(1) Tuzemská pojišťovna a tuzemská zajišťovna zavede, udržuje a uplatňuje účinný řídicí a kontrolní systém, který zajišťuje řádné a obezřetné řízení její činnosti a dodržování požadavků podle § 7 až 7i; tento systém zahrnuje nejméně

a) přiměřenou a jasně vymezenou organizační strukturu s jasným určením a vhodným oddělením povinností,

b) účinný způsob předávání informací,

c) řízení rizik, kontrolu zajišťování shody s předpisy, vnitřní audit a pojistněmatematické činnosti,

d) postupy pro schvalování každého pojistného produktu a jeho významných změn před jeho distribucí zákazníkům podle zákona upravujícího distribuci pojištění a zajištění a

e) systém odměňování osob podle § 8.

(2) Řídicí a kontrolní systém je přiměřený povaze, rozsahu a složitosti činností tuzemské pojišťovny nebo tuzemské zajišťovny a je předmětem pravidelného vnitřního přezkumu.

(3) Tuzemská pojišťovna a tuzemská zajišťovna musí mít svým statutárním orgánem schválenou písemnou koncepci, pokud jde alespoň o řízení rizik, vnitřní kontrolu, vnitřní audit, případně též, pokud jde o externí zajištění činností, a zajistí, aby byla tato koncepce naplňována; jde-li o monistický systém vnitřní struktury pojišťovny nebo zajišťovny, rozumí se pro účely tohoto zákona statutárním orgánem správní rada. Pravidelně, nejméně však jednou ročně, přezkoumává její funkčnost. Její úpravu je povinna provést v souvislosti s jakoukoli významnou změnou ve svém řídicím a kontrolním systému nebo v některé oblasti své činnosti.

(4) K zajištění kontinuity a řádného a obezřetného výkonu svých činností tuzemská pojišťovna a tuzemská zajišťovna přijme vhodná opatření, včetně vypracování pohotovostních plánů. K tomuto účelu používá vhodné a přiměřené systémy, zdroje a postupy a zavede a řídí sítě a informační systémy. Požadavky na sítě a informační systémy upravuje přímo použitelný předpis Evropské unie upravující digitální provozní odolnost finančního sektoru⁴⁵).