test global de la gestion de

60 ry’ibikorwa by’ikigo muri rusange bikorwa nibura rimwe mu mwaka ; 3º gukora imyitozo buri gihe yo kwigana ibihe by’amage bitandukanye by’igihe gito n’igihe kirekire ku bijyanye n’ibyateza ingorane ikigo mu mirimo yacyo, kugira ngo kimenye inkomoko z’ibyateza ingorane mu mirimo no kugira ngo kimenye ko cyiteguye kuba cyakomeza imirimo yacyo nyuma y’ibibazo bikomeye n’ibyoroheje bijyanye n’ibyateza ingorane mu mirimo yacyo; 4º umubare w’amasuzuma wagombye guterwa n’imiterere y’imirimo ya ngombwa ; 5º inshuro zo gukora imyitozo ku byerekeye imirimo y’ingenzi ziterwa n’uburyo ifitiye akamaro ikigo kigenzurwa ndetse bikanaterwa n’imihindagurikire yaba mu kigo haba imbere cyangwa inyuma yacyo; 6º habaho isuzuma ry’ireme ry’igenamigambi, ubushobozi bw’abakozi, ndetse na gahunda iboneye y’ikomeza ry’imirimo; continuity management is at minimum conducted at least once a year; 3° it conducts stress tests on a regular basis for a variety of short-term and protracted institution-specific and operational risks stress scenarios to identify sources of potential operational risks and to ensure that institution is prepared to continue in business after minor and major operational risk events; 4° the amount of tests is dependent on the criticality of the business process; 5° the frequency of testing for key functional areas is determined by how critical they are to a regulated institution and any material changes to a regulated institution’s internal and external environment; 6° there is assessment of the quality of planning, competency of staff and effectiveness of the business continuity plan; continuité des activités d’une institution doit au minimum être effectué au moins une fois par an ; 3º il effectue régulièrement des simulations de crise pour divers scénarios de crise à court et à long terme, spécifiques à l'institution et liés aux risques opérationnels, afin d'identifier les sources de risques opérationnels potentiels et de s'assurer que l'institution est prête à poursuivre ses activités après des événements mineurs et majeurs liés aux risques opérationnels ; 4º le nombre de tests dépend de l’importance des processus opérationnels ; 5º la fréquence des tests pour les domaines fonctionnels clés est déterminée en fonction de leur importance à l’institution réglementée et de tout changement important dans l’environnement interne et externe d’une institution ; 6º il existe une évaluation de la qualité de la planification, de la compétence du personnel et de l’efficacité du plan de continuité des activités;

61 7º habaho ubukangurambaga ku byerekeye gahunda y’ingoboka yihutirwa kandi iryo tsinda ndetse n’abakozi bakaba bamenyereye banasobanukiwe inshingano zabo , ibyo babazwa, inshingano n’ububasha byabo mu guhangana n’ikibazo; 8º ibirebana n’ikoranabuhanga, ibikoresho, ubuyobozi na gahunda y’ikomeza ry’imirimo byose biba byarasuzumwe; 9º isubukurabikorwa ry’ibikorwa remezo harimo ahakorerwa ibijyana n’ubuyobozi ndetse n’ahakorerwa akazi hanze y’aho gasanzwe gakorerwa ritunganywa; 10º kugaragaza inenge n’ibyanogejwe mu gutegura uburyo bwo gukomeza imirimo biba igikorwa gihoraho; 11º gusuzuma ko abakozi bahari kandi bashobora kwimurwa bikorwa ; 12º inyandiko z’ibyavuye mu isuzuma zihabwa Inama y’ubutegetsi, ubuyobozi bukuru, abagenzuzi 7° there is organizational awareness of emergency procedures and familiarity of team members and staff with their roles, accountability, responsibilities and authority in response to an incident; 8° all technological, logistical and administration aspects of the business continuity plan have been tested; 9° the recovery of infrastructure including command centres and off-site work area is assured; 10° the opportunity to identify shortcomings and improvements to the organization’s business continuity readiness is a continuous process; 11° the availability and relocation of staff is assessed; and 12° the documentation of testing results is made available to the board of directors, senior management, 7º il existe une conscience organisationnelle des procédures d’urgence et une bonne connaissance des membres de l’équipe et du personnel ainsi que leurs rôles, responsabilités, et autorité pour réagir à un incident; 8º tous les aspects technologiques, logistiques et administratifs du plan de continuité des activités ont été testés; 9º la reprise des infrastructures, y compris les centres de commandement et la zone de travail hors site est assurée; 10º la possibilité d’identifier les lacunes et les améliorations dans la préparation à la continuité des activités de l’organisation est un processus continu; 11º la disponibilité et la réinstallation du personnel est évaluée; 12º la documentation des résultats des tests est mise à la disposition du Conseil d’Administration, de la

62 n’urwego ngenzuramikorere. Imyitozo y’igerageza igenda ihinduka hongerwa umubare cyangwa ubwoko bw’ibikoresho bidahari kugira ngo hatangwe serivisi z’ingenzi cyangwa hongerwa igihe igikoresho runaka kimara kitaboneka. Ikigo kigenzurwa kigomba kugira uburyo bwo gukora imyitozo kuri gahunda y’ikomeza ry’imirimo ihuriyeho n’abandi bantu nkenerwa mu mirimo yayo kugira ngo gitange serivisi n’ubufasha bikenewe kugirango imirimo ikomeze hakoreshejwe uburyo buke bushoboka bwateganyijwe mbere y’igihe busabwa. Ikigo kigenzurwa gikoresha abagenzuzi bo mu kigo imbere mu kugenzura niba gahunda y’ikomeza ry’imirimo iboneye. Amasuzuma nyuma y’igihe runaka nka kimwe mu bigize akazi k’ubugenzuzi bwo mu kigo imbere n’ibyayavuyemo n’imyanzuro yabo bigomba kuba biri muri raporo baha inama y’ubutegetsi. Abagenzuzi b’imbere mu kigo bagomba kuba barimo abagenzuzi mu by’ikoranabuhanga. Ikigo kigenzurwa kigomba gutegura auditors and regulators. The testing scenarios shall vary by increasing the number or type of resources unavailable for delivering the important business service, or extending the period for which a particular resource is unavailable. A regulated institution shall consider having a business continuity plan drill planned along with the critical third parties in order to provide services and support to continue with pre-identified minimal required processes. A regulated institution shall involve their internal auditors to audit the effectiveness of business continuity plan. Periodic testing as part of their internal audit work and their findings and recommendations in this regard shall be incorporated in their report to the board of directors. The internal auditor shall also include Information Systems Auditors. A regulated institution shall consider direction, des auditeurs et des régulateurs. Les scénarios de test varient en augmentant le nombre ou le type de ressources non disponibles pour la prestation des services importants, ou en prolongeant la période pendant laquelle une ressource particulière est indisponible. L’institution réglementée doit considérer l’organisation des exercices sur le plan de la continuité des activités planifiée en collaboration avec les tiers essentiels afin de fournir des services et un soutien pour continuer à appliquer les processus minimum pré-identifiés requis. L’institution réglementée doit impliquer ses auditeurs internes dans la vérification de l’efficacité de son plan de continuité des activités. Les tests périodiques faisant partie de leur travail d’audit interne et leurs conclusions et recommandations à cet égard doivent être incorporés dans leur rapport au Conseil d’Administration. Les auditeurs internes doivent comprendre les auditeurs en système informatique. L’institution réglementée doit envisager

63 imyitozo yo kwimenyereza gushyira mu bikorwa gahunda y’ikomeza ry’imirimo itarateguwe aho abantu bake cyane n’abakozi bagenwe ari bo baba bazi icyo gikorwa cyo kwimenyereza aho kuba abantu bose cyangwa abakozi bo ku rwego rwo hasi. Hashingiwe ku ibivugwa mu gika kibanziriza iki, ikigo kigenzurwa kigomba kugira “itsinda ry’indorerezi” ryoherezwa aho hantu kugira ngo ritekereze ku bisubizo bishoboka n’ibikenewe n’amatsinda atandukanye. Hashingiwe kubivuye muri iyo nyigo, ikigo kigenzurwa gisubiramo gahunda yacyo y’ikomeza ry’imirimo kugira ngo ihuzwe n’ibikenewe mu by’ukuri. Urwego rw’ubugenzuzi rushobora gutegeka ikigo kigenzurwa gukora amagerageza menshi ya gahunda y’ikomeza ry’imirimo ku mwaka hashingiwe ku miterere, ingano n’imikomerere y’imirimo y’icyo kigo. Ingingo ya 22: Uburyo bw’igerageza rya gahunda y’ikomeza ry’imirimo Ubuyobozi bw’ikigo kigenzurwa bugomba gushyiraho gahunda y’igerageza kuri buri buryo bwo gusuzuma gahunda y’ikomeza having unplanned business continuity plan drill whereby only a restricted set of people and certain identified personnel may be aware of the drill and not the floor or business personnel. For the purpose of preceding paragraph, a regulated institution shall have a “Lookout Team” deployed at the location to study and assimilate the responses and needs of different teams. Based on the outcome of this study, the regulated institution shall revise its business continuity plan to suit the ground requirements. The Supervisory authority may order a regulated institution to conduct more business continuity plan testing per year as based on the nature, size, and complexity. Article 22: Business continuity plan testing methods The management of the regulated institution shall develop a test plan for each business continuity testing method used. l’organisation des exercices de mise en situation du plan de continuité des activités inopinés au cours desquels seul un groupe ne restreint de personnes et certains membres du personnel pourraient être au courant de l’exercice et non pas tout le personnel d’affaires. Aux fins de l’alinéa précèdent, l’institution réglementée doit disposer d’une « équipe de vigie » déployée sur place pour étudier et assimiler les réponses et les besoins des différentes équipes. Sur base des résultats de cette étude, l’institution réglementée doit réviser son plan de continuité des activités pour répondre aux besoins du terrain. L’autorité de contrôle peut ordonner à une institution réglementée de procéder chaque année à un plus grand nombre de tests du plan de continuité, en fonction de la nature, de la taille et de la complexité de l’institution. Article 22: Méthodes de test du plan de continuité des activités La direction de l’institution réglementée doit élaborer un plan de test pour chaque méthode utilisée pour tester le plan de la

