„PRILOG IV.a

USLUGA TIPS-a ZA PODSUSTAVE KOJI NAMIRUJU TRENUTAČNA PLAĆANJA

1.   Definicije

Za potrebe ovog Priloga i nastavno na definicije iz članka 1. Priloga II:b:

(1)	„središnja banka podsustava (ASCB)” znači SB Eurosustava s kojim odgovarajući podsustav koji namiruje trenutačna plaćanja u vlastitim knjigama ima dvostrani sporazum o namiri trenutačnih plaćanja podsustava;

(2)

„temeljni bruto obujam” znači broj trenutačnih plaćanja namirenih u knjigama podsustava i omogućenih sredstvima koja se drže na tehničkom računu podsustava za TIPS. Ne uključuje trenutačna plaćanja na namjenske gotovinske račune za TIPS ili s njih ili na druge tehničke račune podsustava za TIPS ili s njih;

(3)	„inicijator” znači subjekt kojeg je kao takvog odredio podsustav i kojem je dozvoljeno slanje naloga za plaćanje platformi TIPS i/ili primanje naloga za plaćanje s platforme TIPS u ime tog podsustava ili dostupne strane tog podsustava.

2.   Unos naloga za plaćanje u sustav i njihova neopozivost

Primjena članka 20. Priloga II.b u vezi s trenutkom unosa naloga za trenutačno plaćanje, pozitivnih odgovora na opoziv i naloga za prijenos likvidnosti s DCA-a za TIPS na tehnički račun podsustava za TIPS te naloga za prijenos likvidnosti s tehničkog računa podsustava za TIPS na DCA-a za TIPS u odgovarajućoj komponenti sustava TARGET2 nema nikakav učinak na bilo koja pravila podsustava koja određuju trenutak unosa u podsustav i/ili neopozivost naloga za prijenos podnesenih takvom podsustavu u trenutku prije trenutka unosa odgovarajućeg naloga za plaćanje u odgovarajuću komponentu sustava TARGET2.

3.   Računi za potporu namire trenutačnih plaćanja u vlastitim knjigama podsustava

(1)	Kako bi se podržala namira trenutačnih plaćanja povezanih s podsustavima u TIPS-u, otvara se jedan tehnički račun podsustava za TIPS.

(2)

Tehnički račun podsustava za TIPS određuje se pomoću jedinstvenog broja računa koji ima do 34 znaka i strukturiran je kako je navedeno u tablici:   Naziv Oblik Sadržaj Dio A Vrsta računa Točno 1 znak „A” za tehnički račun za podsustav Oznaka zemlje središnje banke Točno 2 znaka ISO oznaka zemlje 3166-1 Oznaka valute Točno 3 znaka EUR Dio B Imatelj računa Točno 11 znakova BIC Dio C Daljnja raščlamba računa Do 17 znakova Slobodan tekst (alfanumerički) koji osigurava imatelj računa

(3)	Tehnički račun podsustava za TIPS smije biti isključivo nula ili pozitivan tijekom dana, a preko noći smije održavati pozitivan saldo. Prekonoćni saldo na računu podliježe istim pravilima remuneracije koja se primjenjuju na jamstvene fondove prema članku 11. ove Smjernice.

4.   Postupak namire

(1)	Podsustav koristi tehnički račun podsustava za TIPS za prikupljanje potrebne likvidnosti koju su izdvojili njegovi klirinški članovi za povećanje svojih pozicija.

(2)	Podsustav će na zahtjev biti obaviješten o odobrenju i terećenju njegova tehničkog računa za TIPS.

(3)

Podsustav može poslati naloge za trenutačno plaćanje i pozitivne odgovore na opoziv bilo kojem imatelju DCA za TIPS ili podsustavu za TIPS. Podsustav prima i obrađuje naloge za trenutačno plaćanje, zahtjeve za opoziv i pozitivne odgovore na opoziv bilo kojeg imatelja DCA-a za TIPS ili podsustava za TIPS.

5.   Korisničko sučelje

(1)	Imatelj tehničkog računa podsustava za TIPS pristupa platformi TIPS u načinu A2A i može se također povezati u načinu U2A izravno ili preko jednog ili više inicijatora.

(2)

Pristup platformi TIPS omogućuje imateljima tehničkog računa podsustava za TIPS sljedeće: (a) pristup informacijama koje se odnose na njihove račune i upravljanje bilješkama o odobrenom iznosu; (b) iniciranje naloga za prijenos likvidnosti s tehničkog računa podsustava za TIPS na DCA za TIPS; i (c) upravljanje određenim statičkim podatcima.

