Art. 33 Zugangskontrolle | RTS on ICT risk management framework | DORA

This article sits within the simplified ICT risk management framework and applies to the smaller financial entities referenced in Article 16(1) of DORA.

It requires those entities to develop, document, implement, and periodically review procedures for controlling both logical and physical access.

The article covers the full lifecycle of access management: from granting rights on a need-to-know and least privilege basis, to ensuring user accountability, to withdrawing access when it is no longer required.

It also specifies that privileged and administrator access must be assigned on a need-to-use or ad-hoc basis and logged, linking directly to obligations set out in Article 34.

Important points:

Develop, document, implement, and periodically review procedures for the control of logical and physical access to information assets, ICT assets, and critical operational locations.
Assign privileged, emergency, and administrator access on a need-to-use or ad-hoc basis for all ICT systems, and ensure those assignments are logged.
Use strong authentication methods based on leading practices for remote access, privileged access, and access to ICT assets supporting critical or important functions that are publicly available.

Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen erarbeiten, dokumentieren und implementieren Verfahren für die Kontrolle des logischen und physischen Zugangs und setzen diese Verfahren durch, überwachen sie und überprüfen sie regelmäßig. Diese Verfahren umfassen die folgenden Elemente der Kontrolle des logischen und physischen Zugangs:
1. Verwaltung der Rechte auf Zugang zu Informationsassets, IKT-Assets und den durch sie unterstützten Funktionen sowie zu kritischen Betriebsstandorten des Finanzunternehmens nach dem Grundsatz „Kenntnis nur, wenn nötig“ („Need-to-know“), nach dem Grundsatz der Nutzungsnotwendigkeit („Need-to-use“) und nach dem Grundsatz der minimalen Berechtigung („Least privileges“), auch für den Fern- und Notfallzugang;
2. Zurechenbarkeit der Nutzer, die sicherstellt, dass die Nutzer, die Handlungen in den IKT-Systemen vorgenommen haben, identifiziert werden können;
3. Kontoverwaltungsverfahren für die Gewährung, Veränderung oder Entziehung von Zugangsrechten für Nutzerkonten und generische Konten, insbesondere auch für generische Administratorkonten;
4. Authentifizierungsmethoden, die der in Artikel 30 Absatz 1 genannten Klassifizierung und dem Gesamtrisikoprofil der IKT-Assets angemessen sind und auf führenden Praktiken beruhen;
5. regelmäßige Überprüfung der Zugangsrechte und Entziehung nicht mehr benötigter Zugangsrechte.
Für die Zwecke von Buchstabe c weist das Finanzunternehmen den privilegierten Zugang, den Notfallzugang und den Administratorzugang bei allen IKT-Systemen nach dem Grundsatz der Nutzungsnotwendigkeit oder ad hoc zu und protokolliert den Zugang nach Maßgabe von Artikel 34 Absatz 1 Buchstabe f in einer Log-Datei.
Für die Zwecke von Buchstabe d wenden die Finanzunternehmen starke Authentifizierungsmethoden an, die sich auf führende Praktiken für den Fernzugriff auf das Netz der Finanzunternehmen, für den privilegierten Zugang und für den Zugang zu IKT-Assets zur Unterstützung kritischer oder wichtiger Funktionen stützen, die öffentlich verfügbar sind.