Art. 18 Physische Sicherheit und Sicherheit vor Umweltereignissen | RTS on ICT risk management framework | DORA

This article requires financial entities to put in place a physical and environmental security policy as part of their broader data safeguards.

The policy must be designed with the cyber threat landscape and the ICT risk assessment in mind, and it covers the protection of physical spaces — premises, data centres, and sensitive designated areas — as well as the ICT and information assets that reside within them.

Notably, the article explicitly links to Article 21 on access management rights, meaning the two policies must be read together.

The scope extends beyond the office walls, requiring security measures for ICT assets located outside the financial entity's premises as well.

Important points:

Specify, document, and implement a physical and environmental security policy that accounts for the cyber threat landscape and ICT risk assessment results.
The policy must cover protection of physical locations and assets from attacks, accidents, and environmental threats, with protections scaled to the criticality of the operations or ICT systems located therein.
Include practical data protection measures such as a clear desk policy for papers and a clear screen policy for information processing facilities.

1. Im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten verfassen, dokumentieren und implementieren die Finanzunternehmen Richtlinien für die physische Sicherheit und die Sicherheit vor Umweltereignissen. Die Finanzunternehmen gestalten diese Richtlinien unter Berücksichtigung der Cyberbedrohungslage gemäß der nach Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 vorgenommenen Klassifizierung und unter Berücksichtigung des Gesamtrisikoprofils der IKT-Assets und der zugänglichen Informationsassets.
1. Die in Absatz 1 genannten Richtlinien für die physische Sicherheit und die Sicherheit vor Umweltereignissen müssen alles Folgende beinhalten:
  1. einen Verweis auf den Abschnitt der Richtlinien, in dem es um die in Artikel 21 Absatz 1 Buchstabe g genannte Kontrolle der Zugangs- und Zugriffsrechte geht,
  2. die Maßnahmen, mit denen die Räumlichkeiten und Rechenzentren des Finanzunternehmens und die vom Finanzunternehmen designierten sensiblen Bereiche, in denen IKT- und Informationsassets untergebracht sind, vor Angriffen, Unfällen und Umweltbedrohungen und -gefahren geschützt werden,
  3. die Maßnahmen, mit denen die IKT-Assets inner- und außerhalb der Räumlichkeiten des Finanzunternehmens unter Berücksichtigung der Ergebnisse der IKT-Risikobewertung für diese IKT-Assets gesichert werden,
  4. Maßnahmen, mit denen die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von IKT-Assets, Informationsassets und Einrichtungen für die physische Zugangskontrolle des Finanzunternehmens durch angemessene Wartung sichergestellt werden soll,
  5. Maßnahmen, mit denen die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten gewahrt werden sollen, einschließlich
    der Vorgabe eines „leeren Schreibtischs“,
    der Vorgabe eines „leeren Bildschirms“ bei Datenverarbeitungsanlagen.
2. Für die Zwecke des Buchstabens b müssen die Maßnahmen zum Schutz vor Umweltbedrohungen und -gefahren der Bedeutung der Räumlichkeiten, der Rechenzentren und der designierten sensiblen Bereiche und der Kritikalität der dort untergebrachten Geschäftstätigkeiten oder IKT-Systeme angemessen sein.
3. Für die Zwecke des Buchstabens c müssen die in Absatz 1 genannten Richtlinien für die physische Sicherheit und die Sicherheit vor Umweltereignissen angemessene Schutzmaßnahmen für unbeaufsichtigte IKT-Assets enthalten.