Art. 7 Hantering av kryptografiska nycklar | RTS on ICT risk management framework | DORA

This article drills down into the practical requirements for cryptographic key management, directly building on Article 6 which establishes the overarching encryption and cryptographic controls policy.

Where Article 6 sets the strategic framework, Article 7 focuses on the operational detail: financial entities must govern cryptographic keys across their entire lifecycle, from generation through to destruction, and must have contingency methods in place if keys are lost, compromised, or damaged.

The article also extends these obligations to certificate management, requiring financial entities to maintain an up-to-date register and ensure certificates are renewed before they expire.

Important points:

Manage cryptographic keys across their full lifecycle, with controls designed on the basis of your data classification and ICT risk assessment.
Develop and implement methods to replace cryptographic keys if they are lost, compromised, or damaged.
Create and maintain an up-to-date register of all certificates and certificate-storing devices, at minimum for ICT assets supporting critical or important functions, and ensure certificates are renewed before expiration.

1. Finansiella entiteter ska i den policy för hantering av kryptografiska nycklar som avses i artikel 6.2 d inkludera krav för hantering av kryptografiska nycklar under hela deras livscykel, inbegripet generering, förnyelse, lagring, säkerhetskopiering, arkivering, hämtning, överföring, återkallande, upphävande och förstörelse av dessa kryptografiska nycklar.
1. Finansiella entiteter ska identifiera och genomföra kontroller för att skydda kryptografiska nycklar under hela deras livscykel mot förlust, obehörig åtkomst, röjande och ändring. Finansiella entiteter ska utforma dessa kontroller på grundval av resultaten av den godkända dataklassificeringen och IKT-riskbedömningen.
1. Finansiella entiteter ska utveckla och genomföra metoder för att ersätta kryptografiska nycklar i händelse av förlust, eller om dessa nycklar är komprometterade eller skadade.
1. Finansiella entiteter ska skapa och upprätthålla ett register över alla certifikat och enheter för lagring av certifikat för åtminstone IKT-tillgångar som stöder kritiska eller viktiga funktioner. Finansiella entiteter ska hålla detta register uppdaterat.
1. Finansiella entiteter ska säkerställa att certifikat snabbt förnyas innan de löper ut.