Artikel 33 | Delegierte Verordnung 2024/1774

Artikel 33 - Zugangskontrolle

Artikel 33

Zugangskontrolle

Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen erarbeiten, dokumentieren und implementieren Verfahren für die Kontrolle des logischen und physischen Zugangs und setzen diese Verfahren durch, überwachen sie und überprüfen sie regelmäßig. Diese Verfahren umfassen die folgenden Elemente der Kontrolle des logischen und physischen Zugangs:

Verwaltung der Rechte auf Zugang zu Informationsassets, IKT-Assets und den durch sie unterstützten Funktionen sowie zu kritischen Betriebsstandorten des Finanzunternehmens nach dem Grundsatz „Kenntnis nur, wenn nötig“ („Need-to-know“), nach dem Grundsatz der Nutzungsnotwendigkeit („Need-to-use“) und nach dem Grundsatz der minimalen Berechtigung („Least privileges“), auch für den Fern- und Notfallzugang;

b)	Zurechenbarkeit der Nutzer, die sicherstellt, dass die Nutzer, die Handlungen in den IKT-Systemen vorgenommen haben, identifiziert werden können;

c)	Kontoverwaltungsverfahren für die Gewährung, Veränderung oder Entziehung von Zugangsrechten für Nutzerkonten und generische Konten, insbesondere auch für generische Administratorkonten;

d)	Authentifizierungsmethoden, die der in Artikel 30 Absatz 1 genannten Klassifizierung und dem Gesamtrisikoprofil der IKT-Assets angemessen sind und auf führenden Praktiken beruhen;

e)	regelmäßige Überprüfung der Zugangsrechte und Entziehung nicht mehr benötigter Zugangsrechte.

Für die Zwecke von Buchstabe c weist das Finanzunternehmen den privilegierten Zugang, den Notfallzugang und den Administratorzugang bei allen IKT-Systemen nach dem Grundsatz der Nutzungsnotwendigkeit oder ad hoc zu und protokolliert den Zugang nach Maßgabe von Artikel 34 Absatz 1 Buchstabe f in einer Log-Datei.

Für die Zwecke von Buchstabe d wenden die Finanzunternehmen starke Authentifizierungsmethoden an, die sich auf führende Praktiken für den Fernzugriff auf das Netz der Finanzunternehmen, für den privilegierten Zugang und für den Zugang zu IKT-Assets zur Unterstützung kritischer oder wichtiger Funktionen stützen, die öffentlich verfügbar sind.

TITEL I - ALLGEMEINER GRUNDSATZ (Artikel 1)

TITEL II - WEITERE HARMONISIERUNG VON TOOLS, METHODEN, PROZESSEN UND RICHTLINIEN FÜR IKT-RISIKOMANAGEMENT IM EINKLANG MIT ARTIKEL 15 DER VERORDNUNG (EU) 2022/2554 (Artikel 2-27)

TITEL III - VEREINFACHTER IKT-RISIKOMANAGEMENTRAHMEN FÜR DIE IN ARTIKEL 16 ABSATZ 1 DER VERORDNUNG (EU) 2022/2554 GENANNTEN FINANZUNTERNEHMEN (Artikel 28-41)

KAPITEL I - Vereinfachter IKT-Risikomanagementrahmen (Artikel 28-32)

KAPITEL II - Weitere Elemente der Systeme, Protokolle und Tools zur Minimierung der Auswirkungen von IKT-Risiken (Artikel 33-38)Artikel 33 - Zugangskontrolle Artikel 34 - IKT-Betriebssicherheit Artikel 35 - Daten-, System- und Netzwerksicherheit Artikel 36 - IKT-Sicherheitstests Artikel 37 - Beschaffung, Entwicklung und Wartung von IKT-Systemen Artikel 38 - IKT-Projekt- und -Änderungsmanagement

KAPITEL III - Management der IKT-Geschäftsfortführung (Artikel 39-40)

KAPITEL IV - Bericht über die Überprüfung des vereinfachten IKT-Risikomanagementrahmens (Artikel 41)

TITEL IV - SCHLUSSBESTIMMUNGEN (Artikel 42)

Metadaten

Verknüpfte Dokumente

Artikel 33 - Zugangskontrolle

Inhaltsverzeichnis