Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 33 Contrôle d’accès

  1. Les entités financières visées à l’article 16, paragraphe 1, du règlement (UE) 2022/2554 élaborent, documentent et mettent en œuvre des procédures de contrôle des accès logiques et physiques, et appliquent, contrôlent et réexaminent périodiquement ces procédures. Ces procédures comportent les éléments suivants de contrôle des accès logiques et physiques:

    1. les droits d’accès aux actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection;, aux actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; et aux fonctions que ces actifs soutiennent, ainsi qu’aux sites critiques d’exploitation de l’entité financière, sont gérés selon les principes du besoin d’en connaître, du besoin d’en disposer et du droit d’accès minimal, y compris pour l’accès à distance et l’accès d’urgence;

    2. la responsabilité des utilisateurs, qui garantit que les utilisateurs peuvent être identifiés pour les actions effectuées dans les systèmes de TIC;

    3. les procédures de gestion des comptes permettant d’accorder, de modifier ou de révoquer des droits d’accès pour les comptes d’utilisateurs et les comptes génériques, y compris les comptes génériques d’administrateur;

    4. des méthodes d’authentification proportionnées à la classification visée à l’article 30, paragraphe 1, et au profil de risque global des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière;, et reposant sur les pratiques de pointe;

    5. les droits d’accès sont réexaminés périodiquement et retirés lorsqu’ils ne sont plus nécessaires.

  2. Aux fins du point c), l’entité financière attribue des accès privilégiés, d’urgence et d’administrateur uniquement sur la base du besoin d’en disposer ou au cas par cas pour tous les systèmes de TIC. Ces accès sont journalisés conformément à l’article 34, premier alinéa, point f).

  3. Aux fins du point d), les entités financières utilisent des méthodes d’authentification forte reposant sur les pratiques de pointe pour l’accès à distance à leurs réseaux, pour tout accès privilégié et pour l’accès aux actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; soutenant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; qui sont accessibles au public.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod