„PRILOGA IVa

STORITEV TIPS ZA PODSISTEME, KI PORAVNAVAJO TAKOJŠNJA PLAČILA

1.   Opredelitev pojmov

V tej prilogi in poleg opredelitev pojmov iz člena 1 Priloge IIb:

(1)	‚centralna banka podsistema (ASCB)‘ (ancillary system central bank – ASCB) pomeni CB Eurosistema, s katero ima zadevni podsistem, ki poravnava takojšnja plačila v svojih poslovnih knjigah, dvostranski dogovor o poravnavi takojšnjih plačil podsistema;

(2)

‚osnovni bruto obseg‘ (underlying gross volume) pomeni število takojšnjih plačil, ki se poravnajo v poslovnih knjigah podsistema in jih omogočajo sredstva na tehničnem računu podsistema v TIPS. Ne vključuje takojšnjih plačil na namenske denarne račune za TIPS ali z njih niti takojšnjih plačil na druge tehnične račune podsistema v TIPS ali z njih;

(3)	‚agent‘ (instructing party) pomeni subjekt, ki ga je kot takega določil podsistem ter ki lahko pošilja plačilne naloge na platformo TIPS in/ali prejema plačilne naloge s platforme TIPS v imenu tega podsistema ali njegovega naslovljivega subjekta.

2.   Vstop plačilnih nalogov v sistem in njihova nepreklicnost

Uporaba člena 20 Priloge IIb v zvezi s trenutkom vstopa nalogov za takojšnje plačilo, pozitivnih odgovorov na odpoklic ter nalogov za prenos likvidnosti z namenskega denarnega računa za TIPS na tehnični račun podsistema v TIPS in nalogov za prenos likvidnosti s tehničnega računa podsistema v TIPS na namenski denarni račun za TIPS v zadevno komponento sistema TARGET2 ne vpliva na nobena pravila podsistemov, ki določajo trenutek vstopa v podsistem in/ali nepreklicnosti nalogov za prenos, predloženih takemu podsistemu, pred trenutkom vstopa zadevnega plačilnega naloga v zadevno komponento sistema TARGET2.

3.   Računi za podporo poravnave takojšnjih plačil v poslovnih knjigah podsistemov

(1)	Za podporo poravnave takojšnjih plačil, povezanih s podsistemi, v TIPS se odpre en tehnični račun podsistema v TIPS.

(2)

Tehnični račun podsistema v TIPS se identificira z enolično številko računa, sestavljeno iz največ 34 znakov, ki se sestavi, kakor je določeno v tabeli:   Ime Oblika Vsebina Del A vrsta računa natančno 1 znak ‚A‘ za tehnični račun podsistema oznaka države centralne banke natančno 2 znaka oznaka države po standardu ISO 3166-1 oznaka valute natančno 3 znaki EUR Del B imetnik računa natančno 11 znakov BIC Del C podrazvrstitev računa do 17 znakov prosto besedilo (alfanumerično), ki ga vnese imetnik računa

(3)	Tehnični računi podsistema v TIPS imajo lahko čez dan samo ničelno ali pozitivno stanje in lahko ohranijo pozitivno stanje čez noč. Za stanje na računu čez noč veljajo enaka pravila obrestovanja, kot se uporabljajo za jamstvene sklade po členu 11 te smernice.

4.   Postopek poravnave

(1)	Podsistem uporabi tehnični račun podsistema v TIPS, da zbere potrebno likvidnost, ki so jo njegovi klirinški člani dali na stran za financiranje svojih pozicij.

(2)	Podsistem se na zahtevo obvesti o odobritvah in obremenitvah njegovega tehničnega računa podsistema v TIPS.

(3)

Podsistem lahko pošlje naloge za takojšnje plačilo in pozitivne odgovore na odpoklic kateremu koli imetniku namenskega denarnega računa za TIPS ali podsistemu za TIPS. Podsistem prejme in obdela naloge za takojšnje plačilo, odpoklice in pozitivne odgovore na odpoklic, ki jih predloži kateri koli imetnik namenskega denarnega računa za TIPS ali podsistem za TIPS.

5.   Uporabniški vmesnik

(1)	Imetnik tehničnega računa podsistema v TIPS dostopa do platforme TIPS v načinu A2A in se lahko poveže tudi v načinu U2A, neposredno ali prek enega ali več agentov.

