Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 33 Contrôle d’accès
Summary What does Article 33 of the RTS on ICT risk management framework say?
This article sits within the simplified ICT risk management framework and applies to the smaller financial entities referenced in Article 16(1) of DORA.
It requires those entities to develop, document, implement, and periodically review procedures for controlling both logical and physical access.
The article covers the full lifecycle of access management: from granting rights on a need-to-know and least privilege basis, to ensuring user accountability, to withdrawing access when it is no longer required.
It also specifies that privileged and administrator access must be assigned on a need-to-use or ad-hoc basis and logged, linking directly to obligations set out in Article 34.
Important points:
- Develop, document, implement, and periodically review procedures for the control of logical and physical access to information assets, ICT assets, and critical operational locations.
- Assign privileged, emergency, and administrator access on a need-to-use or ad-hoc basis for all ICT systems, and ensure those assignments are logged.
- Use strong authentication methods based on leading practices for remote access, privileged access, and access to ICT assets supporting critical or important functions that are publicly available.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les entités financières visées à l’article 16, paragraphe 1, du règlement (UE) 2022/2554 élaborent, documentent et mettent en œuvre des procédures de contrôle des accès logiques et physiques, et appliquent, contrôlent et réexaminent périodiquement ces procédures. Ces procédures comportent les éléments suivants de contrôle des accès logiques et physiques:
les droits d’accès aux actifs informationnels, aux actifs de TIC et aux fonctions que ces actifs soutiennent, ainsi qu’aux sites critiques d’exploitation de l’entité financière, sont gérés selon les principes du besoin d’en connaître, du besoin d’en disposer et du droit d’accès minimal, y compris pour l’accès à distance et l’accès d’urgence;
la responsabilité des utilisateurs, qui garantit que les utilisateurs peuvent être identifiés pour les actions effectuées dans les systèmes de TIC;
les procédures de gestion des comptes permettant d’accorder, de modifier ou de révoquer des droits d’accès pour les comptes d’utilisateurs et les comptes génériques, y compris les comptes génériques d’administrateur;
des méthodes d’authentification proportionnées à la classification visée à l’article 30, paragraphe 1, et au profil de risque global des actifs de TIC, et reposant sur les pratiques de pointe;
les droits d’accès sont réexaminés périodiquement et retirés lorsqu’ils ne sont plus nécessaires.
Aux fins du point c), l’entité financière attribue des accès privilégiés, d’urgence et d’administrateur uniquement sur la base du besoin d’en disposer ou au cas par cas pour tous les systèmes de TIC. Ces accès sont journalisés conformément à l’article 34, premier alinéa, point f).
Aux fins du point d), les entités financières utilisent des méthodes d’authentification forte reposant sur les pratiques de pointe pour l’accès à distance à leurs réseaux, pour tout accès privilégié et pour l’accès aux actifs de TIC soutenant des fonctions critiques ou importantes qui sont accessibles au public.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
actif informationnel
(En. information asset)
Definition
fonction critique ou importante
(En. critical or important function)
Definition
actif de TIC
(En. ICT asset)