Art. 18 Sécurité physique et environnementale | RTS on ICT risk management framework | DORA

This article requires financial entities to put in place a physical and environmental security policy as part of their broader data safeguards.

The policy must be designed with the cyber threat landscape and the ICT risk assessment in mind, and it covers the protection of physical spaces — premises, data centres, and sensitive designated areas — as well as the ICT and information assets that reside within them.

Notably, the article explicitly links to Article 21 on access management rights, meaning the two policies must be read together.

The scope extends beyond the office walls, requiring security measures for ICT assets located outside the financial entity's premises as well.

Important points:

Specify, document, and implement a physical and environmental security policy that accounts for the cyber threat landscape and ICT risk assessment results.
The policy must cover protection of physical locations and assets from attacks, accidents, and environmental threats, with protections scaled to the criticality of the operations or ICT systems located therein.
Include practical data protection measures such as a clear desk policy for papers and a clear screen policy for information processing facilities.

1. Dans le cadre des garanties visant à préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, les entités financières précisent, documentent et mettent en œuvre une politique de sécurité physique et environnementale. Les entités financières conçoivent cette politique à la lumière de l’éventail des cybermenaces, conformément à la classification établie en application de l’article 8, paragraphe 1, du règlement (UE) 2022/2554, et à la lumière du profil de risque global des actifs de TIC et des actifs informationnels accessibles.
1. La politique de sécurité physique et environnementale visée au paragraphe 1 comporte l’ensemble des éléments suivants:
  1. une référence à la section de la politique relative au contrôle des droits de gestion des accès visé à l’article 21, premier alinéa, point g);
  2. des mesures de protection des locaux, des centres de données de l’entité financière et des zones sensibles désignées par l’entité financière, où se trouvent les actifs de TIC et les actifs informationnels, contre les attaques, les accidents et les menaces et dangers environnementaux;
  3. des mesures visant à sécuriser les actifs de TIC, tant à l’intérieur qu’à l’extérieur des locaux de l’entité financière, en tenant compte des résultats de l’évaluation du risque lié aux TIC portant sur les actifs de TIC concernés;
  4. des mesures visant à garantir la disponibilité, l’authenticité, l’intégrité et la confidentialité des actifs de TIC, des actifs informationnels et des dispositifs de contrôle de l’accès physique de l’entité financière grâce à une maintenance appropriée;
  5. des mesures visant à préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, notamment:
    une politique du bureau propre pour les documents;
    une politique de l’écran vide pour les installations de traitement de l’information.
2. Aux fins du point b), les mesures de protection contre les menaces et dangers environnementaux sont proportionnées à l’importance des locaux, des centres de données, des zones sensibles désignées et à la criticité des opérations ou des systèmes de TIC qui y sont situés.
3. Aux fins du point c), la politique de sécurité physique et environnementale visée au paragraphe 1 comporte des mesures visant à assurer une protection appropriée des actifs de TIC laissés sans surveillance.