Die zuständigen Behörden stellen sicher, dass die Institute zur Beurteilung und Steuerung ihrer operationellen Risiken, einschließlich des Modellrisikos und des mit einer Auslagerung verbundenen Risikos, sowie zur Absicherung gegen selten eintretende Ereignisse mit gravierenden Folgen auf Grundsätze und Verfahren zurückgreifen. Die Institute legen fest, was für die Zwecke dieser Grundsätze und Verfahren ein operationelles Risiko darstellt.

Die zuständigen Behörden stellen sicher, dass die Institute über angemessene Notfall- und Geschäftsfortführungsleitlinien und -pläne verfügen, einschließlich IKT-Geschäftsfortführungsleitlinien und -plänen sowie IKT- Reaktions- und Wiederherstellungsplänen in Bezug auf die von ihnen genutzte Technologie zur Übermittlung von Informationen, und dass diese Pläne gemäß Artikel 11 der Verordnung (EU) 2022/2554 eingerichtet, verwaltet und getestet werden, damit Institute bei einer schwerwiegenden Betriebsunterbrechung geschäftlich tätig bleiben und Verluste in Folge einer solchen Unterbrechung begrenzen können.