Source: OJ L, 2024/1774, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 7 Management kryptografischer Schlüssel
Summary What does Article 7 of the RTS on ICT risk management framework say?
This article drills down into the practical requirements for cryptographic key management, directly building on Article 6 which establishes the overarching encryption and cryptographic controls policy.
Where Article 6 sets the strategic framework, Article 7 focuses on the operational detail: financial entities must govern cryptographic keys across their entire lifecycle, from generation through to destruction, and must have contingency methods in place if keys are lost, compromised, or damaged.
The article also extends these obligations to certificate management, requiring financial entities to maintain an up-to-date register and ensure certificates are renewed before they expire.
Important points:
- Manage cryptographic keys across their full lifecycle, with controls designed on the basis of your data classification and ICT risk assessment.
- Develop and implement methods to replace cryptographic keys if they are lost, compromised, or damaged.
- Create and maintain an up-to-date register of all certificates and certificate-storing devices, at minimum for ICT assets supporting critical or important functions, and ensure certificates are renewed before expiration.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die Finanzunternehmen nehmen in die in Artikel 6 Absatz 2 Buchstabe d genannte Richtlinie für das Management kryptografischer Schlüssel Anforderungen auf, die für das Management kryptografischer Schlüssel über ihren gesamten Lebenszyklus hinweg gelten, einschließlich mit Blick auf die Generierung, Erneuerung, Speicherung, Sicherung, Archivierung, den Abruf, die Übermittlung, Rücknahme, den Widerruf und die Vernichtung dieser kryptografischen Schlüssel.
Die Finanzunternehmen ermitteln und implementieren Kontrollen, um kryptografische Schlüssel während ihres gesamten Lebenszyklus vor Verlust, unbefugtem Zugriff, Offenlegung und Änderung zu schützen. Die Finanzunternehmen konzipieren diese Kontrollen auf der Grundlage der Ergebnisse der genehmigten Datenklassifizierung und der IKT-Risikobewertung.
Die Finanzunternehmen entwickeln und implementieren Methoden, um die kryptografischen Schlüssel im Verlustfall oder bei Beeinträchtigungen oder Beschädigungen dieser Schlüssel auszutauschen.
Die Finanzunternehmen erstellen und führen für mindestens diejenigen IKT-Assets, die kritische oder wichtige Funktionen unterstützen, ein Register aller Zertifikate und Zertifikatspeicher. Die Finanzunternehmen halten dieses Register auf dem neuesten Stand.
Die Finanzunternehmen stellen sicher, dass die Zertifikate vor Ablauf unverzüglich erneuert werden.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
kritische oder wichtige Funktion
(En. critical or important function)
Definition
Netzwerk- und Informationssystem
(En. network and information system)
Definition
IKT-Asset
(En. ICT asset)