64 ry’imirimo bwakoreshejwe. Imyitozo y’ikomeza ry’imirimo ikorwa kandi ikagira agaciro hashingiwe ku bihe bikomeye ariko bishoboka birimo ibihe bihagarika imirimo ndetse n’ibibazo. Ikigo kigenzurwa gishobora gukoresha uburyo butandukanye bw’imyitozo, harimo ubu bukurikira : 1° gusuzuma urutonde: urutonde ruriho ibintu byose byerekeye isubukarabikorwa ruhabwa abagize itsinda ry’isubukurabikorwa kugira ngo barusubiremo kandi barebe ko ibiriho bijyanye n’igihe; 2° uburyo bikorwamo bwateguwe: abagize itsinda bashyira mu bikorwa gahunda ziri ku rupapuro kandi bagasubiramo buri cyiciro cyose kugira ngo basuzume niba bimeze neza, bagaragaze ahagomba kongerwamo imbaraga, imbogamizi n’ibibazo; 3° isuzuma ribangikanye: ahantu hagenewe isubukurabikorwa hategurirwa gukoreshwa, ariko ibikorwa bigakomeza nk’uko bisanzwe ahasanzwe hakorerwa ; The business continuity exercises shall be conducted and validated for a range of severe but plausible scenarios that incorporate disruptive events and incidents. A regulated institution may employ various testing methods of exercising including but not limited to: 1° checklist review: recovery checklists are distributed to all members of recovery team to review and ensure that the checklist is current; 2° Structured walkthroughs: Team members physically implement the plans on paper and review each step to assess its effectiveness, identify enhancements, constraints and deficiencies; 3° Parallel test: the recovery site is brought to a state of operational readiness, but operations at the primary site continue normally; continuité des activités. Les exercices de continuité des activités doivent être menés et validés pour une série de scénarios graves mais plausibles qui intègrent des événements et incidents perturbateurs. Une institution réglementée peut employer diverses méthodes d'exercice, y compris mais sans s'y limiter : 1° l’examen de la liste de contrôle: les listes de contrôle de reprise d’activités sont distribuées à tous les membres de l’équipe de reprise d’activités pour les examiner et s’assurer qu’elles sont actuelles; 2° les traversées structurées: les membres de l’équipe mettent physiquement en œuvre les plans sur papier et examinent chaque étape pour évaluer son efficacité, identifier les améliorations, les contraintes et les lacunes; 3° le test parallèle: le site de reprise d’activités est mis en état de préparation opérationnelle, mais les opérations sur le site principal continuent à la normale ;

65 4° isuzuma ryo guhagarika imirimo yose: ibikorwa byose birahagarikwa ahasanzwe hakorerwa bikimurirwa ahantu hagenewe isubukurabikorwa hagendewe kuri gahunda y’isubukurabikorwa ; 5° igerageza rikorwa nk’aho habaye amage: itsinda ry’isubukurabikorwa ryigana ibikorwa bijyanye n’amage yateguwe ariko ntitangize ibikorwa bigomba kubera ahantu hagenewe isubukurabikorwa; 6° amagerageza ahurijwe hamwe yerekeye amashami y’akazi akenerana n’igerageza rigaragaza uko byagenda ku byerekeye aho imirimo yasubukurirwa;. Buri kigo kigenzurwa kigaragaza kandi kigashyira mu nyandiko, inshuro, gahunda n’ibyiciro by’imirimo cyahisemo gukorerwaho igerageza nyuma y’isesengura ryerekeye ingaruka ku mirimo. 4° Full interruption test: operations are shutdown at the primary site and shifted to the recovery site in accordance to the recovery plan; 5° simulations test: the recovery team simulate prepared disaster scenarios without activating processing at the recovery site; 6° integrated tests for departments that are dependent on each other and stress testing of recovery facilities. A regulated institution shall define and document frequency, schedule and clusters of business areas, selected for test after a thorough Risk and Business Impact Analysis has been done. 4° le test d’interruption complète: les opérations sont arrêtées sur le site principal et déplacées au site de reprise d’activités conformément au plan de reprise d’activités ; 5° le test de simulation: l’équipe de reprise d’activités simule des scénarios de catastrophe préparés sans activation des opérations sur le site de reprise d’activités; 6° les tests intégrés : pour les départements qui sont dépendants les uns des autres et aussi des tests de résistance des installations de reprise des activités. Chaque institution réglementée doit définir et documenter la fréquence, le calendrier et les groupes de secteurs d’activité, sélectionnés pour un test après une analyse approfondie des risques et de l’impact sur les activités.

66 ICYICIRO CYA IV: IBISABWA MU ISUBUKURABIKORWA Ingingo ya 23: Ubufatanye mu gukoresha amashami Ibigo bigenzurwa bikoresha amashami yabyo mu kwakira ibikorwa byabyo hagati y’amashami yabyo runaka igihe bigaragara ko hari ikiza gishobora kugwirira ishami kigahagarika ibikorwa byaryo, bigomba kugirana amasezerano yo ku rwego rwa serivisi agenga iyo mikoranire. Ingingo ya 24: Kwifashisha undi muntu mu birebana n’ahantu hagenewe isubukurabikorwa n’ibisubizo bijyanye na ryo Iyo imicungire y’ahantu hagenewe isubukurabikorwa yahawe undi umuntu, hagomba kubaho amasezerano yanditse yo ku rwego rwa serivisi hagati y’ikigo kigenzurwa n’umucuruzi cyangwa umuntu wahawe gucunga aho hantu hagenewe isubukurabikorwa nk’uko bigenwa n’amabwiriza rusange agenga kwifashisha undi muntu mu mirimo. Urwego rw’ubugenzuzi rushobora gushyiraho amabwiriza agenga igikorwa cyo kwifashisha abandi abantu ku SECTION IV: RECOVERY REQUIREMENTS Article 23: Reciprocal use of branches Regulated institutions which reciprocally use their respective branches to host each other´s operations if a disaster is likely to strike any branch and renders the operations inoperable, shall have in place service level agreement that governs the arrangement. Article 24: Outsourcing of disaster recovery site and solutions In cases where recovery sites are outsourced, there shall be a service level agreement between a regulated institution and vendor or supplier to whom such sites are outsourced to govern such an arrangement as provided for by outsourcing regulation into force. The Supervisory authority may issue Directive governing the outsourcing of recovery sites and solutions. SECTION IV: EXIGENCES DE REPRISE ACTIVITÉS Article 23: Utilisation réciproque des branches Les institutions réglementées qui utilisent réciproquement leurs branches respectives pour accueillir leurs opérations respectives en cas de catastrophe qui peut frapper une branche et paralyse les opérations, doivent conclure un accord de niveau de service régissant cette opération. Article 24: Externalisation des sites et des solutions de reprise d’activités en cas de désastre Au cas où des sites de reprise sont externalisées à un fournisseur de service externe, il doit y avoir un contrat signé avec le vendeur ou le fournisseur des clauses sur les niveaux de service pris en charge pour justifier un tel accord tel que prévu par le règlement régissant l’externalisation en vigueur. L’autorité de contrôle peut émettre une directive régissant l'externalisation des sites et des solutions de reprise.

67 birebana n’ahantu hagenewe isubukurabikorwa n’ibisubizo bijyanye na ryo. Ingingo ya 25: Ahantu hagenewe isubukurabikorwa mu gihe cy’ibiza Buri kigo kigenzurwa kigomba kugira nibura ahantu hamwe hagenewe isubukurabikorwa mu gihe cy’ibiza haherereye mu Rwanda kandi hagomba kuba hari byibuze kuri km 45 uvuye ahantu hakorerwa imirmo h’ibanze. Ahantu hagenewe gusubukurira ibikorwa mu gihe cy’ibiza hagomba: 1° kugabanya ibibazo biterwa n’ibiza kamere birimo umutingito, imyuzure, n’ibiza bituruka mu butaka; 2° kuba ahantu hakwiye hadakunda kuba ibyago biterwa n’abantu birimo iterabwoba, guturika, inkongi y’umuriro, , imyigaragambyo, ubwandu buturutse ku mirasire, kunyereza umutungo, gushimuta, ubwambuzi n’irigita ry’ubutaka; 3° kuba ari ahantu hashoboka mu gutwara ibintu n’abantu; Article 25: Disaster recovery site Every regulated institution shall have at least one disaster recovery site located in Rwanda and within 45 Km from the primary site. The disaster recovery site shall: 1° minimize influences by natural hazards including earthquake, floods, geological hazards; 2° be in an appropriate geographic location that prevents the human￾caused hazards including terrorism, explosion, fire, protests, radioactive contamination, embezzlement, kidnapping, extortion and subsidence; 3° be located in accessible place in terms of transport; Article 25 : Site de reprise d’activités en cas de désastre Chaque institution réglementée doit disposer d’au moins un site de reprise d’activitéssitué au Rwanda et localisée dans au moins 45 Km du site principal. Le site de reprise d’activités en cas de désastre doit: 1° minimiser les influences des risques naturels, y compris les tremblements de terre, les inondations, les risques géologiques ; 2° être situé dans un lieu géographique approprié qui empêche les risques d'origine humaine, y compris le terrorisme, les explosions, les incendies, , les protestations, la contamination radioactive, les détournements de fonds, les enlèvements, l'extorsion et les affaissements ; 3° être situé dans un endroit accessible en termes de transport ;

