Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 32 Sécurité physique et environnementale
Summary What does Article 32 of the RTS on ICT risk management framework say?
This article applies specifically to the financial entities subject to the simplified ICT risk management framework under Article 16(1) of DORA.
It sets out the requirement to put physical security measures in place, grounding those measures in the threat landscape and the asset classification work already done under Article 30(1).
In essence, it translates the risk picture into tangible protections for the physical spaces where ICT and information assets live, such as premises and data centres, guarding against unauthorised access, attacks, accidents, and environmental threats and hazards.
Important points:
- Identify and implement physical security measures based on the threat landscape and the asset classification established under Article 30(1) of this Regulation.
- Ensure those measures protect premises and, where applicable, data centres from unauthorised access, attacks, accidents, and environmental threats and hazards.
- The level of protection against environmental threats and hazards must be commensurate with the importance of the premises and the criticality of the operations or ICT systems located there.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les entités financières visées à l’article 16, paragraphe 1, du règlement (UE) 2022/2554 définissent et mettent en œuvre des mesures de sécurité physique conçues sur la base de l’éventail des menaces et conformément à la classification visée à l’article 30, paragraphe 1, du présent règlement, au profil de risque global des actifs de TIC et aux actifs informationnels accessibles.
Les mesures visées au paragraphe 1 protègent les locaux des entités financières et, le cas échéant, les centres de données des entités financières dans lesquels les actifs de TIC et les actifs informationnels sont situés contre les accès non autorisés, les attaques et les accidents, ainsi que contre les menaces et dangers environnementaux.
La protection contre les menaces et dangers environnementaux est proportionnée à l’importance des locaux concernés et, le cas échéant, des centres de données et à la criticité des opérations ou des systèmes de TIC qui y sont situés.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
actif informationnel
(En. information asset)
Definition
actif de TIC
(En. ICT asset)