6.   Popis naknada i izdavanje računa

(1)

Za podsustav u TIPS-u primjenjuju se svi sljedeći uvjeti: (a) transakcijska naknada izračunata na osnovi popisa naknada koji je utvrđen za imatelje DCA-a za TIPS u Dodatku IV. Priloga II.b; (b) naknada zasnovana na temeljnom bruto obujmu trenutačnih plaćanja namirenih na vlastitoj platformi podsustava i koju omogućuju prethodno povećane pozicije na tehničkom računu podsustava za TIPS. Naknada iznosi 0,0005 EUR po trenutačnom plaćanju.

(2)

Temeljni bruto obujam trenutačnih plaćanja podsustava izračunava ASCB svaki mjesec na temelju odnosnog bruto obujma tijekom prethodnog mjeseca zaokruženog na najbližih deset tisuća i iskazuje ga podsustav najkasnije do trećeg radnog dana sljedećeg mjeseca. Izračunan bruto obujam primjenjuje se za izračun naknade tijekom sljedećeg mjeseca.

(3)

Svaki podsustav prima račun od svojeg ASCB-a za prethodni mjesec na temelju naknada iz točke 1. ovog stavka, najkasnije devetog radnog dana sljedećeg mjeseca. Plaćanja se ne smiju izvršiti kasnije od 14. radnog dana mjeseca u kojem je izdan račun na račun koji odredi ASCB ili se terete s računa koji odredi podsustav.

(4)

Za potrebe popisa naknada i izdavanja računa u skladu s ovim Prilogom: (a) podsustav koji je određen kao sustav u skladu s Direktivom 98/26/EZ tretira se kao zasebni podsustav, neovisno o tome što njime upravlja pravna osoba koja upravlja drugim podsustavom; (b) podsustav koji nije određen kao sustav u skladu s Direktivom 98/26/EZ tretira se kao zasebni podsustav ako ispunjava sljedeće kriterije: i. radi se o formalnom dogovoru u obliku ugovora ili zakonodavnog instrumenta; ii. ima više od jednog [člana] [sudionika] [osim operatora sustava tog sustava]; iii. osnovan je za potrebe obračuna, netiranja i/ili namire plaćanja i/ili vrijednosnih papira između sudionika; i iv. primjenjuje zajednička pravila i standardizirane postupke na obračun, netiranje i namiru plaćanja i vrijednosnih papira između sudionika.

(5)	Naknade za potrebe izdavanja računa u skladu s ovim člankom za razdoblje od 1. prosinca 2021. do 28. veljače 2022. jednake su prosjeku ukupnih naknada obračunatih za rujan, listopad i studeni 2021.

„Dodatak VIII.

Zahtjevi u pogledu upravljanja informacijskom sigurnosti i upravljanja neprekinutim poslovanjem

Upravljanje informacijskom sigurnosti

Ti se zahtjevi primjenjuju na svakog sudionika, osim ako sudionik dokaže da se određeni zahtjev na njega ne primjenjuje. Kod određivanja opsega primjene zahtjeva unutar njegove infrastrukture, sudionik bi trebao utvrditi elemente koji su dio lanca platne transakcije. Lanac platne transakcije započinje kod jedinstvene pristupne točke, t.j. sustava uključenog u kreiranje transakcija (npr. radne stanice, aplikacije za službe za izravan rad s klijentima i aplikacije za službe za pozadinske poslove, programska podrška,), a završava kod sustava odgovornog za slanje poruke SWIFT-u (npr. SWIFT VPN box) ili Interneta (ovaj potonji se primjenjuje na internetski pristup).

Zahtjev 1.1: Politika informacijske sigurnosti

Rukovodstvo određuje jasan smjer politike u skladu s poslovnim ciljevima i pokazuje potporu i predanost informacijskoj sigurnosti izdavanjem, odobravanjem i održavanjem politike informacijske sigurnosti čiji je cilj upravljanje informacijskom sigurnosti i kiberotpornosti u cijeloj organizaciji u smislu identifikacije, procjene i postupanja s rizicima informacijske sigurnosti i kiberotpornosti. Politika bi trebala sadržavati barem sljedeće odjeljke: ciljevi, područje primjene (uključujući područja kao što su organizacija, ljudski resursi, upravljanje imovinom itd.), načela i raspodjela odgovornosti.

