Source: OJ L, 2024/1774, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 20 Identitetshantering
Summary What does Article 20 of the RTS on ICT risk management framework say?
This article sits within the broader access management framework of the regulation, acting as a foundational prerequisite to Article 21, which governs the actual assignment of access rights.
Article 20 establishes the identity management layer that must exist before those rights can be meaningfully assigned.
It requires financial entities to put in place policies and procedures that uniquely identify and authenticate every person and system seeking access to the entity's information and ICT assets.
Two core requirements underpin this: a one-to-one mapping between individuals (including staff of ICT third-party service providers) and user accounts, and a full lifecycle management process covering accounts from creation through to termination.
Important points:
- Develop, document, and implement identity management policies and procedures that ensure every staff member and ICT third-party service provider staff member accessing your assets is assigned a unique identity and user account.
- Maintain records of all identity assignments, including after organisational restructuring or the end of a contractual relationship, subject to applicable retention requirements.
- Where feasible and appropriate, deploy automated solutions to manage the full lifecycle of identities and accounts.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Som en del av sin kontroll av rättigheter till åtkomsthantering ska finansiella entiteter utarbeta, dokumentera och genomföra strategier och förfaranden för identitetshantering som säkerställer unik identifiering och autentisering av fysiska personer och system som har åtkomst till den finansiella entitetens information, i syfte att möjliggöra tilldelning av åtkomsträttigheter för användare i enlighet med artikel 21.
De strategier och förfaranden för identitetshantering som avses i punkt 1 ska innehålla allt av följande:
Utan att det påverkar tillämpningen av artikel 21 första stycket c, en unik identitet som motsvarar ett unikt användarkonto och som tilldelas varje anställd i den finansiella entiteten eller varje anställd hos tredjepartsleverantörer av IKT-tjänster som har åtkomst till den finansiella entitetens informationstillgångar och IKT-tillgångar.
En process för livscykelhantering av identiteter och konton som hanterar skapande, ändring, granskning och uppdatering, tillfällig inaktivering och avslutande av alla konton.
Vid tillämpning av led a ska finansiella entiteter föra register över alla identitetstilldelningar. Dessa register ska bevaras efter en omorganisation av den finansiella entiteten eller efter det att avtalsförhållandet har upphört, utan att det påverkar de krav på bevarande som fastställs i tillämplig unionsrätt och nationell rätt.
Vid tillämpning av led b ska finansiella entiteter, när så är möjligt och lämpligt, införa automatiserade lösningar för processen för livscykelhantering av identiteter.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
IKT-tillgång
(En. ICT asset)
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)
Definition
informationstillgång
(En. information asset)
Definition
nätverks- och informationssystem
(En. network and information system)