68 4° kuba hari amashanyarazi ahoraho n’uburyo bwo gukonjesha ibintu mu rwego rwo kwirinda ibura ry’umuriro no guhagarara kw’urusobe rwa mudasobwa; 5° hafite uburyo bwihuta bwo gutahura ibibazo hari impuruza ndetse n’ibiranga imiterere y’inyubako ; 6° kwemezwa hakurikijwe ibigenderwaho mu kwemeza umutekano w’amakuru kandi uko kwemezwa kukajya kuvugururwa. Urwego rw’ubugenzuzi rushobora kugena ibisabwa by’ahantu hagenewe isubukurabikorwa ry’ikigo kigenzurwa hashingiwe ku miterere yacyo no ku mikomerere y’imirimo yacyo. Ingingo ya 26: Ibisubizo bijyanye n’isubukurabikorwa Ibisubizo bijyana n’isubukurabikorwa bigomba kuba bishingiye ku makuru atangwa n’isesengura ry’ingaruka ku mirimo kandi byarateguriwe muri gahunda ndende y’ibisubizo ku bibazo. 4° have stable power and cooling system to prevent power outage and system shut down; 5° have fast detection, monitoring alarm and design on the building; 6° be certified according to information security standards and renewed regularly. The Supervisory authority may prescribe minimum requirements of the disaster recovery site for a regulated institution based on its nature, scale and complexity of its business. Article 26: Recovery solutions Recovery solutions shall be based on Business Impact Assessment information and developed through a strategic solutions design process. 4° disposer d'une alimentation électrique et d'un système de refroidissement stables afin d'éviter les pannes de courant et l'arrêt du système ; 5° disposer d'un système de détection rapide et de l’alarme, et la conception du bâtiment ; 6° être certifié conformément aux normes de sécurité de l'information et renouvelé régulièrement. L’autorité de contrôle peut prescrire les exigences minimales approprié de site de reprise d’activités pour une institution réglementée en fonction de sa nature, de l'échelle et de complexité de son activité. Article 26 : Solution de reprise d’activités Les solutions de reprise d’activités doivent être fondées sur les informations provenant de l’analyse d’impact sur les activités et développées via un processus de conception de solutions stratégiques;

69 ICYICIRO CYA V: ITUMANAHO Ingingo ya 27: Uburyo bwo gutumanaho mu gihe habayeho ihagarika rikomeye ry’imirimo Ikigo kigenzurwa kigomba kugira uburyo bwo gutumanaho imbere mu kigo ndetse n’abantu bo hanze yacyo mu gihe habayeho ihagarika rikomeye ry’imirimo. Uburyo bw’itumanaho ry’ikigo kigenzurwa bugomba: 1° kuba bufite gahunda ihamye igaragaza abakozi bashinzwe itumanaho n’abafatanyabikorwa b’imbere ndetse n’abo hanze yacyo; 2° kugaragaza neza uruhererekane rw’ubuyobozi kuva ku nama y’ubutegetsi, kugera ku buyobozi bukuru; 3° gushyiraho igitabo kirimo abagize itsinda ry’isubukurabikorwa harimo itsinda rishinzwe imicungire y’amage n’itsinda rishinzwe ibibazo byihutirwa; amatsinda ry’inkeragutabara n’abatanga servisi za ngombwa; SECTION V: COMMUNICATIONS Article 27: Communication procedures in the event of major disruption A regulated institution shall have procedures designed for both internal and external communication in the event of major disruptions. The communication procedures for a regulated institution shall: 1° ensure that there is a clear plan identifying staff responsible for communicating internally and externally with stakeholders; 2° outline clearly the chain of command from the board of directors to senior management; 3° develop a directory for all recovery team members including the crisis management and emergency management teams, emergency response teams and critical service providers; SECTION V : COMMUNICATION Article 27 : Communication en cas de perturbations majeures des activités Une institution réglementée doit avoir des procédures de communication internes et externes en cas de perturbations majeures. Les procédures de communication d’une institution réglementée doivent: 1° s’assurer de l’existence d’un plan clair qui identifie le personnel chargé de la communication interne et externe avec les parties prenantes ; 2° décrire clairement la chaîne de commandement à partir du Conseil d’administration jusqu’à la direction; 3° élaborer un répertoire pour tous les membres de l’équipe de reprise des activités, y compris les équipes de gestion de crise et de gestion des urgences, les équipes locales de secours d’urgence et les prestataires de services essentiels;

70 4° gukora ku buryo igitabo kirimo abagize itsinda kigera kuri buri wese uri muri iryo tsinda; 5° gukemura inzitizi zavuka biturutse ku gupfa kw’itumanaho ry’ibanze (amashanyarazi, telefoni zigendanwa, imihanda); 6° gukurikirana ko ikigo cyashatse ubundi buryo bw’itumanaho bwakoreshwa igihe ubwa mbere bwaba budakunze; 7° gukurikirana ko hari uburyo bwo guhuza n’igihe no gusuzuma urutonde rw’abahamagarwa nibura buri gihembwe; 8° gukurikirana ko kopi za gahunda y’ikomeza ry’imirimo zihabwa abakozi bireba. Ku bw’igika cya kabiri(2) cy’iyi ngingo, urutonde rw’abahamagarwa bisobanura uburyo butuma hashyirwaho urutonde rw’abantu cyangwa imiryango bituma bahamagarwa muri gahunda y’ihererekanyamakuru cyangwa itumanaho. 4° ensure that the directory is made available to all team members; 5° address obstacles that may arise due to failure in primary communications systems (electricity, mobile phone network, road network); 6° ensure that the institution has set up alternative modes of communication; 7° ensure regular updating and testing of call trees at least quarterly; 8° ensure that copies of business continuity plans are disseminated to the relevant personnel. For the purpose of Paragraph two (2) of this Article, call tree means a system that enables a list of persons or organizations to be contacted as part of an information communication plan. 4° s’assurer que le répertoire est mis à la disposition de tous les membres de l’équipe; 5° éliminer les obstacles qui peuvent survenir en cas de panne des systèmes de communications de base (électricité, réseau de téléphonie mobile, réseau routier) ; 6° s’assurer que l’institution a mis en place des modes de communication alternatifs; 7° s’assurer de la mise à jour et de l’essai réguliers des arbres d’appels au moins trimestriellement; 8° s’assurer que des copies de plans de continuité des activités sont remises au personnel concerné. Aux fins de l’alinéa deux(2) du présent article, arbre d’appel signifie un système qui permet d’établir une liste de personnes ou organisations à contacter dans le cadre d’un plan d’information ou de communication.

71 Ingingo ya 28: Itumanaho ryambukiranya imipaka mu gihe habayeho ihagarika rikomeye ry’imirimo Ikigo kigenzurwa gishyiraho uburyo bwo gutumanaho n’ibindi bigo bigenzurwa mu bindi bihugu mu gihe habayeho ihagarikabikorwa rikomeye. Uburyo bw’itumanaho ryambukiranya imipaka bw’ikigo kigenzurwa bugomba: 1° kwita ku ngaruka ihagarikwa ry’ibikorwa byacyo mu gihugu kimwe zigira ku kigo cyabyawe n’ikindi, ku ishami ryacyo cyangwa ku bikorwa gihuriyeho n’ibindi bigo mu bindi bihugu; 2° gushyiraho uburyo bw’itumanaho bwo gusangira amakuru, ibitekerezo, amasesengura hagati y’abanadi bayobozi bari mu bihugu bitandukanye; 3° gushyiraho igitabo kirimo aderesi z’abayobozi b’ibigo by’imari byo mumahanga, abo mu nzego z’ubugenzuzi, abashinzwe imari ndetse n’inzobere mu micungire y’ibyateza ingorane n’ikomeza Article 28: Cross-border communication in the event of a major operational disruption A regulated institution shall put in place procedures for communications with regulated institutions in other jurisdictions in the event of a major operational disruption. Cross border communications mechanisms for a regulated institution shall: 1° take into account the implication of disruption of its business operations in one jurisdiction that significantly affect a subsidiary, branch or correspondent operations in other jurisdictions; 2° establish communication procedures for sharing information, views and assessments among authorities based in different jurisdictions; 3° establish a directory of contacts for the various non-domestic financial authorities, supervisory bodies, treasuries, risk management and business continuity specialists; Article 28: Communication transfrontalière en cas de perturbations majeures Une institution réglementée met en place des procédures de communication avec les institutions réglementées dans d’autres juridictions en cas d’interruption opérationnelle majeure. Les mécanismes de communication transfrontalière pour une institution réglementée doivent: 1° tenir compte de l’implication de l’interruption de ses activités dans un pays qui affecte de manière significative une filiale, une branche ou les opérations correspondantes dans d’autres pays; 2° établir des procédures de communication pour le partage d’informations, des opinions et des évaluations entre les autorités basées dans des pays ; 3° établir un répertoire des contacts pour les différentes autorités financières étrangères, organes de supervision, trésoreries, spécialistes de gestion des risques et de continuité des activités;

72 ry’imirimo; 4° gukurikirana ko ibiranga aho bantu babarizwa bihora bihuzwa n’igihe nibura buri gihembwe. UMUTWE WA III: UKUDAHUNGABANA KW’UBURYO BW’IMIKORERE Igice cya mbere: Imiyoborere Ingingo ya 29: Gushyiraho uburyo bwo kwihanganira ibyateza ingorane Inama y’ubutegetsi y’ikigo kigenzurwa ishyiraho uburyo bwo kwihanganira ibyateza ingorane zahagarika ibikorwa byacyo na serivisi zacyo by’ingenzi. Kubera ibivugwa mu gika cya mbere cy’iyi ngingo, inama y’ubutegetsi yita ku bintu byinshi byerekana ibibazo bikomeye bishobora kubaho, harimo: 1° gufunga ibikorwa byose kubera icyorezo; 2° ibibazo by’umutekano w’urusobe koranabuhanga birimo: a. ubujura bw’ibyangombwa n'umwirondoro; 4° ensure contact details are kept up to date on at least on quarterly basis. CHAPTER III: OPERATIONAL RESILIENCE Section one: Governance Article 29: Formulation of risk tolerance The board of directors of a regulated institution shall formulate risk tolerances for disruption to its critical operations and services. For the purpose of paragraph one of this Article, the board of directors shall consider a broad range of severe but plausible scenarios including: 1° lockdown due to pandemics; 2° cyber security incidents including: a. credential and identity theft; 4° s’assurer que les détails de contact sont mis à jour au moins trimestriellement. CHAPITRE III : RÉSILIENCE OPÉRATIONNELLE Section première: Gouvernance Article 29 : Formulation de la tolérance au risque Le Conseil d'administration d'une institution réglementée formule des tolérances au risque pour la perturbation de ses opérations et services essentiels. Aux fins du l’alinéa premier du présent article, le Conseil d'administration tient compte d’un large éventail de scénarios graves mais plausibles, notamment: 1° le confinement en raison d’une pandémie; 2° des incidents de cybersécurité, y compris : a. le vol de titres et d'identité ;

73 b. ubujura bw’amakuru no kuyakoresha uko bishakiye; c. porogaramu za mudasobwa zahagarika ibikorwa kandi zangiza; d. ikoranabuhanga rigenda rivuka: ikoranabuhanga rikurikirana, amafaranga koranabuhanga n'ubwenge bwa mudasobwa; e. amakuru y’ibinyoma agamije kuyobya. 3° Ibiza kamere. Uburyo bwo kwihanganira ingaruka bwashyizweho bugomba kuba bujyanye n’uburyo bwunganira ibikorwa by’ingenzi by'ibigo bigenzurwa aho biri hose. Imiterere, ingano n’imikomerere by’ibikorwa by’ikigo kigenzurwa bigena uko cyihanganira ingaruka. Ingingo ya 30: Ishingiro ry’ishyirwaho ry’uburyo bwo kwihanganira ingaruka Ishyirwaho ry’uburyo bwo kwihanganira b. data theft and manipulation; c. disruptive and destructive malware; d. emerging technologies: block chain, cryptocurrency and artificial intelligence; and e. disinformation. 3° catastrophic natural disasters. The set impact tolerances shall be relevant to the systems and processes supporting regulated institution’s critical operations wherever they are located. The nature, scale and complexity of a regulated institution’s activities shall determine its impact tolerances. Article 30: Basis for expression of impact tolerance The expression of impact tolerance shall b. le vol et la manipulation de données; c. les logiciels malveillants perturbateurs et destructeurs ; d. les technologies émergentes : chaîne de bloc, cryptomonnaie et intelligence artificielle ; et e. la désinformation. 3° les catastrophes naturelles. Les tolérances d'impact fixées doivent être pertinentes pour les systèmes et les processus soutenant les opérations essentielles des institutions réglementées, où qu'elles soient situées. La nature, la taille et la complexité des activités d'une institution réglementée déterminent ses tolérances d'impact. Article 30: Base de l'expression de la tolérance à l'impact L'expression de la tolérance à l'impact se

74 ingaruka rishingira ku bipimo byihariye. Ibipimo bigomba kuba birimo: 1° igihe ntarengwa cyakwihanganirwa; 2° ingano y’imirimo yahagarara; 3° urwego rw’ukudahungaba kw’amakuru; 4° umubare w'abakiriya bagizweho ingaruka. Urwego rw’ubugenzuzi rushobora gushyiriraho urugero rwo kwihanganira ingaruka ikigo kigenzurwa hashingiwe ku bihe by’ibibazo bikomeye ariko bishobora kubaho. Ingingo ya 31: Inshingano z'ubuyobozi bukuru Ubuyobozi bukuru bufite inshingano zikurikira zirebana n’ukudahungabana kw’uburyo bw’imikorere bw’ikigo kigenzurwa: 1° gushyira mu bikorwa uburyo bugenga ukudahungabana kw’uburyo bw’imikorere; refer to specific metrics. Metrics shall include: 1° the maximum tolerable duration; 2° the volume of disruption; 3° the level of data integrity; 4° the number of customers affected. The Supervisory authority may set impact tolerances for a regulated institution within the context of severe, but plausible scenarios. Article 31: Responsibilities of senior management The senior management has the following responsibilities vis-á-vis operational resilience of a regulated institution: 1° implement the operational resilience approach; réfère à des paramètres spécifiques. Les paramètres comprennent : 1° la durée maximale tolérable ; 2° le volume de perturbation ; 3° le niveau d'intégrité des données ; 4° le nombre de clients affectés. L’autorité de contrôle peut fixer des tolérances pour une institution financière dans le cadre de scénarios graves, mais plausibles. Article 31: Responsabilités de la haute direction La Direction générale a les responsabilités suivantes vis-à-vis de la résilience opérationnelle d'une institution réglementée : 1° mettre en œuvre l'approche de la résilience opérationnelle ;

75 2° gukurikirana ko ikigo kigenzurwa gifite abantu n’ibintu bikenewe hagamijwe ko ikigo kigenzurwa gikomeza gushyira imbaraga mu ukudahungabana kw’uburyo bw’imikorere bwacyo; 3° no guha inama y’ubutegetsi raporo yerekeye ibyateza ingorane bishobora kugira ingaruka ku mirimo y’ingenzi y’ikigo kigenzurwa. Inama y’ubutegetsi y’ikigo kigenzurwa igenzura ishyirwa mu bikorwa by’inshingano zivugwa mu gika kibanziriza iki. Ingingo ya 32: Kumenyekanisha uburyo bwerekeye ukudahungabana kw’uburyo bw’imikorere Inama y’ubutegetsi ishyiraho uburyo bwo gusobanukirwa mu buryo bwagutse uburyo ikigo kigenzurwa gikoresha mu kwihanganira ibibazo mu mikorere yacyo binyuze mu kumenyesha neza intego zacyo impande zose bireba harimo: 1° abakozi; 2° ensure the appropriate allocation of resources in order to support a regulated institution’s overall operational resilience efforts; and 3° provide reports to the board of directors on the ongoing potential risks likely to affect a regulated institution’s critical operations. The board of directors of a regulated institution shall oversee the implementation of the above responsibilities. Article 32: Communication of operational resilience approach The board of directors shall establish a broad understanding of a regulated institution’s operational resilience approach through clear communication of its objectives to all relevant parties including: 1° personnel; 2° veiller à ce que les ressources financières, techniques et autres soient allouées de manière appropriée afin de soutenir les efforts globaux de résilience opérationnelle d'une institution réglementée; et 3° transmettre des rapports au Conseil d'administration sur les risques potentiels actuels susceptibles d'affecter les opérations essentielles d'une institution réglementée. Le Conseil d'administration d'une institution réglementée supervise la mise en œuvre des responsabilités visées à l’alinéa précédent. Article 32 : Communication de l'approche de résilience opérationnelle Le Conseil d'administration assure une large compréhension de l'approche de la résilience opérationnelle d'une institution réglementée par une communication claire de ses objectifs à toutes les parties concernées, notamment : 1° le personnel ;

76 2° abandi bantu; n’ 3° ibigo biri mu itsinda rimwe na cyo. Icyiciro cya 2: Gucunga ibyateza ingorane mu mikorere Ingingo ya 33: Ubufatanye hagati ya serivisi no kuzihuza Urwego rucunga ibyateza ingorane rw’ikigo rukorana n’izindi nzego z’imirimo mu gucunga no gukemura ibyateza ingorane byose bishobora kubangamira ibikorwa by’ingenzi n’itangwa rya serivisi. Kubera ibyavuzwe mu gika kibanziriza iki, ikigo kigenzurwa gihuza ibikorwa bikurikira kugira ngo hatabaho igongana mu byerekeye ukudahungabana kw’uburyo bw’imikorere : 1° iteganyamigambi ryo gukomeza imirmo; 2° serivisi z’ingenzi zitangwa n’abatari abakozi b’ikigo; 3° gahunda yo gusubukura imirimo; 2° third parties; and 3° intra-group entities. Section 2: Operational risk management Article 33 Collaboration and coordination between functions The risk management function of a regulated institution shall work with other relevant functions to manage and address any risks that threaten the delivery of critical operations and services. For the purposes of preceding paragraph, a regulated institution shall ensure appropriate coordination with the following to avoid conflict in delivering a consistent approach to operational resilience: 1° business continuity planning; 2° third-party key service; 3° recovery planning; and 2° les tiers ; et 3° les entités intra-groupes. Section 2: Gestion du risque opérationnel Article 33 : Collaboration et coordination entre les fonctions La fonction de gestion des risques d'une institution réglementée collabore avec les autres fonctions concernées pour gérer et traiter les risques qui menacent l’exécution des opérations et services essentiels. Aux fins de l’alinéa précédent, une institution réglementée assure une coordination appropriée avec les tâches suivantes afin d'éviter le conflit dans la mise en œuvre d'une approche cohérente de la résilience opérationnelle : 1° la planification de la continuité des activités ; 2° le service clé d'un tiers ; 3° la planification du redressement et de la résolution ; et

