Art. 20 Identitetshantering | RTS on ICT risk management framework | DORA

1. Som en del av sin kontroll av rättigheter till åtkomsthantering ska finansiella entiteter utarbeta, dokumentera och genomföra strategier och förfaranden för identitetshantering som säkerställer unik identifiering och autentisering av fysiska personer och system som har åtkomst till den finansiella entitetens information, i syfte att möjliggöra tilldelning av åtkomsträttigheter för användare i enlighet med artikel 21.
1. De strategier och förfaranden för identitetshantering som avses i punkt 1 ska innehålla allt av följande:
  1. Utan att det påverkar tillämpningen av artikel 21 första stycket c, en unik identitet som motsvarar ett unikt användarkonto och som tilldelas varje anställd i den finansiella entiteten eller varje anställd hos tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som har åtkomst till den finansiella entitetens informationstillgångar och IKT-tillgångar.
  2. En process för livscykelhantering av identiteter och konton som hanterar skapande, ändring, granskning och uppdatering, tillfällig inaktivering och avslutande av alla konton.
2. Vid tillämpning av led a ska finansiella entiteter föra register över alla identitetstilldelningar. Dessa register ska bevaras efter en omorganisation av den finansiella entiteten eller efter det att avtalsförhållandet har upphört, utan att det påverkar de krav på bevarande som fastställs i tillämplig unionsrätt och nationell rätt.
3. Vid tillämpning av led b ska finansiella entiteter, när så är möjligt och lämpligt, införa automatiserade lösningar för processen för livscykelhantering av identiteter.