Zahtjev 1.2: Unutarnja organizacija

Radi provedbe politike informacijske sigurnosti u organizaciji se uspostavlja okvir za informacijsku sigurnost. Rukovodstvo koordinira i preispituje uspostavu okvira za informacijsku sigurnost kako bi se osigurala provedba politike informacijske sigurnosti (u skladu sa Zahtjevom 1.1.) u cijeloj organizaciji, uključujući raspodjelu dostatnih sredstava i raspodjelu odgovornosti za sigurnost.

Zahtjev 1.3: Vanjske strane

Sigurnost informacija organizacije i njezine opreme za obradu informacija ne bi se smjela umanjiti zbog uvođenja vanjske strane/strana ili proizvoda/usluga koje one pružaju niti bi se smjela umanjiti zbog ovisnosti o njima. Svaki pristup vanjskih strana opremi organizacije za obradu informacija mora biti kontroliran. Kada se od vanjskih strana ili proizvoda/usluga vanjskih strana zahtijeva da pristupe opremi organizacije za obradu informacija, provodi se procjena rizika kako bi se utvrdile posljedice za sigurnost i zahtjevi u pogledu kontrole. Kontrole se dogovaraju i definiraju u sporazumu sa svakom odgovarajućom vanjskom stranom.

Zahtjev 1.4: Upravljanje imovinom

Sva informacijska imovina, poslovni procesi i temeljni informacijski sustavi, kao što su operativni sustavi, infrastruktura, poslovne aplikacije, gotovi proizvodi, usluge i aplikacije koje su razvili korisnici, u okviru lanca platnih transakcija moraju se evidentirati i imati vlasnika. Potrebno je raspodijeliti odgovornost za održavanje i provođenje odgovarajućih kontrola u poslovnim procesima i povezanim komponentama informacijske tehnologije za zaštitu informacijske imovine. Napomena: vlasnik prema potrebi može prenijeti ovlast za provedbu posebnih kontrola, ali ostaje odgovoran za pravilnu zaštitu imovine.

Zahtjev 1.5: Razvrstavanje informacijske imovine

Informacijska imovina razvrstava se prema svojoj kritičnosti u pogledu nesmetanog pružanja usluge od strane sudionika. U razvrstavanju se navode potrebe, prioriteti i stupanj zaštite potreban pri postupanju s informacijskom imovinom u odgovarajućim poslovnim procesima, te se također uzimaju u obzir temeljne komponente informacijske tehnologije. Sustav razvrstavanja informacijske imovine koji je odobrilo rukovodstvo koristi se za utvrđivanje odgovarajućeg skupa zaštitnih kontrola tijekom životnog ciklusa informacijske imovine (uključujući uklanjanje i uništenje informacijske imovine) i za obavješćivanje o potrebi za posebnim mjerama za postupanje s njima.

Zahtjev 1.6: Sigurnost u pogledu ljudskih resursa

Prije zapošljavanja se u odgovarajućim opisima radnih mjesta te u uvjetima za zapošljavanje utvrđuje odgovornost za sigurnost. Svi kandidati za zapošljavanje, izvođači radova i korisnici treće strane prolaze odgovarajuću provjeru, posebno za osjetljiva radna mjesta. Zaposlenici, izvođači radova i korisnici opreme za obradu informacija koji su treće strane potpisuju sporazum o svojim ulogama i odgovornostima u vezi sa sigurnosti. Za zaposlenike, izvođače radova i korisnike koji su treće strane osigurava se odgovarajuća razina svijesti te im se osigurava obrazovanje i osposobljavanje o sigurnosnim postupcima i ispravnoj upotrebi opreme za obradu informacija kako bi se mogući sigurnosni rizici sveli na najmanju moguću mjeru. Za zaposlenike se uspostavlja formalni disciplinski postupak za postupanje u vezi s povredama sigurnosnih pravila. Potrebno je uspostaviti odgovornost za osiguravanje uređenog odlaska zaposlenika, izvođača radova ili korisnika koji su treće strane iz organizacije ili njihova premještaja unutar organizacije te za provedbu vraćanja sve opreme i oduzimanje svih prava pristupa.

Zahtjev 1.7: Fizička sigurnost i sigurnost okoliša

Oprema za obradu kritičnih ili osjetljivih informacija mora biti smještena u sigurnim prostorima, zaštićena definiranim sigurnosnim okvirima, s odgovarajućim sigurnosnim preprekama i kontrolama ulaska. Mora biti fizički zaštićena od neovlaštenog pristupa, oštećenja i ometanja. Pristup se odobrava samo pojedincima koji su obuhvaćeni područjem primjene zahtjeva 1.6. Potrebno je uspostaviti postupke i standarde za zaštitu fizičkih nositelja podataka koji sadržavaju informacijsku imovinu u provozu.

