Artikel 18 Fysisk säkerhet och miljösäkerhet

Som en del av skyddsåtgärderna för att bevara uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet ska finansiella entiteter specificera, dokumentera och genomföra en policy för fysisk säkerhet och miljösäkerhet. Finansiella entiteter ska utforma denna policy mot bakgrund av cyberhotbilden, i enlighet med den klassificering som fastställts i enlighet med artikel 8.1 i förordning (EU) 2022/2554 och mot bakgrund av den allmänna riskprofilen för IKT-tillgångar och tillgängliga informationstillgångar.

1. En hänvisning till avsnittet i policyn om kontroll av rättigheter till åtkomsthantering som avses i artikel 21 första stycket g.

2. Åtgärder för att skydda den finansiella entitetens lokaler, datacentraler och känsliga angivna områden som identifierats av den finansiella entiteten, där IKT-tillgångar och informationstillgångar finns, mot angrepp, olyckor samt miljöhot och miljöfaror.

3. Åtgärder för att säkra IKT-tillgångar, både inom och utanför den finansiella entitetens lokaler, med beaktande av resultaten av IKT-riskbedömningen för de relevanta IKT-tillgångarna.

4. Åtgärder för att säkerställa tillgänglighet, äkthet, integritet och konfidentialitet för den finansiella entitetens IKT-tillgångar, informationstillgångar och enheter för fysisk åtkomstkontroll genom lämpligt underhåll.

5. Åtgärder för att bevara uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet, inklusive

   1. en policy om ett renstädat skrivbord för dokument,

   2. en policy om en tom bildskärm för anläggningar för informationsbehandling.

Vid tillämpning av led b ska åtgärderna för skydd mot miljöhot och miljöfaror stå i proportion till hur viktiga lokalerna, datacentralerna och de känsliga angivna områdena är och hur kritiska de verksamheter eller IKT-system som finns där är.

Vid tillämpning av led c ska den policy för fysisk säkerhet och miljösäkerhet som avses i punkt 1 innehålla åtgärder för att tillhandahålla lämpligt skydd för obevakade IKT-tillgångar.