77 4° n’ubundi buryo bwo gucunga ibyateza ingorane. Ingingo ya 34: Amabwiriza asanzwe ariho Ikigo kigenzurwa kigomba kubahiriza amategeko n’amabwiriza asanzweho ajyanye no gucunga ibyateza ingorane, ubugenzuzi bw’imbere mu kigo no gukoresha imirimo abandi bantu imirimo yacyo ku byerekeye ukudahungabana kw’uburyo bw’imikorere. Igice cya 3: Imikoranire n’uburyo bwo kunganirana Ingingo ya 35: Igaragazwa ry’imikoranire n’uburyo bwo kunganirana Inzego z'imirimo mu kigo kigenzurwa zigomba kugaragaza imikoranire n’uburyo bwo kunganirana biri hagati yazo ku bijyanye n’abantu, ikoranabuhanga, inzira ibintu binyuramo, amakuru n’ibikoresho bikenewe kugira ngo ibikorwa by’ingenzi by’ikigo kigenzurwa bikorwe. Uburyo n’amakuru byakoreshejwe mu kugaragaza imikoranire n’uburyo bwo kunganirana bigomba kuba bihagije kugira 4° other relevant risk management frameworks. Article 34: Existing regulatory frameworks A regulated institution shall abide with existing legal and regulatory frameworks as related to risk management, internal control and outsourcing in matters related to operational resilience. Section 3: Interconnections and interdependencies Article 35: Identification of interconnections and interdependencies The respective functions within a regulated institution shall map interconnections and interdependencies among them in relation to people, technology, processes, information and facilities needed to deliver a regulated institution’s critical operations. The approach and details of mapping interconnections and interdependencies shall be sufficient for a regulated 4° les autres cadres pertinents de gestion des risques. Article 34 : Cadres réglementaires existants Une institution réglementée se conforme aux cadres juridiques et réglementaires existants en matière de gestion des risques, de contrôle interne et de l’externalisation en matière de résilience opérationnelle. Section 3: Interconnexions et interdépendances Article 35: Identification des interconnexions et des interdépendances Les fonctions respectives d’une institution réglementée documentent les interconnexions et les interdépendances entre elles concernant les personnes, les technologies, les processus, les informations et les installations nécessaires à la réalisation des opérations essentielles de l’institution réglementée. L'approche et les détails de la documenter les interconnexions et des interdépendances doivent être suffisants pour permettre à une

78 ngo ikigo kigenzurwa kigaragaze ahari intege nke kandi kinabashe kugerageza ubushobozi bwacyo bwo kuguma mu mbago zo kwihanganira ingaruka ziterwa n’ihagarikwa ry’imirimo, hashingiwe ku buryo ikigo kigenzurwa cyiyemeje kwirengera ibyagiteza ingorane no ku ishusho y’ibyagiteza ingorane. Ingingo ya 36: Gusuzuma ibyateza ingorane bikomotse ku kwishingikiriza abandi Ikigo kigenzurwa gikora isuzuma ry’ibyateza ingorane n’igenzura mbere yo gukorana amasezerano n’abandi. Ikigo kigenzurwa kigenzura niba urundi ruhande muri ayo masezerano rwujuje nibura ibisabwa byerekeye ukudahungabana kw’uburyo bw’imikorere bingana n’ibyacyo mu rwego rwo kurinda ibikorwa by’ingenzi by’ikigo kigenzurwa. Amasezerano n’abandi agomba kubahiriza ibikubiye mu mabwiriza agenga kwifashisha undi muntu mu mirimo. institution to identify vulnerabilities and to support testing of their ability to stay within a regulated institution’s risk tolerance for disruption considering a regulated institution’s risk appetite, risk capacity and risk profile. Article 36: Third-party dependency risk assessment A regulated institution shall conduct a risk assessment and due diligence prior to entering into arrangements with the third party. A regulated institution shall verify whether the third party to these arrangements has at least equivalent operational resilience conditions to safeguard a regulated institution’s critical operations. Any arrangement with third party shall comply with the provisions of the regulation on outsourcing. institution réglementée d'identifier les vulnérabilités et de tester leur capacité à rester dans les limites de la tolérance au risque de perturbation de l’institution réglementée, compte tenu du goût du risque, de la capacité du risque et du profil de risque de l’institution réglementée. Article 36 : Évaluation des risques liés à la dépendance d'un tiers Une institution réglementée procède à une évaluation des risques et à un contrôle préalable avant de conclure des accords avec un tiers. Une institution réglementée doit vérifier si le tiers à ces accords dispose au moins des conditions de résilience opérationnelle équivalentes pour sauvegarder les opérations essentielles d'une institution réglementée. Tout accord avec les tiers doit se conformer aux dispositions du règlement relative à l’externalisation.

79 Igice cya 4: Imicungire y’ibibazo Ingingo ya 37: Aho imicungire y’ikibazo igarukira Imicungire y’ibibazo irebana n’uko bitangira n’uko birangira, ariko ntigarukira gusa ku: 1° gushyira mu byiciro ubukana bw’ikibazo bishingiye ku bipimo byashyizweho mbere; 2° gutegura, kubungabunga no kugerageza uburyo bw’imicungire y’ikibazo; no 3° gushyira mu bikorwa gahunda y’itumanaho mu rwego rwo kumenyesha ibyabaye abafatanyabikorwa bo mu gihugu ndetse no hanze yacyo harimo n’ Urwego rw’ubugenzuzi. Ingingo ya 38: Gusuzuma uburyo bwo guhangana n’ikibazo n’uburyo bwo gusubukura imirimo Ibigo bigenzurwa bigomba kugerageza, gusuzuma no kuvugurura uburyo bwo guhangana n’ikibazo n’ubwo gusubukura Section 4: Incidents management Article 37: The scope of incident management The scope of incidents management shall capture the life cycle of an incident typically including, but not limited to: 1° the classification of an incident’s severity based on pre-defined criteria; 2° the development, maintenance and testing of incident management procedures; and 3° the implementation of communication plans to report incidents to both internal and external stakeholders including the Supervisory authority. Article 38: Review of incident response and recovery procedures The regulated institutions shall test, review and update their incident response and recovery procedures. Section 4 : Gestion des incidents Article 37 : Échelle de la gestion des incidents L’échelle de la gestion des incidents englobe le cycle de vie d'un incident, qui comprend généralement, mais pas exclusivement, les éléments suivants : 1° la classification de la gravité d'un incident sur base de critères prédéfinis; 2° l’élaboration, le maintien et l'essai des procédures de gestion des incidents ; et 3° la mise en œuvre des plans de communication pour signaler les incidents aux parties prenantes internes et externes, y compris l’autorité de contrôle. Article 38: Révision de réponse aux incidents et des procédures de la reprise d’activités Les institutions réglementées testent, examinent et actualisent leurs procédures de réponse aux incidents et de reprise

80 imirimo. Urwego rw’ubugenzuzi rushobora gutanga amabwiriza yerekeranye n’uburyo bwo kugerageza, gusuzuma no kuvugurura uburyo bwo guhangana n’ikibazo n’ubwo gusubukura imirimo. Igice cya 5: Ikoranabuhanga mu itangazabumenyi n’itumanaho Ingingo ya 39: Politiki y’ikoranabuhanga mu itangazabumenyi n’itumanaho Ikigo kigenzurwa kigomba kugira politiki yanditse y’ikoranabuhanga mu itangazabumenyi n’itumanaho. Politiki y’ikoranabuhanga mu itangazabumenyi n’itumanaho igomba kugaragaza: 1° ibisabwa mu rwego rw’imiyoborere n’imigenzurire y’ikoranabuhanga mu itumanaho; 2° icyemezo cyo kwirengera no kubazwa ibirebana n’ibyateza ingorane; The Supervisory authority may issue a directive regarding the modalities of testing, reviewing and updating incident response and recovery procedures. Section 5: Information and communication technology Article 39: Information communication technology policy A regulated institution shall have a documented information communication technology policy. Information communication technology policy shall state: 1° information communication technology governance and oversight requirements; 2° risk ownership and accountability; d’activités. L’autorité de contrôle peut émettre une directive concernant les modalités de test, d’examen et d’actualisation des procédures de réponse aux incidents et de reprise d’activités. Section 5: Technologies de l'information et de la communication Article 39: Politique en matière de technologies de l'information et de la communication Une institution réglementée doit avoir une politique documentée en matière de technologies de l'information et de la communication. La politique en matière de technologies de l'information et de la communication doit indiquer : 1° les exigences en matière de gouvernance et de suivi des technologies de l'information et de la communication ; 2° l'appropriation des risques et la reddition des comptes;

81 3° ingamba z’umutekano w’amakuru zirimo nibura ibi bikurikira: a. kugenzura uburyo bwo kwinjira; b. kurinda amakuru akomeye;no c. gucunga umwirondoro. 4° ko hagomba gukora ikurikiranabikorwa n’isuzuma ngarukagihe by’umutekano w’urusobe koranabuhanga; 5° uburyo bwo guhangana n’ibibazo, hamwe na gahunda zo gukomeza imirimo no gusubukura ibikorwa nyuma y’ibiza Ikigo kigenzurwa gisabwa kugira politiki y’ikoranabuhanga mu itangazabumenyi n’itumanaho mu mabwiriza yihariye ntikigengwa n’ibiteganywa muri aya mabwiriza. Ingingo ya 40: Gutuma abantu benshi kandi bari kure bagera ku makuru Iyo cyorohereza abantu kugera ku makuru ari benshi kandi bari kure, ikigo 3° information security measures including but not limited to: a. access controls; b. critical information asset protection; and c. identity management. 4° periodic evaluation and monitoring of cyber security controls; 5° incident response, as well as business continuity and disaster recovery plans. Regulated institution that is required to have ICT policy under a specific regulation is not subject to the provisions of this regulation. Article 40: Implementation of wide-scale remote-access When facilitating the implementation of wide-scale remote-access, a regulated 3° les mesures de sécurité de l'information, y compris, mais sans s'y limiter : a. les contrôles d'accès ; b. la protection des actifs d'information importants ; et c. la gestion de l'identité. 4° l'évaluation et le suivi périodiques des contrôles de cybersécurité ; 5° la réponse aux incidents, ainsi que les plans de continuité des activités et de reprise d’activités en cas de désastre. Une institution réglementée qui est tenue d'avoir une politique en matière de TIC en vertu d'un règlement spécifique n’est pas soumise aux dispositions du présent règlement. Article 40 : Mise en œuvre d'un accès à distance à grande échelle Lorsqu'elle rend possible un accès à distance à grande échelle une institution

82 kigenzurwa kigomba gukurikirana ko: 1° hashyirwaho ingamba zikwiye zo kugabanya ubukana bw’ibyateza ingorane bifitanye isano n’ihagarikwa ry’imirimo cyangwa ihungabanywa ry’ibikoresho by’ikoranabuhanga ; 2° ibyateza ingorane, bifatiwe hamwe n’izi ngamba, bihuje no gukunda kwigerezaho kw’ikigo kigenzurwa no kwihanganira ingorane cyatezwa n’ihagarikwa ry’imirimo; 3° hari uburyo busobanutse neza bwo gucunga umutungo wa kure; 4° amakuru ahora ahuzwa n’igihe. UMUTWE WA IV : INGINGO ZINYURANYE N’IZISOZA Ingingo ya 41: Gushyikiriza raporo Urwego rw’ubugennzuzi Ikigo kigenzurwa kigomba kumenyesha Urwego rw’ubugenzuzi ihagarikabikorwa rikomeye n’ikibazo gikomeye mu gihe cya vuba kandi kitarenze amasaha abiri (2) uhereye igihe icyo gikorwa kibereyeho. institution shall ensure that: 1° appropriate risk mitigation strategies are developed for potential risks associated with a disruption or compromise of technology systems and applications; 2° the risks, taken together with these strategies, fall within the regulated institution’s risk appetite and risk tolerance for disruption; 3° well defined processes for management of remote assets; and 4° regular updates are made to information technology. CHAPTER IV: MISCELLANEOUS AND FINAL PROVISIONS Article 41: Reports to the Supervisory authority A regulated institution shall notify to the Supervisory authority as promptly as possible any major interruption and incidents within a period not exceeding two (2) hours from the occurrence of the réglementée veille à ce que 1° des stratégies appropriées d'atténuation des risques soient élaborées pour les risques potentiels liés à une perturbation ou à une compromission des systèmes et applications technologiques ; 2° les risques, pris conjointement avec ces stratégies, tombent dans le goût du risque de l’institution réglementée et à sa tolérance au risque de perturbation ; 3° des processus bien définis de gestion des actifs à distance; et 4° les technologies de l’ l'information et de la communication sont mises à jour. CHAPITRE III: DISPOSITIONS DIVERSES ET FINALES Article 41: Rapport à l’autorité de contrôle L’institution réglementée doit notifier à l’autorité de contrôle aussi rapidement que possible toute interruption majeure et incident endéans deux (2) heures à compter de la survenance de l’interruption.

83 Hashingiwe ku bivugwa mu gika cya mbere cy’iyi ngingo, ikigo kigenzurwa kigomba gushyikiriza Urwego rw’ubugenzuzi: 1° raporo yuzuye y’ihagarikabikorwa rikomeye mu gihe cy’amasaha 24 uhereye igihe igikorwa kibereyeho ; 2° raporo zibanziriza n’izikurikira igeragezwa mu gihe kitarenze iminsi ibiri (2) y’akazi nbere na nyuma y’igerageza; 3° kopi ya gahunda yo gukomeza imirimo nyuma yo kwemezwa no gusuzumwa mu gihe kitarenze iminsi 15 yakazi; 4° kugerageza buri mwaka gahunda bimaze kwemezwa mu gihe kitarenze iminsi 15 y’akazi; 5° raporo ya buri gihembwe igaragaza ibibazo bikomeye byerekeranye n’urusobe koranabuhanga muri icyo gihembwe, igice cyerekeye abakiriya, serivisi zagizweho ingaruka n’ibitaragezweho, hamwe n’ingamba zafashwe mu event. For the purpose of paragraph One of this Article, a regulated institution shall submit to the Supervisory authority: 1° the full incident report within 24 hours from the occurrence of the interruption; 2° pre and post-test reports and results thereof within a period not exceeding 2 working days before and after the test; 3° a copy of the business continuity plan after its adoption and its review within a period of 15 working days; 4° annual testing of plans after its adoption within a period of 15 working days; 5° a quarterly reporting of major failures during the period for critical systems, customer segment or services impacted due to the failures and steps taken to avoid such failures in future within 15 days after its approval; Aux fins de l’alinéa premier du présent article, l’institution réglementée doit soumettre à l’autorité de contrôle: 1° le rapport complet dans les 24 heures suivant la survenance de l’interruption ; 2° les rapports pré et post-test et leurs résultats dans un délai n'excédant pas 2 jours ouvrables avant et après le test ; 3° une copie du plan de continuité des activités après son adoption et sa révision endéans 15 jours ouvrables ; 4° test annuel des plans après son adoption dans un délai de 15 jours ouvrables ; 5° un rapport trimestriel signalant des défaillances majeures pour les systèmes critiques au cours de cette période, les segments de clientèle ou les services affectés par les défaillances et les mesures prises afin de les éviter dans l’avenir un délai de 15 jours ouvrables ;

84 rwego rwo kwirinda ko ibyo bibazo byazongera kubaho mu gihe cy’iminsi icumi n’itanu y’akazi imaze kwemezwa; 6° raporo y’umwaka ikorwa ku mpera za buri mwaka w’ingengo y’imari igaragaza ibikorwa by’ingenzi, intego zabyo z’isubukurabikorwa n’ingamba z’ikigo kigenzurwa zo kuzigeraho mu gihe cy’amazi ane (4) umwaka urangiye. Ingingo ya 42: Ibisabwa bikwiranye n’ikigo kigenzurwa Ibigo bigenzurwa byubahiriza ibikubiye muri aya mabwiriza rusange, keretse Urwego rw’ubugenzuzi rushizeho amabwiriza agena ibisabwa bikwiranye n’ikigo ku byerekeranye n’imicungire y’ikomeza ry’imirimo n’ukudahungabana kw’uburyo bw’imikorere ku bigo bigenzurwa byihariye, hashingiwe ku miterere, ingano, imikomerere n’iterambere ry’ibikorwa byacyo. Ingingo ya 42: Ibihano byerekeye imyitwarire Mu gihe ikigo kigenzurwa kitubahiriza ibiteganywa n’aya mabwiriza rusange, 6° an annual report at the end of each financial year describing the critical systems, their recovery objectives and a regulated institution’ strategy to achieve them within four (4) months after end of the financial year. Article 42: Tailored requirements Regulated institution shall comply with provisions of this regulation, unless the Supervisory authority issue by a Directive tailored requirements of business continuity management and operational resilience to specific regulated institutions proportionate to the nature, size, complexity and maturity in its business operations. Article 43: Disciplinary sanctions and penalties Where a regulated institution fails to satisfy any of the requirements of this 6° un rapport annuel à la fin de chaque exercice fiscal décrivant les systèmes critiques, leurs objectives de reprise d’activités et la stratégie de l’institution réglementée pour les atteindre dans un délai de quatre(4) mois après la fin de l’année fiscal. Article 42 : Exigences adaptées Les institutions réglementées doivent se conformer aux dispositions du présent règlement, l’autorité de contrôle peut par une directive émettre des exigences adaptées en matière de gestion de la continuité des activités et de la résilience opérationnelle aux institutions réglementées spécifiques, proportionnelles à la nature, à la taille, à la complexité et à la maturité de ses activités. Article 43: Sanctions disciplinaires et pénalités Lorsqu’une institution réglementée ne se conforme pas aux exigences du présent

85 Supervisory authority rushobora gufata kimwe mu bihano biteganywa mu ngingo z’amategeko agenga urwego rw’imari kibarizwano cyangwa ibiteganywa mu yandi mabwiriza abigenga. Bitabangamiye ibivugwa mu gika cya mbere cy’iyi ngingo, ikigo kigenzurwa kitubahirije ibivugwa muri aya mabwiriza,gishibora guhanishwa ihazabu rikwiranye n’urugero rw’ikosa nk'uko biteganywa n’umugereka w’aya mabwiriza. Ihazabu ikwiranye n’icyiciro cy’ikigo kigenzurwa, ingaruka z’ikosa ku rwego rw’imari, igihombo ryateje abakiriya, kuba ikosa ryarakozwe nkana cyangwa kubera uburangare kimwe no kuba ikibazo cyabgwa ingorane zarabaye inshuro zirenze imwe. Ingingo ya 44: Igihe cy’inzibacyuho Ibigo bigenzurwa biturubahiriza ibiteganwa n’aya mabwiriza rusange bihawe igihe cy’umwaka umwe kugira ngo byubahirize ibiteganywa n’aya mabwiriza rusange uhereye igihe atangarijwe mu Igazeti ya Leta ya Repubulika y’u Rwanda. regulation, the Supervisory authority may apply any sanctions available under the provisions of the Law governing the financial sector in which it belongs or relevant regulations. Notwithstanding the Paragraph One of this Article, the regulated institution failing to comply with the provisions of this regulation may be subject to pecuniary sanctions appropriate to the violation as provided for in the appendix of this regulation. The pecuniary sanction shall be proportionate to the category of a regulated institution, the effect of the violation to the financial system, loss caused to the customer; whether the violation was deliberate or reckless as well as repetitive occurrence of the event/incidents. Article 44: Transitional period Regulated institutions that do not comply with the provisions of this regulation are given a period of One year to comply with the provisions of this regulation from the date of its publication in the Official Gazette of the Republic of Rwanda. règlement, l’autorité de contrôle peut imposer toute sanction prévue par les dispositions des lois régissant le secteur financier auquel elle appartient ou tout autre règlement y relatif. Sans préjudice de l’alinéa premier du présent article, l'institution réglementée qui ne respecte pas les dispositions du présent règlement peut être est passible de sanctions pécuniaires appropriées à la violation, comme prévu à l'annexe du présent règlement. La sanction pécuniaire est proportionnelle à la catégorie de l’institution réglementée, à l’effet de la violation sur le système financier, au préjudice causé au client, au caractère délibéré ou imprudent de la violation ainsi qu'au caractère répétitif de l'événement/des incidents. Article 44 : Période de transition Les institutions réglementées qui ne se conforment pas aux dispositions du présent règlement disposent d'un délai d'un an pour se conformer aux dispositions du présent règlement à compter du jour de sa publication au Journal officiel de la République du Rwanda.