Oprema mora biti zaštićena od fizičkih prijetnji i prijetnji iz okoliša. Potrebna je zaštita opreme (uključujući opremu koja se upotrebljava izvan lokacije) i zaštita od odstranjivanja imovine kako bi se smanjio rizik od neovlaštenog pristupa informacijama i kako bi se informacije ili oprema zaštitile od gubitka ili oštećenja. Za zaštitu od fizičkih prijetnji i za zaštitu pomoćne opreme kao što je infrastruktura za opskrbu električnom energijom i kabelska infrastruktura potrebne su posebne mjere.

Zahtjev 1.8: Upravljanje operativnim poslovanjem

Potrebno je utvrditi odgovornost i postupke za upravljanje i rad opreme za obradu informacija koji moraju obuhvatiti sve osnovne sustave od početka do kraja u lancu platnih transakcija.

Pri operativnim postupcima, uključujući tehničko upravljanje informacijskim sustavima, provodi se razdvajanje dužnosti, prema potrebi, kako bi se smanjio rizik od nemarne ili namjerne zlouporabe sustava. Ako se razdvajanje dužnosti ne može provesti zbog dokumentiranih objektivnih razloga, nakon formalne analize rizika provode se kompenzacijske kontrole. Kontrole se uspostavljaju kako bi se spriječilo i otkrilo uvođenje zlonamjernih kodova za sustave u lancu platnih transakcija. Uspostavljaju se i kontrole (uključujući osvješćivanje korisnika) kako bi se spriječili, otkrili i uklonili zlonamjerni kodovi. Upotrebljavaju se mobilni kodovi samo iz pouzdanih izvora (npr. potpisane komponente Microsoft COM i Java Applets). Konfiguraciju preglednika (npr. upotrebu produžetka i priključaka) potrebno je dosljedno nadzirati.

Rukovodstvo će provesti politiku sigurnosnog kopiranja i obnavljanja podataka; te politike obnavljanja moraju uključivati plan obnavljanja koji se redovno preispituje najmanje jednom godišnje.

Potrebno je nadzirati sustave koji su kritični za sigurnost plaćanja i evidentirati događaje koji su važni za informacijsku sigurnost. Kako bi se osiguralo utvrđivanje problema u informacijskom sustavu koristi se evidencija operatera. Evidencija operatora redovito se preispituje na temelju uzorka u pogledu kritičnosti operacija. Koristi se praćenje sustava za provjeru učinkovitosti kontrola koje su utvrđene kao kritične za sigurnost plaćanja i za provjeru usklađenosti s modelom politike pristupa.

Razmjene informacija između organizacija temelje se na politici formalne razmjene koja se provodi u skladu sa sporazumima o razmjeni između uključenih strana i u skladu je sa svim relevantnim zakonodavstvom. Sofverske komponente treće strane koje se koriste u razmjeni informacija sa sustavom TARGET2 (kao što je softver primljen od ponuditelja usluga u 2. scenariju odjeljka o području primjene dokumenta za uređivanje samocertifikacije sustava TARGET2) moraju se koristiti u skladu s formalnim sporazumom s trećom stranom.

Zahtjev 1.9: Kontrola pristupa

Pristup informacijskoj imovini opravdava se na temelju poslovnih zahtjeva (potreba pristupa podatcima (1)) i u skladu s uspostavljenim okvirom korporativnih politika (uključujući politiku informacijske sigurnosti). Potrebno je definirati jasna pravila kontrole pristupa na temelju načela najmanje povlastice (2) kako bi se u velikoj mjeri poštovale potrebe odgovarajućih poslovnih i informatičkih procesa. Prema potrebi, logička kontrola pristupa (npr. za upravljanje sigurnosnim kopijama) trebala bi biti u skladu s kontrolom fizičkog pristupa, osim ako su uspostavljene odgovarajuće kompenzacijske kontrole (npr. enkripcija, anonimizacija osobnih podataka).

Potrebno je uspostaviti formalne i dokumentirane postupke za kontrolu dodjele prava pristupa informacijskim sustavima i uslugama koji su obuhvaćeni područjem primjene lanca platnih transakcija. Postupci obuhvaćaju sve faze životnog ciklusa pristupa korisnika, od početne registracije novih korisnika do konačne odjave korisnika kojima više nije potreban pristup.