(2)

Dostop do platforme TIPS imetnikom tehničnih računov podsistema v TIPS omogoča, da: (a) dostopajo do informacij v zvezi s svojimi računi in upravljajo likvidnostne limite; (b) sprožijo naloge za prenos likvidnosti s tehničnega računa podsistema v TIPS na namenski denarni račun za TIPS ter (c) upravljajo nekatere statične podatke.

6.   Seznam nadomestil in izdajanje računov

(1)

Za podsistem v TIPS velja oboje naslednje: (a) nadomestilo za transakcijo, ki se izračuna na isti podlagi kot v seznamu, ki je vzpostavljen za imetnike namenskih denarnih računov za TIPS v Dodatku IV k Prilogi IIb; (b) nadomestilo, ki temelji na osnovnem bruto obsegu takojšnjih plačil, ki se poravnajo na platformi podsistema in jih omogočajo predhodno financirane pozicije na tehničnem računu podsistema v TIPS. Nadomestilo znaša 0,0005 EUR za posamezno takojšnje plačilo.

(2)

ASCB vsak mesec izračuna osnovni bruto obseg takojšnjih plačil podsistema na podlagi osnovnega bruto obsega v prejšnjem mesecu, ki se zaokroži navzdol na najbližjih deset tisoč in o katerem poroča podsistem najpozneje do tretjega delovnega dne v tekočem mesecu. Izračunani bruto obseg se uporabi za izračun nadomestila v tekočem mesecu.

(3)

Vsak podsistem prejme od svoje ASCB račun za prejšnji mesec na podlagi nadomestil, navedenih v točki 1 tega odstavka, najpozneje deveti delovni dan v tekočem mesecu. Plačila je treba nakazati najpozneje 14. delovni dan meseca, v katerem se izda račun, na račun, ki ga določi ASCB, ali knjižiti v breme računa, ki ga določi podsistem.

(4)

Za namene seznamov nadomestil in izdajanja računov v skladu s to prilogo: (a) se podsistem, ki je bil določen kot sistem po Direktivi 98/26/ES, obravnava kot ločen podsistem, ne glede na to, da ga upravlja pravni subjekt, ki upravlja še drug podsistem; (b) se podsistem, ki ni bil določen kot sistem po Direktivi 98/26/ES, obravnava kot ločen podsistem, če izpolnjuje naslednja merila: (i) gre za formalno ureditev v obliki pogodbe ali zakonodajnega instrumenta; (ii) ima več kot enega [člana] [udeleženca] [razen upravljavca tega sistema]; (iii) vzpostavljen je z namenom kliringa, izravnave in/ali poravnave plačil in/ali vrednostnih papirjev med udeleženci ter (iv) uporablja skupna pravila in standardizirane ureditve za kliring, izravnavo in poravnavo plačil in vrednostnih papirjev med udeleženci.

(5)	Za namene izdajanja računov v skladu s tem členom za obdobje od 1. decembra 2021 do 28. februarja 2022 so nadomestila enaka povprečju skupnih nadomestil na računih za september, oktober in november 2021.

„Dodatek VIII

Zahteve glede upravljanja informacijske varnosti in upravljanja neprekinjenega poslovanja

Upravljanje informacijske varnosti

Te zahteve se uporabljajo za vsakega udeleženca, razen če udeleženec dokaže, da zanj posamezna zahteva ne pride v poštev. Udeleženec bi moral pri ugotavljanju obsega uporabe teh zahtev v svoji infrastrukturi identificirati elemente, ki so del verige plačilnih transakcij. Natančneje, veriga plačilnih transakcij se začne na vstopni točki, tj. pri sistemu, ki je vključen v ustvarjanje transakcij (npr. delovne postaje, aplikacije za stranke udeleženca in zaledne aplikacije, vmesna programska oprema), in se konča pri sistemu, ki je odgovoren za pošiljanje sporočila na SWIFT (npr. SWIFT VPN Box) ali internet (slednje velja za internetni dostop).

Zahteva 1.1: Politika informacijske varnosti

Vodstvo določi jasno usmeritev politike v skladu s poslovnimi cilji ter izkaže podporo in zavezanost informacijski varnosti z izdajo, odobritvijo in vzdrževanjem politike informacijske varnosti, katere cilj je upravljanje informacijske varnosti in kibernetske odpornosti v celotni organizaciji v smislu prepoznavanja, ocenjevanja in obravnavanja tveganj za informacijsko varnost in kibernetsko odpornost. Politika mora vsebovati vsaj naslednje razdelke: cilji, področje uporabe (vključno s področji, kot so organizacija, človeški viri, upravljanje sredstev itd.), načela in porazdelitev odgovornosti.

