Artikel 21 Åtkomstkontroll

1. Tilldelning av åtkomsträttigheter till IKT-tillgångar baserat på principerna om behovsenlig behörighet, behovsenlig användning och minsta möjliga behörighet, inklusive för fjärråtkomst och nödåtkomst.

2. Åtskillnad av arbetsuppgifter för att förhindra omotiverad åtkomst till kritiska uppgifter eller för att förhindra tilldelning av kombinationer av åtkomsträttigheter som kan användas för att kringgå kontroller.

3. En bestämmelse om användares ansvarsskyldighet, genom att i möjligaste mån begränsa användningen av generiska och delade användarkonton och säkerställa att användarna alltid kan identifieras när åtgärder utförs i IKT-systemen.

4. En bestämmelse om begränsningar av åtkomst till IKT-tillgångar, med angivande av kontroller och verktyg för att förhindra obehörig åtkomst.

5. Förfaranden för kontohantering för att bevilja, ändra eller återkalla åtkomsträttigheter för användarkonton och generiska konton, även generiska administratörskonton, inklusive bestämmelser om

   1. tilldelning av roller och ansvarsområden för att bevilja, granska och återkalla åtkomsträttigheter,

   2. tilldelning av privilegierad åtkomst, nödåtkomst och administratörsåtkomst efter behov eller från fall till fall och för samtliga IKT-system,

   3. återkallande av åtkomsträttigheter utan onödigt dröjsmål när anställningen upphör eller när åtkomsten inte längre är nödvändig,

   4. uppdatering av åtkomsträttigheter när ändringar krävs och minst en gång per år för samtliga IKT-system, utom för IKT-system som stöder kritiska eller viktiga funktioner där uppdateringen ska ske minst var sjätte månad.

6. Autentiseringsmetoder, inklusive

   1. användning av autentiseringsmetoder som står i proportion till den klassificering som fastställts i enlighet med artikel 8.1 i förordning (EU) 2022/2554 och till IKT-tillgångarnas allmänna riskprofil och med beaktande av ledande praxis,

   2. användning av robusta metoder för autentisering i enlighet med ledande praxis och teknik för fjärråtkomst till den finansiella entitetens nätverk, för privilegierad åtkomst och för åtkomst till IKT-tillgångar som stöder kritiska eller viktiga funktioner eller IKT-tillgångar som är allmänt tillgängliga.

7. Åtgärder för fysisk åtkomstkontroll, inklusive

   1. identifiering och loggning av fysiska personer som är behöriga att få tillträde till lokaler, datacentraler och känsliga angivna områden som identifierats av den finansiella entiteten där IKT-tillgångar och informationstillgångar finns,

   2. beviljande av fysiska åtkomsträttigheter till kritiska IKT-tillgångar endast för behöriga personer, i enlighet med principerna om behovsenlig behörighet och minsta möjliga behörighet, och från fall till fall,

   3. övervakning av fysiskt tillträde till lokaler, datacentraler och känsliga angivna områden som identifierats av den finansiella entiteten där IKT-tillgångar och informationstillgångar eller bådadera finns,

   4. granskning av fysiska åtkomsträttigheter för att säkerställa att onödiga åtkomsträttigheter omedelbart återkallas.

Vid tillämpning av led e i ska finansiella entiteter fastställa lagringstiden med beaktande av verksamhets- och informationssäkerhetsmålen, skälen till att händelsen registreras i loggarna och resultaten av IKT-riskbedömningen.

Vid tillämpning av led e ii ska finansiella entiteter, när så är möjligt, använda särskilda konton för att utföra administrativa uppgifter på IKT-system. När så är möjligt och lämpligt ska finansiella entiteter införa automatiserade lösningar för hantering av privilegierad åtkomst.

Vid tillämpning av led g i ska identifieringen och loggningen stå i proportion till hur viktiga lokalerna, datacentralerna och de känsliga angivna områdena är och hur kritiska de verksamheter eller IKT-system som finns där är.

Vid tillämpning av led g iii ska övervakningen stå i proportion till den klassificering som fastställts i enlighet med artikel 8.1 i förordning (EU) 2022/2554 och hur kritiskt det område är till vilket åtkomst ges.