86 Ingingo ya 45: Ivanwaho ry’ingingo zinyuranyije n’aya mabwiriza Amabwiriza rusange no 04/2018 yo ku wa 24/01/ 2018 yerekeye imicungire y’ikomeza ry’imirimo n’ingingo zose z’amabwiriza abanziriza aya kandi zinyuranyije nayo zivanyweho. Ingingo ya 46: Itegurwa, isuzumwa n’iyemezwa ry’aya mabwiriza rusange Aya mabwiriza rusange yateguwe, asuzumwa kandi yemezwa mu rurimi rw’icyongereza. Ingingo ya 47: Igihe aya mabwiriza atangirira gukurikizwa Aya mabwiriza atangira gukurikizwa ku munsi atangarijweho mu Igazeti ya Leta ya Repubulika y’u Rwanda. Article 45: Repealing of inconsistent provisions Regulation N° 04/2018 of 24/01/ 2018 on business continuity management and all prior provisions contrary to this regulation are hereby repealed. Article 46: Drafting, consideration and approval of this regulation This Regulation was drafted, considered and approved in English. Article 47: Commencement This regulation shall come into force on the date of its publication in the Official Gazette of the Republic of Rwanda. Article 45: Disposition abrogatoire Le Règlement no 04/2018 du 24/01/ 2018 sur la gestion de la continuité des activités et toutes les dispositions antérieures contraires au présent règlement sont abrogées. Article 46: Initiation, examen et approbation du présent règlement Le présent règlement a été initié, examiné et approuvé en anglais. Article 47: Entrée en vigueur Le présent règlement entre en vigueur le jour de sa publication au Journal Officiel de la République du Rwanda.

87 Kigali, 02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho ikirango cya Repubulika: Sean and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux

88 UMUGEREKA- Amakosa n’ibihano by’ihazabu bikwiranye na yo No Ikosa Banki Ushinzwe imikoreshereze y’uburyo bwo kwishyurana/ Utanga serivisi z’ibiro by’amakuru ku myenda Ubwishingizi Ubwiteganyirize bwa pansiyo butegetswe Ubwiteganyirize bwa pansiyo ku bushake Abatang a serivisi z’ubwite ganyirize Sosiyete y’imari iciriritse yakira amafaran ga abitswa/ Abatanga amafaran ga ari mu buryo bw’ikoran abuhanga Ibiro by’ivunjisha /Abahuza mu bwishingizi /Abandi batanga serivisi z’imari Koperative y’imari iciriritse yakira amafaranga abitswa

1. Kutagira politiki y’imicungire y’ikomeza ry’imirimo (BCM) irimo ibisabwa byose 5.000.000 2.000.000 1.000.000 1.000.000 300.000 500.000 500.000 300.000 200.000
2. Kudakora isesengura ry’ingaruka ku mirimo (BIA) 5.000.000 3.000.000 1.000.000 1.000.000 200.000 500.000 500.000 200.000 100.000
3. Kutagira gahunda zihamye z’ikomeza ry’imirimo (BCP) 5.000.000 3.000.000 1.000.000 1.000.000 200.000 500.000 500.000 200.000 100.000 4 Kutagira imirimo, serivisi cyangwa uburyo by’isubukurabikorwa hashingiwe ku ntego z’igihe cy’isubukura zashyizweho 5.000.000 3.000.000 1.000.000 1.000.000 200.000 500.000 500.000 200.000 100.000
4. Kutagira ahantu ho kwimukira mu gihe cy’amage (DRS) hujuje ibisabwa 5.000.000 3.000,000 1.000,000 1.000.000 200.000 500.000 500.000 200.000 100.000
5. Kutagira ahantu ho kwimukira mu gihe 5.000.000 3.000.000 1.000.000 1.000.000 200.000 500.000 500.000 200.000 100.000

89 cy’amage hari ku ntera isabwa 7. Kutagerageza BCP harimo na DRS 5.000.000 3.000.000 1.000.000 1.000.000 200.000 500.000 500.000 200.000 100.000 8. Kutageza mu gihe gikwiye amakuru yari ari ahasanzwe hakorerwa ahantu ho kwimukira mu gihe cy’amage 5.000,000 3.000.000 1.000.000 1.000.000 200.000 500.000 500.000 200.000 100.000 9. Kutagira itsinda rishinzwe imicungire y’amage rifite ubushobozi 5..000.000 3.000.000 1.000.000 1.000.000 200.000 500.000 500.000 200.000 100.000 10. Kutagira uburyo bwo gucunga ibibazo 5.000.000 3.000.000 1,000,000 1.000.000 200.000 500.000 500.000 200.000 100.000 11. Kutagira uburyo bwiza bw’itumanaho 5.000.000 3.000.000 1,000.000 1.000.000 200.000 500.000 500.000 200.000 100.000 12. Gukererwa gusubukura ibikorwa, serivisi n’uburyo bw’imikorere bigira ingaruka ku bakiriya hakurikijwe intego z’igihe cy’isubukura zashyizweho 0,1% by’inyungu yose ibikorwa byinjije (hakurikijw e raporo y’imari y’umwaka ushize yagenzuwe) kuva ku masaha 2 kugeza ku masaha 4. 0,005% by’amafara nga yose 0,1% by’inyungu yose ibikorwa byinjije (hakurikijwe raporo y’imari y’umwaka ushize yagenzuwe) kuva ku masaha 2 kugeza ku masaha 4. 0,005% by’amafaranga yose ibikorwa 0,1% by’amafaranga yishyuwe n’uwishingiwe (hakurikijwe raporo y’imari y’umwaka ushize yagenzuwe) kuva ku masaha 2 kugeza ku masaha 4. 0,005% by’amafaranga yishyurwa 0,1% by’amafaranga yinjijwe n’ibikorwa by’ishoramari (hakurikijwe raporo y’imari y’umwaka ushize yagenzuwe) kuva ku masaha 2 kugeza ku masaha 4. 0,005% by’amafaranga yinjijwe 0,1% by’inyungu yose (hakurikijwe raporo y’imari y’umwaka ushize yagenzuwe) 0,005% by’inyungu ibikorwa byinjije 0,1% by’inyun gu yose ibikorwa byinjije (hakurikij we raporo y’imari y’umwak a ushize yagenzu we) kuva ku masaha 2 kugeza ku masaha 4. 0,005% by’inyun gu 0,1% by’inyung u yose ibikorwa byinjije (hakurikij we raporo y’imari y’umwaka ushize yagenzuwe ) kuva ku masaha 2 kugeza ku masaha 4. 0,005% by’amafara nga yose 0,1% by’inyungu yose ibikorwa byinjije (hakurikijwe raporo y’imari y’umwaka ushize yagenzuwe) kuva ku masaha 2 kugeza ku masaha 4. 0,005% by’amafarang a yose 0,1% by’inyungu yose ibikorwa byinjije (hakurikijwe raporo y’imari y’umwaka ushize yagenzuwe) kuva ku masaha 2 kugeza ku masaha 4. 0,005% by’amafarang a yose

90 ibikorwa byinjije (hakurikijw e raporo y’imari y’umwaka ushize yagenzuwe) kuri buri saha nyuma y’amasaha 4 kugeza habaye isubukura. byinjije (hakurikijwe raporo y’imari y’umwaka ushize yagenzuwe) kuri buri saha nyuma y’amasaha 4 kugeza habaye isubukura. n’uwishingiwe (hakurikijwe raporo y’imari y’umwaka ushize yagenzuwe) ku isaha kugeza habaye isubukura. n’ibikorwa by’ishoramari (hakurikijwe raporo y’imari y’umwaka ushize yagenzuwe) ku isaha kugeza habaye isubukura. (hakurikijwe raporo y’imari y’umwaka ushize yagenzuwe) kuri buri saha nyuma y’amasaha 4 kugeza habaye isubukura. ibikorwa byinjije (hakurikij we raporo y’imari y’umwak a ushize yagenzu we) kuri buri saha nyuma y’amasah a 4 kugeza habaye isubukura ibikorwa byinjije (hakurikij we raporo y’imari y’umwaka ushize yagenzuwe ) kuri buri saha nyuma y’amasaha 4 kugeza habaye isubukura. ibikorwa byinjije (hakurikijwe raporo y’imari y’umwaka ushize yagenzuwe) kuri buri saha nyuma y’amasaha 4 kugeza habaye isubukura. ibikorwa byinjije (hakurikijwe raporo y’imari y’umwaka ushize yagenzuwe) kuri buri saha nyuma y’amasaha 4 kugeza habaye isubukura. 13 Kutubahiriza ibindi bisabwa n’amabwiriza bivugwa muri aya mabwiriza 1.000.000 500.000 200.000 100.000

91 APPENDIX- Violations and their corresponding pecuniary sanctions No Violation Bank Operator of Payment system/ Operator of Credit Bureau Insurance Mandatory pension scheme Voluntary pension scheme Pension Service Provider Deposits Taking MF company/E￾Money issuer Forex bureau/Insuran ce Brokers/Other Financial Services Providers Deposit-taking microfinance cooperative