Zahteva 1.2: Notranja organizacija

Za izvajanje politike informacijske varnosti v organizaciji se vzpostavi okvir za informacijsko varnost. Vodstvo usklajuje in pregleduje vzpostavitev okvira za informacijsko varnost, da zagotovi izvajanje politike informacijske varnosti (v skladu z zahtevo 1.1) v celotni organizaciji, vključno s tem, da se za to namenijo zadostna sredstva in opredeli odgovornost za varnost.

Zahteva 1.3: Zunanje osebe

Varnost informacij organizacije in njene opreme za obdelavo informacij se zaradi sodelovanja z zunanjimi osebami ali uporabe produktov/storitev, ki jih zagotavljajo, ali odvisnosti od teh oseb ali produktov/storitev ne sme zmanjšati. Vsak dostop zunanjih oseb do opreme organizacije za obdelavo informacij mora biti nadzorovan. Kadar morajo zunanje osebe ali produkti/storitve zunanjih oseb dostopati do opreme organizacije za obdelavo informacij, se izvede ocena tveganja, da se ugotovijo posledice za varnost in določijo zahteve glede kontrol. O kontrolah se je treba dogovoriti in jih opredeliti v sporazumu z vsako ustrezno zunanjo osebo.

Zahteva 1.4: Upravljanje sredstev

Vsa informacijska sredstva, poslovni procesi in osnovni informacijski sistemi – na primer operacijski sistemi, infrastrukture, poslovne aplikacije, standardni produkti, storitve in aplikacije, ki so jih razvili uporabniki – v okviru verige plačilnih transakcij morajo biti evidentirani in imeti imenovanega lastnika. Opredeliti je treba odgovornost za vzdrževanje in delovanje ustreznih kontrol v poslovnih procesih in povezanih komponent informacijske tehnologije za varovanje informacijskih sredstev. Opomba: lastnik lahko po potrebi prenese pooblastilo za izvajanje posameznih kontrol, ostane pa odgovoren za ustrezno zaščito sredstev.

Zahteva 1.5: Razvrstitev informacijskih sredstev

Informacijska sredstva se razvrstijo glede na njihovo kritičnost za nemoteno izvajanje storitve s strani udeleženca. V razvrstitvi se navedejo potreba, prednostni vrstni red in stopnja potrebne zaščite pri obravnavi informacijskega sredstva v ustreznih poslovnih procesih ter upoštevajo osnovne komponente informacijske tehnologije. Sistem za razvrščanje informacijskih sredstev, ki ga odobri vodstvo, se uporablja za opredelitev ustreznega sklopa zaščitnih kontrol v celotnem življenjskem ciklu informacijskih sredstev (vključno z odstranitvijo in uničenjem informacijskih sredstev) in za obveščanje o potrebi po posebnih ukrepih za ravnanje z njimi.

Zahteva 1.6: Varnost na področju človeških virov

Pred zaposlitvijo se v opisih ustreznih delovnih mest in v pogojih za zaposlitev opredeli odgovornost za varnost. Vse kandidate za zaposlitev, pogodbene izvajalce in zunanje uporabnike je treba ustrezno preveriti, še posebej za občutljive delovne naloge. Zaposleni, pogodbeni izvajalci in zunanji uporabniki opreme za obdelavo informacij morajo podpisati sporazum o svoji vlogi in odgovornosti v zvezi z varnostjo. Za zaposlene, pogodbene izvajalce in zunanje uporabnike se zagotovi ustrezna raven ozaveščenosti ter izobraževanje in usposabljanje o varnostnih postopkih in pravilni uporabi opreme za obdelavo informacij, da se čim bolj zmanjšajo morebitna varnostna tveganja. Za zaposlene se vzpostavi uradni disciplinski postopek za obravnavanje varnostnih kršitev. Opredeliti je treba odgovornost za zagotovitev urejenega odhoda zaposlenega, pogodbenega izvajalca ali zunanjega uporabnika iz organizacije ali njegove premestitve znotraj organizacije ter za izvedbo vračila vse opreme in odvzema vseh pravic dostopa.

Zahteva 1.7: Fizična varnost in varnost okolja

Oprema za obdelavo kritičnih ali občutljivih informacij mora biti v varnih prostorih znotraj opredeljenega varnostnega območja z ustreznimi varnostnimi ovirami in kontrolo vstopa. Biti mora fizično zaščitena pred nepooblaščenim dostopom, poškodbami in posegi. Dostop je treba odobriti samo posameznikom, ki izpolnjujejo zahtevo 1.6. Določiti je treba postopke in standarde za zaščito fizičnih nosilcev podatkov, ki vsebujejo informacijska sredstva, med prenosom.

