Pohotovostní plány při outsourcingu
39. Před zahájením využívání outsourcingu povinná osoba stanoví pohotovostní plán. Pohotovostní plán určí jednoznačně postup pro případ, že poskytovatel outsourcingu nebude schopen nebo ochoten řádně vykonávat předmětnou činnost nebo že dojde k jinému nežádoucímu vývoji při využívání outsourcingu.
40. Obsah a míra podrobnosti pohotovostního plánu zohledňují význam a prioritu obnovy a kontinuity činnosti vykonávané prostřednictvím outsourcingu z hlediska celkových priorit povinné osoby při zajišťování obnovy a kontinuity svých činností v případě mimořádné události.
41. Pohotovostní plán zahrnuje způsob odezvy povinné osoby na jednostranné ukončení outsourcingu a případ, kdy je jeho ukončení požadavkem dohledu České národní banky v rámci opatření uložených Českou národní bankou k nápravě nedostatků zjištěných při výkonu dohledu nad dodržováním povinností stanovených právními předpisy povinnou osobou.
42. Povinná osoba připravuje, prověřuje, vyhodnocuje a případně aktualizuje pohotovostní plány pravidelně a zejména v návaznosti na významné změny v provozních a jiných podmínkách relevantních využívání outsourcingu.
43. Povinná osoba zajistí, že
a) jsou stanoveny vnitřní postupy pro přípravu, schvalování, testování a aktualizace pohotovostních plánů,
b) prověřování pohotovostních plánů jejich testováním je prováděno pravidelně a po jejich významných úpravách, nebo pokud potřeba opětovného testování vyplývá z výsledků testů,
c) výsledky testů pohotovostních plánů jsou dokumentovány,
d) je prováděna kontrola dodržování postupů pro pohotovostní plánování a kontrola testování těchto plánů a
e) jsou přijímána nápravná opatření k odstranění zjištěných nedostatků v oblasti pohotovostního plánování a odstranění je sledováno a vyhodnocováno.
44. Za účelem efektivního omezení finančních nebo jiných ztrát povinné osoby následkem mimořádné události včetně ztráty dat nebo jiných informací významných pro povinnou osobu povinná osoba vyhodnotí a v pohotovostním plánu zohlední možné následky selhání nebo neplnění ze strany konkrétního poskytovatele outsourcingu a proti této možnosti a případným dopadům mimořádné události se adekvátně zajistí také v příslušné smlouvě s poskytovatelem outsourcingu [bod 37, zejména písm. e), g) a h)].