Art. 33 Åtkomstkontroll | RTS on ICT risk management framework | DORA

De finansiella entiteter som avses i artikel 16.1 i förordning (EU) 2022/2554 ska utarbeta, dokumentera och genomföra förfaranden för kontroll av logisk och fysisk åtkomst och ska kontrollera efterlevnaden av, övervaka och regelbundet se över dessa förfaranden. Dessa förfaranden ska innehålla följande delar av kontrollen av logisk och fysisk åtkomst:
1. Åtkomsträttigheter till informationstillgångar, IKT-tillgångar och de funktioner som stöds av dem, samt till kritiska platser för den finansiella entitetens verksamhet, som ska hanteras enligt principerna om behovsenlig behörighet, behovsenlig användning och minsta möjliga behörighet, inklusive för fjärråtkomst och nödåtkomst.
2. Användaransvar, vilket säkerställer att användare kan identifieras när åtgärder utförs i IKT-systemen.
3. Förfaranden för kontohantering för att bevilja, ändra eller återkalla åtkomsträttigheter för användarkonton och generiska konton, även generiska administratörskonton.
4. Autentiseringsmetoder som står i proportion till den klassificering som avses i artikel 30.1 och till IKT-tillgångarnas allmänna riskprofil, och som bygger på ledande praxis.
5. Regelbunden översyn av åtkomsträttigheter och återkallande av dem när de inte längre behövs.
Vid tillämpning av led c ska den finansiella entiteten tilldela privilegierad åtkomst, nödåtkomst och administratörsåtkomst efter behov eller från fall till fall och för samtliga IKT-system, och åtkomsten ska loggas i enlighet med artikel 34 första stycket f.
Vid tillämpning av led d ska finansiella entiteter använda robusta metoder för autentisering som bygger på ledande praxis för fjärråtkomst till den finansiella entitetens nätverk, för privilegierad åtkomst och för åtkomst till IKT-tillgångar som stöder kritiska eller viktiga funktioner och som är allmänt tillgängliga.