Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 20 Gestion de l’identité
Summary What does Article 20 of the RTS on ICT risk management framework say?
This article sits within the broader access management framework of the regulation, acting as a foundational prerequisite to Article 21, which governs the actual assignment of access rights.
Article 20 establishes the identity management layer that must exist before those rights can be meaningfully assigned.
It requires financial entities to put in place policies and procedures that uniquely identify and authenticate every person and system seeking access to the entity's information and ICT assets.
Two core requirements underpin this: a one-to-one mapping between individuals (including staff of ICT third-party service providers) and user accounts, and a full lifecycle management process covering accounts from creation through to termination.
Important points:
- Develop, document, and implement identity management policies and procedures that ensure every staff member and ICT third-party service provider staff member accessing your assets is assigned a unique identity and user account.
- Maintain records of all identity assignments, including after organisational restructuring or the end of a contractual relationship, subject to applicable retention requirements.
- Where feasible and appropriate, deploy automated solutions to manage the full lifecycle of identities and accounts.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Dans le cadre de leur contrôle des droits de gestion des accès, les entités financières élaborent, documentent et mettent en œuvre des politiques et procédures de gestion de l’identité qui garantissent l’identification et l’authentification uniques des personnes physiques et des systèmes ayant accès aux informations des entités financières afin de permettre l’attribution de droits d’accès aux utilisateurs conformément à l’article 21.
Les politiques et procédures de gestion de l’identité visées au paragraphe 1 comportent l’ensemble des éléments suivants:
sans préjudice de l’article 21, premier alinéa, point c), une identité unique correspondant à un compte d’utilisateur unique est attribuée à chaque membre du personnel de l’entité financière ou du personnel des prestataires tiers de services TIC qui ont accès aux actifs informationnels et aux actifs de TIC de l’entité financière;
un processus de gestion du cycle de vie pour les identités et les comptes régissant la création, la modification, le réexamen et la mise à jour, la désactivation temporaire et la clôture de tous les comptes.
Aux fins du point a), les entités financières tiennent des registres de toutes les attributions d’identité. Ces registres sont conservés à la suite d’une réorganisation de l’entité financière ou après la fin d’une relation contractuelle, sans préjudice des exigences en matière de conservation prévues par le droit de l’Union et le droit national applicables.
Aux fins du point b), les entités financières déploient, lorsque cela est possible et approprié, des solutions automatisées pour le processus de gestion de l’identité tout au long du cycle de vie.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
actif informationnel
(En. information asset)
Definition
services TIC
(En. ICT services)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Definition
actif de TIC
(En. ICT asset)