Opremo je treba zaščititi pred fizičnimi nevarnostmi in nevarnostmi iz okolja. Potrebna je zaščita opreme (tudi tiste, ki se uporablja zunaj lokacije) in zaščita pred odstranitvijo premoženja, da se zmanjša tveganje za nepooblaščeni dostop do informacij in zagotovi varovanje pred izgubo ali poškodbo opreme ali informacij. Za zaščito pred fizičnimi nevarnostmi in varovanje podporne opreme, na primer infrastrukture za električno napajanje in kabelske infrastrukture, so lahko potrebni posebni ukrepi.

Zahteva 1.8: Upravljanje operativnega poslovanja

Določiti je treba odgovornost in postopke za upravljanje in delovanje opreme za obdelavo informacij, ki morajo zajemati vse osnovne sisteme od začetka do konca verige plačilnih transakcij.

Pri operativnih postopkih, vključno s tehničnim upravljanjem informacijskih sistemov, se po potrebi uvede ločitev nalog, da se zmanjša tveganje malomarne ali namerne zlorabe sistema. Kadar ločitve nalog ni mogoče uvesti zaradi dokumentiranih objektivnih razlogov, se po uradni analizi tveganja uvedejo izravnalne kontrole. Vzpostavijo se kontrole za preprečevanje in odkrivanje vnosa zlonamerne kode v sisteme v verigi plačilnih transakcij. Vzpostavijo se tudi kontrole (vključno z ozaveščenostjo uporabnikov) za preprečevanje, odkrivanje in odstranjevanje zlonamernih kod. Uporabljajo se samo mobilne kode iz zanesljivih virov (npr. podpisane komponente Microsoft COM in javanski programčki). Konfiguracijo brskalnika (npr. uporaba razširitev in vtičnikov) je treba dosledno nadzorovati.

Vodstvo mora uvesti politiko varnostnega kopiranja in obnovitve podatkov; ta politika obnovitve mora zajemati načrt postopka obnovitve, ki se redno preskuša najmanj enkrat na leto.

Spremljati je treba sisteme, ki so kritični za varnost plačil, in evidentirati dogodke, ki so relevantni za informacijsko varnost. Za zagotovitev prepoznavanja težav v informacijskem sistemu se uporabljajo operativni dnevniški zapisi. Operativni dnevniški zapisi se redno pregledujejo na podlagi vzorca glede na kritičnost operacij. Uporablja se spremljanje sistema, in sicer za preverjanje učinkovitosti kritičnih kontrol za varnost plačil in skladnosti z modelom politike dostopa.

Izmenjava informacij med organizacijami mora temeljiti na uradni politiki o izmenjavi, se izvajati v skladu s sporazumi o izmenjavi med udeleženimi stranmi in biti skladna z ustrezno zakonodajo. Komponente programske opreme tretje osebe, ki se uporabljajo za izmenjavo informacij s sistemom TARGET2 (na primer programska oprema, prejeta od ponudnika storitev (Service Bureau) v scenariju 2 iz oddelka o obsegu v dokumentu o ureditvi samocertifikacije v sistemu TARGET2), se morajo uporabljati v skladu z uradnim sporazumom s tretjo osebo.

Zahteva 1.9: Nadzor dostopa

Dostop do informacijskih sredstev mora biti upravičen na podlagi poslovnih potreb (potreba po seznanitvi (1)) in v skladu z vzpostavljenim okvirom korporativnih politik (vključno s politiko informacijske varnosti). Opredeliti je treba jasna pravila za nadzor dostopa na podlagi načela najmanjšega privilegija (2), ki natančno upoštevajo potrebe ustreznih poslovnih in informacijskih procesov. Kjer je to potrebno (npr. za upravljanje varnostnega kopiranja), mora biti nadzor logičnega dostopa skladen z nadzorom fizičnega dostopa, razen če so vzpostavljene ustrezne izravnalne kontrole (npr. šifriranje, anonimizacija osebnih podatkov).

Vzpostaviti je treba uradne in dokumentirane postopke za nadzor dodeljevanja pravic dostopa do informacijskih sistemov in storitev, ki spadajo v okvir verige plačilnih transakcij. Postopki morajo zajemati celoten življenjski cikel dostopa uporabnikov, od začetne registracije novih uporabnikov do končnega preklica registracije uporabnikov, ki dostopa ne potrebujejo več.