1. Failure to have a Business Continuity Management (BCM) Policy that cover all requirements 5,000,000 2,000,000 1,000,000 1,000,000 300,000 500,000 500,000 300,000 200,000
2. Failure to undertake Business Impact Analysis(BIA) 5,000,000 3,000,000 1,000,000 1,000,000 200,000 500,000 500,000 200,000 100,000
3. Failure to have an effective Business Continuity Plans( BCPs) 5,000,000 3,000,000 1,000,000 1,000,000 200,000 500,000 500,000 200,000 100,000 4 Failure to recover operations, services or systems as per the set Recovery Time Objectives 5,000,000 3,000,000 1,000,000 1,000,000 200,000 500,000 500,000 200,000 100,000
4. Failure to have a Disaster Recovery Site(DRS) that meet the requirements 5,000,000 3,000,000 1,000,000 1,000,000 200,000 500,000 500,000 200,000 100,000
5. Failure to locate Disaster Recovery 5,000,000 3,000,000 1,000,000 1,000,000 200,000 500,000 500,000 200,000 100,000

92 Site within the required distance 7. Failure to test the BCPs including DRS 5,000,000 3,000,000 1,000,000 1,000,000 200,000 500,000 500,000 200,000 100,000 8. Failure to ensure real-time data replication between primary site and disaster recovery site 5,000,000 3,000,000 1,000,000 1,000,000 200,000 500,000 500,000 200,000 100,000 9. Failure to have an effective Crisis Management Team 5,000,000 3,000,000 1,000,00 1,000,000 200,000 500,000 500,000 200,000 100,000 10. Failure to have an incident management procedures 5,000,000 3,000,000 1,000,000 1,000,000 200,000 500,000 500,000 200,000 100,00 11. Failure to have an effective communication procedures 5,000,000 3,000,000 1,000,000 1,000,000 200,000 500,000 500,000 200,000 100,000 12. Delays to resume critical business operations, services or system impacting the customers as per the set Recovery Time Objectives 0.1%of total operating income ( as per the previous year audited financial statement s) from 2 hours to 4 hours. 0.1% of total operating income ( as per the previous year audited financial statements)from 2 hours to 4hours. 0.1% net earned premiums ( as per the previous year audited financial statements) 0.1% of total net investment income ( as per the previous year audited financial statements )from 2 hours to 4hours. 0.1% of total net income ( as per the previous year 0.1% of total operating income ( as per the previous year audited financial statements )from 2 hours to 4hours. 0.1% of total operating income ( as per the previous year audited financial statements) from 2 hours to 4hours. 0.1% of total operating income ( as per the previous year audited financial statements) from 2 hours to 4hours. 0.1% of total operating income ( as per the previous year audited financial statements) from 2 hours to 4hours.

93 0.005% of total operating income( as per the previous year audited financial statement s) per each hour after 4 hours up to the resumptio n 0.005 % of total operating income( as per the previous year audited financial statements ) per each hour after 4 hours up to the resumption 0.005 % of net earned premium ( as per the previous year audited financial statements) per hour up to the resumption 0.005 % of total net investment income ( as per the previous year audited financial statements) per hour up to the resumption 0.005 % of total operating income( as per the previous year audited financial statements ) per each hour after 4 hours up to the resumption 0.005 % of total operating income( as per the previous year audited financial statements ) per each hour after 4 hours up to the resumption 0.005 % of total operating income( as per the previous year audited financial statements ) per each hour after 4 hours up to the resumption 0.005 % of gross operating income( as per the previous year audited financial statements ) per each hour after 4 hours up to the resumption 0.005 % of total operating income( as per the previous year audited financial statements) per each hour after 4 hours up to the resumption 13 Failure to meet any other regulatory requirements provided in this regulation 1,000,000 500,000 200,000 100,000

94 Annexe - Violations et sanctions pécuniaires appropriées No Violation Banque Opérateur du system de paiement / Opérateur du bureau de crédit Assuranc e Régime de pension obligatoire Régime de pension volontaire Prestataires de services de pension Société de microfinance de dépôt/ Émetteurs de monnaie électronique Bureau de change/Courtiers d'assurance/ Autres prestataires de services financiers Coopérative de microfinance de dépôt

1. Absence d'une politique de gestion de la continuité des activités qui couvre toutes les exigences 5.000.000 2.000.000 1.000.000 1.000.000 300.000 500.000 500.000 300.000 200.000
2. Absence d'analyse de l'impact sur les activités 5.000.000 3.000.000 1.000.000 1.000.000 200.000 500.000 500.000 200.000 100.000
3. Absence de plans de continuité des activités (BCP) efficaces 5.000.000 3.000.000 1.000.000 1.000.000 200.000 500.000 500.000 200.000 100.000 4 Absence de reprise des opérations, services ou systèmes conformément aux objectifs de délai de reprise 5.000.000 3.000.000 1.000.000 1.000.000 200.000 500.000 500.000 200.000 100.000
4. Absence d'un site de reprise d’activités après sinistre répondant aux exigences 5.000.000 3.000.000 1.000.000 1.000.000 200.000 500.000 500.000 200.000 100.000
5. Impossibilité de localiser un site de reprise d’activités en cas de désastre sinistre (DRS) à la distance requise 5.000.000 3.000.000 1.000.000 1.000.000 200.000 500.000 500.000 200.000 100.000

95 7. Incapacité de tester les BCP, y compris le DRS 5.000.000 3.000.000 1.000.000 1.000.000 200.000 500.000 500.000 200.000 100.000 8. Incapacité à assurer la reproduction des données en temps réel entre le site principal et le site de reprise d’activités en cas de désastre 5.000.000 3.000.000 1.000.000 1.000.000 200.000 500.000 500.000 200.000 100.000 9. Absence d'une équipe de gestion de crise efficace 5.000.000 3.000.000 1.000.00 1.000.000 200.000 500.000 500.000 200.000 100.000 10. Absence de procédures de gestion des incidents 5.000.000 3.000.000 1.000.000 1.000.000 200.000 500.000 500.000 200.000 100.000 11. Absence de procédures de communication efficaces 5.000.000 3.000.000 1.000.000 1.000.000 200.000 500.000 500.000 200.000 100.000 12. Retards dans la reprise des opérations, services ou systèmes commerciaux essentiels ayant un impact sur les clients, conformément aux objectifs de délai de reprise fixés 0,1 % du total des revenus d'exploitatio n total (selon les états financiers audités de l'année précédente) de 2 à 4 heures. 0,005% du revenu d'exploitatio n (selon les 0,1 % du total des revenus d'exploitation (selon les états financiers audités de l'année précédente) de 2 à 4 heures. 0,005 % du revenu d'exploitation (selon les états 0,1 % de primes nettes acquises (selon les états financiers audités de l'année précédente ) 0,005 % de primes nettes acquises 0,1 % du revenu net total des investissemen ts (selon les états financiers audités de l'année précédente) de 2 à 4 heures. 0,005 % du revenu net total des investissemen 0,1% du revenu net total (comme l'année précédente) 0,005 % du revenu d'exploitati on (selon 0,1% du total des revenus d'exploitation (selon les états financiers audités de l'année précédente) de 2 à 4 heures. 0,005 % du revenu d'exploitation (selon les 0,1% du total des revenus d'exploitation (selon les états financiers audités de l'année précédente) de 2 à 4 heures. 0,005 % du revenu d'exploitation (selon les 0,1 % du total des revenus d'exploitation (selon les états financiers audités de l'année précédente) de 2 à 4 heures. 0,005 % du revenu brut d'exploitation (selon les états financiers audités de 0,1 % du total des revenus d'exploitation (selon les états financiers audités de l'année précédente) de 2 à 4 heures. 0,005 % du revenu brut d'exploitation (selon les états

96 états financiers audités de l'année précédente) par heure après 4 heures jusqu'à la reprise financiers audités de l'année précédente) par heure après 4 heures jusqu'à la reprise (selon les états financiers audités de l'année précédente ) par heure jusqu'à la reprise ts (selon les états financiers audités de l'année précédente) par heure jusqu'à la reprise les états financiers audités de l'année précédente) par heure après 4 heures jusqu'à la reprise états financiers audités de l'année précédente) par heure après 4 heures jusqu'à la reprise états financiers audités de l'année précédente) par heure après 4 heures jusqu'à la reprise l'année précédente) par heure après 4 heures jusqu'à la reprise financiers audités de l'année précédente) par heure après 4 heures jusqu'à la reprise 13. Non-conformité à toute autre exigence réglementaire prévue dans le présent règlement 1.000.000 500.000 200.000 100.000 BIBONYWE KUGIRANGO BISHYIRWE KU MUGEREKA W’AMABWIRIZA RUSANGE No43/2022 YO KU WA 02/06/2022 AGENGA IMICUNGIRE Y’IKOMEZA RY’IMIRIMO N’UKUDAHUNGABANA K’UBURYO BW’IMIKORERE MU BIGO BIGENZURWA SEEN TO BE ANNEXED ON REGULATION No 43/2022 OF 02/06/2022 GOVERNING BUSINESS CONTINUITY MANAGEMENT AND OPERATIONAL RESILIENCE FOR REGULATED INSTITUTIONS VU POUR ETRE ANNEXE AU RÈGLEMENT No43/2022 DU 02/06/2022 RÉGISSANT LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS ET LA RÉSILIENCE OPÉRATIONNELLE DANS LES INSTITUTIONS RÉGLEMENTÉES

97 Kigali, 02/06/2022 (sé) RWANGOMBWA John Guverineri Governor Gouverneur Bibonywe kandi bishyizweho ikirango cya Repubulika: Sean and sealed with the Seal of the Republic: Vu et scellé du Sceau de la République: (sé) Dr UGIRASHEBUJA Emmanuel Minisitiri w’Ubutabera akaba n’Intumwa Nkuru ya Leta Minister of Justice and Attorney General Ministre de la Justice et Garde des Sceaux