Source: OJ L, 2024/1774, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 21 Zugangskontrolle
Summary What does Article 21 of the RTS on ICT risk management framework say?
This article sets out the detailed requirements for access management rights policy, building directly on the identity management foundations established in Article 20.
It covers the full spectrum of access control — from logical access rights governed by need-to-know and least privilege principles, through account lifecycle management, authentication methods, and extending all the way to physical access controls for premises and data centres.
The article essentially translates the identity management framework into concrete, enforceable access control obligations.
Important points:
- Develop, document, and implement a comprehensive access management rights policy covering logical access, account management, authentication, and physical access controls.
- Access rights must be reviewed at least annually for standard ICT systems, and at least every 6 months for ICT systems supporting critical or important functions, with rights withdrawn without undue delay when no longer required.
- Strong authentication methods are required for remote access, privileged access, and access to ICT assets supporting critical or important functions or those that are publicly accessible.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Im Rahmen der Kontrolle der Zugangs- und Zugriffsrechte entwickeln, dokumentieren und implementieren die Finanzunternehmen Richtlinien, die alles Folgende vorsehen:
die Zuweisung der Rechte auf Zugang zu IKT-Assets nach dem Grundsatz „Kenntnis nur, wenn nötig“ („Need-to-know“), nach dem Grundsatz der Nutzungsnotwendigkeit („Need-to-use“) und nach dem Grundsatz der minimalen Berechtigung („Least privileges“), auch für den Fern- und Notfallzugang,
die Abtrennung der Aufgaben, einen ungerechtfertigten Zugang zu kritischen Daten zu verhindern oder die Zuweisung einer Kombination von Zugriffsrechten zu verhindern, die zur Umgehung von Kontrollen genutzt werden können,
eine Bestimmung zur Zurechenbarkeit, die die Nutzung generischer und gemeinsam genutzter Nutzerkonten so weit wie möglich einschränkt und die sicherstellt, dass die in den IKT-Systemen vorgenommenen Handlungen jederzeit einem Nutzer zugeordnet werden können,
eine Bestimmung zur Beschränkung des Zugangs zu IKT-Assets, die Kontrollen und Tools zur Verhinderung eines unbefugten Zugangs vorsieht,
Kontoverwaltungsverfahren für die Gewährung, Änderung oder Entziehung von Zugangsrechten für Nutzerkonten und generische Konten, insbesondere auch für generische Administratorkonten, die alles Folgende beinhalten:
die Zuweisung der Aufgaben und Zuständigkeiten für die Gewährung, Überprüfung und Entziehung von Zugangsrechten,
die Zuweisung eines bevorrechtigten Zugangs, eines Notfallzugangs und eines Administratorzugangs nach dem Grundsatz der Nutzungsnotwendigkeit oder ad hoc bei allen IKT-Systemen,
den umgehenden Entzug der Zugangsrechte bei Beendigung des Beschäftigungsverhältnisses oder wenn der Zugang nicht länger erforderlich ist,
die Aktualisierung der Zugangsrechte, wenn Änderungen notwendig sind, mindestens aber einmal jährlich bei allen IKT-Systemen mit Ausnahme derjenigen, die kritische oder wichtige Funktionen unterstützen, und mindestens alle sechs Monate bei IKT-Systemen, die kritische oder wichtige Funktionen unterstützen;
Authentifizierungsmethoden, die alles Folgende vorsehen:
die Nutzung von Authentifizierungsmethoden ist der gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 vorgenommenen Klassifizierung und dem Gesamtrisikoprofil der IKT-Assets angemessen und trägt führenden Praktiken Rechnung,
die Nutzung starker Authentifizierungsmethoden entspricht den führenden Praktiken und Techniken für den Fernzugang zum Netz des Finanzunternehmens, für den bevorrechtigten Zugang, für den Zugang zu IKT-Assets, die kritische oder wichtige Funktionen unterstützen oder IKT-Assets, die öffentlich zugänglich sind,
physische Zugangskontrollen, die Folgendes einschließen:
die Identifizierung und Protokollierung natürlicher Personen mit Zugangsberechtigung für Räumlichkeiten, Rechenzentren und die vom Finanzunternehmen designierten sensiblen Bereiche, in denen IKT- und Informationsassets untergebracht sind,
die Gewährung der Rechte auf physischen Zugang zu kritischen IKT-Assets nur für befugte Personen nach dem Grundsatz „Kenntnis nur, wenn nötig“ und dem Grundsatz der minimalen Berechtigung sowie ad hoc,
die Überwachung des physischen Zugangs zu Räumlichkeiten, Rechenzentren und die vom Finanzunternehmen designierten sensiblen Bereiche, in denen IKT- und/oder Informationsassets untergebracht sind,
die Überprüfung der physischen Zugangsrechte, um zu gewährleisten, dass unnötige Zugangsrechte umgehend entzogen werden.
Für die Zwecke von Buchstabe e Ziffer i legen die Finanzunternehmen die Speicherfrist fest und tragen dabei den Geschäftszielen und den Zielen für die Informationssicherheit, den Gründen für die Protokollierung des Ereignisses und den Ergebnissen der IKT-Risikobewertung Rechnung.
Für die Zwecke von Buchstabe e Ziffer ii verwenden die Finanzunternehmen für die Ausführung administrativer Aufgaben in IKT-Systemen nach Möglichkeit spezielle Konten. Für das Management des bevorrechtigten Zugangs greifen die Finanzunternehmen soweit möglich und angemessen auf automatisierte Lösungen zurück.
Für die Zwecke von Buchstabe g Ziffer i müssen die Identifizierung und Protokollierung der Bedeutung der Räumlichkeiten, der Rechenzentren und der designierten sensiblen Bereiche und der Kritikalität der dort untergebrachten Geschäftstätigkeiten oder IKT-Systeme angemessen sein.
Für die Zwecke von Buchstabe g Ziffer iii muss die Überwachung der gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 vorgenommenen Klassifizierung und der Kritikalität des Zugangsbereichs angemessen sein.
Relevant recitals
Erwägungsgrund 14 Strong authentication and accountability
Bei der Zuweisung von Zugangsrechten an Nutzer sollten in Titel II genannte Finanzunternehmen durch strenge Maßnahmen sicherstellen, dass eine eindeutige Identifizierung von Personen und Systemen, die auf die Informationen des Finanzunternehmens zugreifen, gewährleistet ist. Wird dies versäumt, so setzt sich das betreffende Finanzunternehmen dem Risiko von potenziell unbefugten Zugriffen, Datenschutzverletzungen und betrügerischen Aktivitäten und somit der Gefahr einer Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit sensibler Finanzdaten aus. Auch wenn die Verwendung von generischen oder gemeinsam genutzten Konten unter Umständen, die die Finanzunternehmen festlegen, ausnahmsweise zulässig sein sollte, sollten die Finanzunternehmen doch sicherstellen, dass Handlungen, die über diese Konten erfolgen, zurechenbar bleiben. Ist dies nicht der Fall, so bietet sich potenziellen böswilligen Nutzern die Möglichkeit, Ermittlungs- und Korrekturmaßnahmen zu behindern, was bei den Finanzunternehmen die Gefahr von unentdeckten böswilligen Handlungen oder von Sanktionen wegen Nichteinhaltung erhöhen würde.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
kritische oder wichtige Funktion
(En. critical or important function)
Definition
Netzwerk- und Informationssystem
(En. network and information system)
Definition
Informationsasset
(En. information asset)
Definition
IKT-Asset
(En. ICT asset)