Source: OJ L, 2024/1774, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 20 Identitätsmanagement
Summary What does Article 20 of the RTS on ICT risk management framework say?
This article sits within the broader access management framework of the regulation, acting as a foundational prerequisite to Article 21, which governs the actual assignment of access rights.
Article 20 establishes the identity management layer that must exist before those rights can be meaningfully assigned.
It requires financial entities to put in place policies and procedures that uniquely identify and authenticate every person and system seeking access to the entity's information and ICT assets.
Two core requirements underpin this: a one-to-one mapping between individuals (including staff of ICT third-party service providers) and user accounts, and a full lifecycle management process covering accounts from creation through to termination.
Important points:
- Develop, document, and implement identity management policies and procedures that ensure every staff member and ICT third-party service provider staff member accessing your assets is assigned a unique identity and user account.
- Maintain records of all identity assignments, including after organisational restructuring or the end of a contractual relationship, subject to applicable retention requirements.
- Where feasible and appropriate, deploy automated solutions to manage the full lifecycle of identities and accounts.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Um die Zuweisung der Nutzerzugriffsrechte gemäß Artikel 21 zu ermöglichen, entwickeln, dokumentieren und implementieren die Finanzunternehmen im Rahmen der Kontrolle der Zugangs- und Zugriffsrechte Richtlinien und Verfahren für das Identitätsmanagement, die die eindeutige Identifizierung und Authentifizierung der natürlichen Personen und Systeme, die auf Informationen der Finanzunternehmen zugreifen, gewährleisten.
Die in Absatz 1 genannten Richtlinien für das Identitätsmanagement müssen alles Folgende vorsehen:
unbeschadet des Artikels 21 Absatz 1 Buchstabe c ist jedem Mitarbeiter des Finanzunternehmens oder Mitarbeitern der IKT-Drittdienstleister, die auf die Informationsassets und IKT-Assets des Finanzunternehmens zugreifen, eine eindeutige Identität zuzuweisen, die einem eindeutigen Nutzerkonto zugeordnet werden kann,
einen Lebenszyklusmanagementprozess für Identitäten und Konten, der die Erstellung, Änderung, Überprüfung und Aktualisierung, die vorübergehende Deaktivierung und die Beendigung aller Konten umfasst.
Für die Zwecke des Buchstabens a führen die Finanzunternehmen Aufzeichnungen über alle zugeordneten Identitäten. Diese Aufzeichnungen werden unbeschadet der im geltenden Unionsrecht und im nationalen Recht festgelegten Speicherpflichten nach einer Umstrukturierung des Finanzunternehmens oder nach Ablauf der Vertragsbeziehung aufbewahrt.
Für die Zwecke des Buchstabens b greifen die Finanzunternehmen beim Lebenszyklusmanagementprozess für Identitäten soweit möglich und angemessen auf automatisierte Lösungen zurück.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Netzwerk- und Informationssystem
(En. network and information system)
Definition
Informationsasset
(En. information asset)
Definition
IKT-Drittdienstleister
(En. ICT third-party service provider)
Definition
IKT-Asset
(En. ICT asset)
Definition
IKT-Dienstleistungen
(En. ICT services)