Art. 33 Åtkomstkontroll | RTS on ICT risk management framework | DORA

This article sits within the simplified ICT risk management framework and applies to the smaller financial entities referenced in Article 16(1) of DORA.

It requires those entities to develop, document, implement, and periodically review procedures for controlling both logical and physical access.

The article covers the full lifecycle of access management: from granting rights on a need-to-know and least privilege basis, to ensuring user accountability, to withdrawing access when it is no longer required.

It also specifies that privileged and administrator access must be assigned on a need-to-use or ad-hoc basis and logged, linking directly to obligations set out in Article 34.

Important points:

Develop, document, implement, and periodically review procedures for the control of logical and physical access to information assets, ICT assets, and critical operational locations.
Assign privileged, emergency, and administrator access on a need-to-use or ad-hoc basis for all ICT systems, and ensure those assignments are logged.
Use strong authentication methods based on leading practices for remote access, privileged access, and access to ICT assets supporting critical or important functions that are publicly available.

De finansiella entiteter som avses i artikel 16.1 i förordning (EU) 2022/2554 ska utarbeta, dokumentera och genomföra förfaranden för kontroll av logisk och fysisk åtkomst och ska kontrollera efterlevnaden av, övervaka och regelbundet se över dessa förfaranden. Dessa förfaranden ska innehålla följande delar av kontrollen av logisk och fysisk åtkomst:
1. Åtkomsträttigheter till informationstillgångar, IKT-tillgångar och de funktioner som stöds av dem, samt till kritiska platser för den finansiella entitetens verksamhet, som ska hanteras enligt principerna om behovsenlig behörighet, behovsenlig användning och minsta möjliga behörighet, inklusive för fjärråtkomst och nödåtkomst.
2. Användaransvar, vilket säkerställer att användare kan identifieras när åtgärder utförs i IKT-systemen.
3. Förfaranden för kontohantering för att bevilja, ändra eller återkalla åtkomsträttigheter för användarkonton och generiska konton, även generiska administratörskonton.
4. Autentiseringsmetoder som står i proportion till den klassificering som avses i artikel 30.1 och till IKT-tillgångarnas allmänna riskprofil, och som bygger på ledande praxis.
5. Regelbunden översyn av åtkomsträttigheter och återkallande av dem när de inte längre behövs.
Vid tillämpning av led c ska den finansiella entiteten tilldela privilegierad åtkomst, nödåtkomst och administratörsåtkomst efter behov eller från fall till fall och för samtliga IKT-system, och åtkomsten ska loggas i enlighet med artikel 34 första stycket f.
Vid tillämpning av led d ska finansiella entiteter använda robusta metoder för autentisering som bygger på ledande praxis för fjärråtkomst till den finansiella entitetens nätverk, för privilegierad åtkomst och för åtkomst till IKT-tillgångar som stöder kritiska eller viktiga funktioner och som är allmänt tillgängliga.