Artikel 32 Physische Sicherheit und Sicherheit vor Umweltereignissen

Summary What does Article 32 of the RTS on ICT risk management framework say?

This article applies specifically to the financial entities subject to the simplified ICT risk management framework under Article 16(1) of DORA.

It sets out the requirement to put physical security measures in place, grounding those measures in the threat landscape and the asset classification work already done under Article 30(1).

In essence, it translates the risk picture into tangible protections for the physical spaces where ICT and information assets live, such as premises and data centres, guarding against unauthorised access, attacks, accidents, and environmental threats and hazards.

Important points:

Identify and implement physical security measures based on the threat landscape and the asset classification established under Article 30(1) of this Regulation.
Ensure those measures protect premises and, where applicable, data centres from unauthorised access, attacks, accidents, and environmental threats and hazards.
The level of protection against environmental threats and hazards must be commensurate with the importance of the premises and the criticality of the operations or ICT systems located there.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen ermitteln und implementieren physische Sicherheitsmaßnahmen, die ausgehend von der Bedrohungslage und entsprechend der in Artikel 30 Absatz 1 der vorliegenden Verordnung genannten Klassifizierung sowie auf Basis des Gesamtrisikoprofils der IKT-Assets und der zugänglichen Informationsassets konzipiert werden.
1. Die in Absatz 1 genannten Maßnahmen schützen die Räumlichkeiten der Finanzunternehmen und, sofern anwendbar, die Rechenzentren von Finanzunternehmen, in denen IKT- und Informationsassets untergebracht sind, vor unbefugtem Zugriff, Angriffen und Unfällen sowie vor Umweltbedrohungen und -gefahren.
1. Der Schutz vor Umweltbedrohungen und -gefahren muss der Bedeutung der betreffenden Räumlichkeiten und, sofern anwendbar, der Rechenzentren und der Kritikalität der dort untergebrachten Geschäftstätigkeiten oder IKT-Systeme angemessen sein.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.