Art. 18 Fysisk säkerhet och miljösäkerhet | RTS on ICT risk management framework | DORA

This article requires financial entities to put in place a physical and environmental security policy as part of their broader data safeguards.

The policy must be designed with the cyber threat landscape and the ICT risk assessment in mind, and it covers the protection of physical spaces — premises, data centres, and sensitive designated areas — as well as the ICT and information assets that reside within them.

Notably, the article explicitly links to Article 21 on access management rights, meaning the two policies must be read together.

The scope extends beyond the office walls, requiring security measures for ICT assets located outside the financial entity's premises as well.

Important points:

Specify, document, and implement a physical and environmental security policy that accounts for the cyber threat landscape and ICT risk assessment results.
The policy must cover protection of physical locations and assets from attacks, accidents, and environmental threats, with protections scaled to the criticality of the operations or ICT systems located therein.
Include practical data protection measures such as a clear desk policy for papers and a clear screen policy for information processing facilities.

1. Som en del av skyddsåtgärderna för att bevara uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet ska finansiella entiteter specificera, dokumentera och genomföra en policy för fysisk säkerhet och miljösäkerhet. Finansiella entiteter ska utforma denna policy mot bakgrund av cyberhotbilden, i enlighet med den klassificering som fastställts i enlighet med artikel 8.1 i förordning (EU) 2022/2554 och mot bakgrund av den allmänna riskprofilen för IKT-tillgångar och tillgängliga informationstillgångar.
1. Den policy för fysisk säkerhet och miljösäkerhet som avses i punkt 1 ska innehålla allt av följande:
  1. En hänvisning till avsnittet i policyn om kontroll av rättigheter till åtkomsthantering som avses i artikel 21 första stycket g.
  2. Åtgärder för att skydda den finansiella entitetens lokaler, datacentraler och känsliga angivna områden som identifierats av den finansiella entiteten, där IKT-tillgångar och informationstillgångar finns, mot angrepp, olyckor samt miljöhot och miljöfaror.
  3. Åtgärder för att säkra IKT-tillgångar, både inom och utanför den finansiella entitetens lokaler, med beaktande av resultaten av IKT-riskbedömningen för de relevanta IKT-tillgångarna.
  4. Åtgärder för att säkerställa tillgänglighet, äkthet, integritet och konfidentialitet för den finansiella entitetens IKT-tillgångar, informationstillgångar och enheter för fysisk åtkomstkontroll genom lämpligt underhåll.
  5. Åtgärder för att bevara uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet, inklusive
    en policy om ett renstädat skrivbord för dokument,
    en policy om en tom bildskärm för anläggningar för informationsbehandling.
2. Vid tillämpning av led b ska åtgärderna för skydd mot miljöhot och miljöfaror stå i proportion till hur viktiga lokalerna, datacentralerna och de känsliga angivna områdena är och hur kritiska de verksamheter eller IKT-system som finns där är.
3. Vid tillämpning av led c ska den policy för fysisk säkerhet och miljösäkerhet som avses i punkt 1 innehålla åtgärder för att tillhandahålla lämpligt skydd för obevakade IKT-tillgångar.