Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 7 Gestion des clés cryptographiques
Summary What does Article 7 of the RTS on ICT risk management framework say?
This article drills down into the practical requirements for cryptographic key management, directly building on Article 6 which establishes the overarching encryption and cryptographic controls policy.
Where Article 6 sets the strategic framework, Article 7 focuses on the operational detail: financial entities must govern cryptographic keys across their entire lifecycle, from generation through to destruction, and must have contingency methods in place if keys are lost, compromised, or damaged.
The article also extends these obligations to certificate management, requiring financial entities to maintain an up-to-date register and ensure certificates are renewed before they expire.
Important points:
- Manage cryptographic keys across their full lifecycle, with controls designed on the basis of your data classification and ICT risk assessment.
- Develop and implement methods to replace cryptographic keys if they are lost, compromised, or damaged.
- Create and maintain an up-to-date register of all certificates and certificate-storing devices, at minimum for ICT assets supporting critical or important functions, and ensure certificates are renewed before expiration.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les entités financières incluent dans la politique de gestion des clés cryptographiques visée à l’article 6, paragraphe 2, point d), des exigences relatives à la gestion des clés cryptographiques tout au long de leur cycle de vie, notamment en ce qui concerne la génération, le renouvellement, le stockage, la sauvegarde, l’archivage, la récupération, la transmission, le retrait, la révocation et la destruction de ces clés cryptographiques.
Les entités financières définissent et mettent en œuvre des contrôles visant à protéger les clés cryptographiques tout au long de leur cycle de vie contre la perte, les accès non autorisés, la divulgation et la modification. Les entités financières conçoivent ces contrôles sur la base des résultats de la classification des données approuvée et de l’évaluation du risque lié aux TIC.
Les entités financières élaborent et mettent en œuvre des méthodes pour remplacer les clés cryptographiques en cas de perte ou lorsque ces clés sont compromises ou endommagées.
Les entités financières créent et tiennent un registre de tous les certificats et dispositifs de stockage de certificats pour au moins les actifs de TIC qui soutiennent des fonctions critiques ou importantes. Les entités financières tiennent ce registre à jour.
Les entités financières veillent au renouvellement en temps utile des certificats avant leur expiration.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
risque lié aux TIC
(En. ICT risk)
Definition
fonction critique ou importante
(En. critical or important function)
Definition
actif de TIC
(En. ICT asset)