Posebna pozornost posvećuje se, prema potrebi, dodjeli prava pristupa takve kritičnosti da bi zlouporaba tih prava pristupa mogla dovesti do ozbiljnog nepovoljnog učinka na poslovanje sudionika (npr. prava pristupa koja dozvoljavaju upravljanje sustavom, poništavanje kontrola sustava, izravan pristup poslovnim podacima).

Uspostavljaju se odgovarajuće kontrole za identifikaciju, autentikaciju i ovlašćivanje korisnika na određenim točkama mreže organizacije, npr. za lokalni pristup i pristup s udaljenosti sustavima u lancu platnih transakcija. Osobni računi se ne smiju dijeliti kako bi se osiguralo preuzimanje odgovornosti.

Za lozinke se utvrđuju pravila i provode se posebne kontrole kako bi se osiguralo da se lozinke ne mogu lako pogoditi, npr. pravila o složenosti i vremenskom ograničenju valjanosti. Uspostavlja se siguran protokol za vraćanje lozinke i/ili ponovno postavljanje lozinke.

Razvija se i provodi politika o uporabi kriptografskih kontrola radi zaštite povjerljivosti, autentičnosti i cjelovitosti informacija. Uspostavlja se politika upravljanja ključevima kako bi se podržala upotreba kriptografskih kontrola.

Potrebno je uspostaviti politiku za pregledavanje povjerljivih informacija na zaslonu ili u tiskanom obliku (npr. politika praznog zaslona ili praznog stola) kako bi se smanjio rizik od neovlaštenog pristupa.

Pri radu na daljinu uzimaju se u obzir rizici u vezi s radom u nezaštićenom okruženju te se provode odgovarajuće tehničke i organizacijske kontrole.

Zahtjev 1.10: Nabava, razvoj i održavanje informacijskih sustava

Sigurnosni zahtjevi utvrđuju se i dogovaraju prije razvoja i/ili uvođenja informacijskih sustava.

Kako bi se osigurala pravilna obrada potrebno je u aplikacije, uključujući aplikacije koje su razvili korisnici, ugraditi odgovarajuće kontrole. Te kontrole uključuju validaciju ulaznih podataka, unutarnje obrade i izlaznih podataka. Za sustave koji obrađuju osjetljive, vrijedne ili kritične informacije ili utječu na njih potrebne su dodatne kontrole. Takve se kontrole utvrđuju na temelju sigurnosnih zahtjeva i procjene rizika u skladu s utvrđenim politikama (npr. politika informacijske sigurnosti, politika kriptografskih kontrola).

Prije prihvaćanja i uporabe novih sustava utvrđuju se, dokumentiraju i ispituju njihovi operativni zahtjevi. Što se tiče sigurnosti mreže, trebalo bi provesti odgovarajuće kontrole, uključujući segmentaciju i sigurno upravljanje, na temelju kritičnosti protoka podataka i razine rizika mrežnih područja u organizaciji. Potrebno je uspostaviti posebne kontrole za zaštitu osjetljivih informacija koje se prenose preko javnih mreža.

Pristup sistemskim datotekama i programskom izvornom kodu se kontrolira, a projekti na području informacijske tehnologije i aktivnosti potpore provode se na siguran način. Treba paziti da se izbjegne izlaganje osjetljivih podataka u testnim okruženjima. Projektna i potporna okruženja strogo se nadziru. Uvođenje promjena u produkciji strogo se nadzire. Provodi se procjena rizika značajnih promjena koje će se uvesti u produkciji.

Redovite aktivnosti ispitivanja sigurnosti sustava u produkciji provode se i u skladu s unaprijed definiranim planom koji se temelji na rezultatima procjene rizika, a testiranje sigurnosti uključuje barem procjene ranjivosti. Ocjenjuju se svi nedostaci ustanovljeni tijekom testiranja sigurnosti, a akcijski planovi za uklanjanje svih utvrđenih nedostataka moraju se pravodobno pripremiti i pratiti.

Zahtjev 1.11: Informacijska sigurnost u odnosima s (3) dobavljačima

Kako bi se osigurala zaštita internih informacijskih sustava sudionika, koji su dostupni dobavljačima, potrebno je dokumentirati zahtjeve u pogledu informacijske sigurnosti za ublažavanje rizika povezanih s pristupom dobavljača te se o njima sporazumjeti s dobavljačem.