Kjer je primerno, je treba posebno pozornost nameniti dodeljevanju tistih pravic dostopa, ki so tako kritične, da bi njihova zloraba lahko resno negativno vplivala na poslovanje udeleženca (npr. pravice dostopa, ki omogočajo administracijo sistema, preskok sistemskih kontrol, neposreden dostop do poslovnih podatkov).

Vzpostavijo se ustrezne kontrole za prepoznavanje, preverjanje pristnosti in pooblaščanje uporabnikov na določenih točkah v omrežju organizacije, npr. za lokalni in oddaljeni dostop do sistemov v verigi plačilnih transakcij. Osebni računi se zaradi zagotovitve prevzemanja odgovornosti ne smejo deliti.

V zvezi z gesli se določijo pravila in ta pravila izvršujejo s posebnimi kontrolami, s čimer se zagotovi, da gesel ni mogoče enostavno uganiti, npr. pravila o zapletenosti in časovno omejeni veljavnosti. Vzpostavi se protokol za varno obnovitev in/ali ponastavitev gesel.

Oblikuje in izvaja se politika o uporabi kriptografskih kontrol za zaščito zaupnosti, pristnosti in celovitosti informacij. Vzpostavi se politika upravljanja ključev za podporo uporabi kriptografskih kontrol.

Vzpostavi se politika za ogledovanje zaupnih informacij na zaslonu ali v tiskani obliki (npr. politika praznega zaslona in prazne mize), da se zmanjša tveganje nepooblaščenega dostopa.

Pri delu na daljavo se upoštevajo tveganja v zvezi z delom v nezaščitenem okolju ter zagotovijo ustrezne tehnične in organizacijske kontrole.

Zahteva 1.10: Nakup, razvoj in vzdrževanje informacijskih sistemov

Pred razvojem in/ali uvajanjem informacijskih sistemov je treba opredeliti varnostne zahteve in se o njih dogovoriti.

Zaradi zagotovitve pravilne obdelave je treba v aplikacije, vključno s tistimi, ki jih razvijejo uporabniki, vgraditi ustrezne kontrole. Te kontrole vključujejo validiranje vhodnih podatkov, notranje obdelave in izhodnih podatkov. Za sisteme, ki obdelujejo ali vplivajo na občutljive, dragocene ali kritične informacije, so lahko potrebne dodatne kontrole. Take kontrole se določijo na podlagi varnostnih zahtev in ocene tveganja v skladu z vzpostavljenimi politikami (npr. politika informacijske varnosti, politika kriptografskih kontrol).

Pred sprejetjem in uporabo novih sistemov se določijo, dokumentirajo in preskusijo njihove operativne zahteve. Kar zadeva varnost omrežja, je treba izvajati ustrezne kontrole, vključno s segmentacijo in varnim upravljanjem, in sicer glede na kritičnost tokov podatkov in stopnjo tveganja omrežnih območij v organizaciji. Vzpostaviti je treba posebne kontrole za zaščito občutljivih informacij, ki se prenašajo prek javnih omrežij.

Dostop do sistemskih datotek in programske izvorne kode se nadzoruje, projekti na področju informacijske tehnologije in podporne dejavnosti pa se izvajajo na varen način. Preprečiti je treba izpostavljenost občutljivih podatkov v preskusnih okoljih. Projektna in podporna okolja se strogo nadzorujejo. Uvajanje sprememb v produkcijo se strogo nadzoruje. Izvede se ocena tveganja večjih sprememb, ki se bodo uvedle v produkcijo.

Izvajati je treba tudi redno preskušanje varnosti sistemov v produkciji v skladu z vnaprej določenim načrtom, ki temelji na rezultatih ocene tveganja, preskušanje varnosti pa vključuje vsaj ocene ranljivosti. Ocenijo se vse pomanjkljivosti, ugotovljene med preskušanjem varnosti, ter pripravijo in pravočasno izvedejo akcijski načrti za odpravo ugotovljenih vrzeli.

Zahteva 1.11: Informacijska varnost v razmerju z dobavitelji (3)

Zaradi zagotavljanja zaščite notranjih informacijskih sistemov udeleženca, ki so dostopni dobaviteljem, je treba dokumentirati zahteve glede informacijske varnosti za zmanjšanje tveganj, povezanih z dobaviteljevim dostopom, in se o njih uradno dogovoriti z dobaviteljem.

