§ 40
(1) Povinná osoba zavede a udržuje zásady a postupy pro vyhodnocování a ovlivňování míry podstupovaného operačního rizika, včetně rizika modelů a rizika outsourcingu a včetně zohlednění málo častých významných událostí. Povinná osoba stanoví, co tvoří operační riziko pro účely těchto zásad a postupů, aniž by tímto bylo dotčeno vymezení operačního rizika podle článku 4 odst. 1 bodu 52 nařízení.
(2) Povinná osoba vytvoří a udržuje pohotovostní plány, kterými se rozumí plány pro mimořádné situace včetně havarijních a krizových situací a pro obnovu činností, k zajištění schopnosti povinné osoby průběžně vykonávat činnosti a k limitování ztrát v případě významného narušení činností.