Zahtjev 1.12: Upravljanje incidentima u području informacijske sigurnosti i poboljšanja

Kako bi se osigurao dosljedan i učinkovit pristup upravljanju incidentima povezanima s informacijskom sigurnosti, uključujući komunikaciju o sigurnosnim događajima i slabostima, uspostavljaju se i testiraju uloge, odgovornosti i postupci na poslovnoj i tehničkoj razini kako bi se osigurao brz, učinkovit te uredan i siguran oporavak od incidenata u vezi s informacijskom sigurnosti, uključujući scenarije povezane s uzrokom povezanim s kibersigurnosti (npr. prijevara koju je počinio vanjski napadač ili unutarnji subjekt). Osoblje uključeno u te postupke mora biti odgovarajuće osposobljeno.

Zahtjev 1.13: Pregled tehničke usklađenosti

Unutarnji informacijski sustavi sudionika (npr. sustavi jedinica za pozadinske poslove, unutarnje mreže i povezivost s vanjskim mrežama) redovito se procjenjuju u pogledu usklađenosti s uspostavljenim okvirom politika organizacije (npr. politika informacijske sigurnosti, politika kriptografskog nadzora).

Zahtjev 1.14: Virtualizacija

Gostujuća virtualna računala moraju biti u skladu sa svim sigurnosnim kontrolama koje su postavljene za fizičku strojnu opremu i sustave (npr. očvrsnuće, evidentiranje). Kontrole koje se odnose na hipervizore moraju uključivati: očvršćivanje hipervizora i operativne sustave domaćina, redovne popravke, jasno odvajanje različitih okruženja (npr. produkcija i razvoj). Centralizirano upravljanje, evidentiranje i praćenje te upravljanje pravima pristupa, posebno za visoko povlaštene račune provodi se na temelju procjene rizika. Gostujući virtualni strojevi kojima upravlja isti hipervizor moraju imati sličan profil rizičnosti.

Zahtjev 1.15: Računalstvo u oblaku

Upotreba javnih i/ili hibridnih rješenja u oblaku u lancu platnih transakcija mora se temeljiti na formalnoj procjeni rizika, uzimajući u obzir tehničke kontrole i ugovorne klauzule povezane s rješenjem računalstva u oblaku.

Ako se upotrebljavaju hibridna rješenja u oblaku, podrazumijeva se da je razina kritičnosti cjelokupnog sustava jednaka najvišoj razini kritičnosti nekog od povezanih sustava. Sve lokalne komponente hibridnih rješenja potrebno je odvojiti od ostalih sustava na lokaciji.

Upravljanje neprekinutim poslovanjem (primjenjuje se samo za kritične sudionike)

Sljedeći zahtjevi (od 2.1. do 2.6.) odnose se na upravljanje neprekinutim poslovanjem. Svaki sudionik sustava TARGET2 kojeg je Eurosustav razvrstao kao kritičnog za nesmetano funkcioniranje sustava TARGET2 ima uspostavljenu strategiju neprekinutog poslovanja koja obuhvaća sljedeće elemente.

Zahtjev 2.1	:	Izradit će se planovi neprekinutog poslovanja i uspostaviti postupci za njihovo održavanje.
Zahtjev 2.2	:	Zamjenska operativna lokacija bit će dostupna
Zahtjev 2.3	:	Profil rizičnosti zamjenske lokacije razlikovat će se od profila rizičnosti primarne lokacije kako bi se izbjeglo da na obje lokacije istodobno utječe isti događaj. Na primjer, zamjenska lokacija bit će priključena na električnu mrežu i središnju telekomunikacijsku mrežu različitu od one na primarnoj poslovnoj lokaciji.
Zahtjev 2.4	:	U slučaju većih poremećaja u radu zbog kojih primarna lokacija nije dostupna i/ili kritično osoblje nije na raspolaganju, kritični sudionik moći će nastaviti s uobičajenim operacijama sa zamjenske lokacije gdje će biti moguće pravilno završiti radni dan i započeti sljedeći radni dan (sljedeće radne dane).
Zahtjev 2.5	:	Uspostavit će se postupci kojima se osigurava da se obrada transakcija nastavi sa zamjenske lokacije u razumnom roku nakon početnog prekida usluge i razmjerno kritičnosti poslovanja koje je prekinuto.
Zahtjev 2.6	:	Sposobnost suočavanja s prekidima rada ispitat će se najmanje jednom godišnje, a kritično osoblje će biti na dogovarajući način osposobljeno. Najdulje razdoblje između ispitivanja ne smije biti dulje od jedne godine.