Zahteva 1.12: Upravljanje incidentov v zvezi z informacijsko varnostjo in izboljšave

Zaradi zagotavljanja doslednosti in učinkovitosti pri upravljanju incidentov v zvezi z informacijsko varnostjo, vključno s komunikacijo o varnostnih dogodkih in pomanjkljivostih, se določijo in preskusijo vloge, pristojnosti in postopki na poslovni in tehnični ravni, da se zagotovi hitra, učinkovita, urejena in varna obnovitev po incidentih v zvezi z informacijsko varnostjo, tudi pri scenarijih v zvezi s kibernetskim vzrokom (npr. prevara s strani zunanjega napadalca ali notranjega storilca). Osebje, vključeno v te postopke, je treba ustrezno usposobiti.

Zahteva 1.13: Pregled tehnične skladnosti

Notranji informacijski sistemi udeleženca (npr. zaledni sistemi, notranja omrežja in povezljivost z zunanjimi omrežji) se redno ocenjujejo z vidika skladnosti z vzpostavljenim okvirom politik organizacije (npr. politika informacijske varnosti, politika kriptografskih kontrol).

Zahteva 1.14: Virtualizacija

Gostujoči virtualni računalniki morajo biti skladni z vsemi varnostnimi kontrolami, ki so določene za fizično strojno opremo in sisteme (npr. utrjevanje, beleženje). Kontrole v zvezi s hipervizorji morajo vključevati: utrjevanje hipervizorja in gostiteljskega operacijskega sistema, redne popravke, strogo ločevanje različnih okolij (npr. produkcijskega in razvojnega). Centralizirano upravljanje, beleženje in spremljanje ter upravljanje pravic dostopa, zlasti za račune z visokimi privilegiji, se izvaja na podlagi ocene tveganja. Gostujoči virtualni računalniki, ki jih upravlja isti hipervizor, morajo imeti podoben profil tveganja.

Zahteva 1.15: Računalništvo v oblaku

Uporaba javnih in/ali hibridnih rešitev v oblaku v verigi plačilnih transakcij mora temeljiti na uradni oceni tveganja, pri kateri se upoštevajo tehnične kontrole in pogodbene določbe v zvezi z rešitvijo v oblaku.

Če se uporabljajo hibridne rešitve v oblaku, se razume, da je stopnja kritičnosti celotnega sistema enaka najvišji stopnji kritičnosti katerega od povezanih sistemov. Vse lokalne komponente hibridnih rešitev je treba ločiti od drugih sistemov na lokaciji.

Upravljanje neprekinjenega poslovanja (velja samo za kritične udeležence)

Zahteve v nadaljevanju (2.1 do 2.6) se nanašajo na upravljanje neprekinjenega poslovanja. Vsak udeleženec sistema TARGET2, ki ga Eurosistem razvrsti kot kritičnega za nemoteno delovanje sistema TARGET2, mora imeti vzpostavljeno strategijo neprekinjenega poslovanja, ki vsebuje naslednje elemente.

Zahteva 2.1	:	Pripraviti je treba načrte neprekinjenega poslovanja in vzpostavljeni so postopki za njihovo vzdrževanje.
Zahteva 2.2	:	Na voljo mora biti rezervna operativna lokacija.
Zahteva 2.3	:	Profil tveganja rezervne lokacije se mora razlikovati od profila tveganja primarne lokacije, da se prepreči, da bi isti dogodek hkrati prizadel obe lokaciji. Rezervna lokacija bi morala biti na primer priklopljena na drugo električno omrežje in centralno telekomunikacijsko omrežje kot primarna poslovna lokacija.
Zahteva 2.4	:	Ob večjih motnjah delovanja, zaradi katerih bi bila primarna lokacija nedostopna in/ali kritično osebje nedosegljivo, mora biti kritični udeleženec zmožen nadaljevati z normalnim poslovanjem z rezervne lokacije, kjer mora biti omogočeno, da se delovni dan ustrezno zaključi in začne naslednji delovni dan ali dnevi.
Zahteva 2.5	:	Vzpostavljeni morajo biti postopki, na podlagi katerih se v razumnem času po prvotni motnji storitve in sorazmerno s kritičnostjo motenega poslovanja zagotovi nadaljevanje obdelave transakcij z rezervne lokacije.
Zahteva 2.6	:	Sposobnost premagovanja motenj delovanja je treba preskusiti vsaj enkrat na leto, kritično osebje pa ustrezno usposobiti. Med posameznimi preskusi ne sme preteči več kot eno leto.