RTS Articolo 21 – Controllo degli accessi

Sintesi Articolo 21

Le entità finanziarie devono implementare e documentare una policy di gestione degli accessi alle risorse TIC (tecnologie dell’informazione e della comunicazione) basata su diversi principi. Questi includono l’assegnazione dei diritti di accesso secondo la necessità e il privilegio minimo, la separazione dei compiti per prevenire accessi non autorizzati, la gestione rigorosa degli account utente, l’uso di metodi di autenticazione avanzati, e il controllo degli accessi fisici alle aree sensibili. Queste misure mirano a garantire la sicurezza e la resilienza operativa delle infrastrutture critiche.

Nell’ambito del controllo dei diritti di gestione degli accessi, le entità finanziarie elaborano, documentano e attuano una politica che contiene tutti gli elementi seguenti:

  • a) l’assegnazione dei diritti di accesso alle risorse TIC in base ai principi della necessità di sapere, della necessità di usare e del privilegio minimo, anche per l’accesso remoto e di emergenza;
  • b) una separazione dei compiti, concepita per impedire l’accesso ingiustificato ai dati critici o per impedire l’assegnazione di combinazioni di diritti di accesso che potrebbero essere utilizzati per eludere i controlli;
  • c) una disposizione sulla responsabilità degli utenti, limitando per quanto possibile l’uso di account utente generici e condivisi e garantendo che gli utenti siano in ogni momento identificabili per le azioni eseguite nei sistemi di TIC;
  • d) una disposizione sulle restrizioni di accesso alle risorse TIC, che definisca i controlli e gli strumenti per prevenire l’accesso non autorizzato;
  • e) procedure di gestione degli account per concedere, modificare o revocare i diritti di accesso per gli account utente e generici, compresi gli account amministratore generici, che comprendano disposizioni relative a tutti gli aspetti seguenti:
    • i) l’assegnazione di ruoli e responsabilità per la concessione, il riesame e la revoca dei diritti di accesso;
    • ii) l’assegnazione di accessi privilegiati, di emergenza e di amministratore in base alla necessità di utilizzo o ad hoc per tutti i sistemi di TIC;
    • iii) la revoca dei diritti di accesso senza indebito ritardo al termine del rapporto di lavoro o quando l’accesso non è più necessario;
    • iv) l’aggiornamento dei diritti di accesso quando sono necessarie modifiche e almeno una volta all’anno per tutti i sistemi di TIC diversi da quelli che supportano funzioni essenziali o importanti e almeno ogni sei mesi per i sistemi di TIC che supportano funzioni essenziali o importanti;
  • f) i metodi di autenticazione, che comprendano tutti gli aspetti seguenti:
    • i) l’uso di metodi di autenticazione commisurati alla classificazione effettuata in conformità dell’articolo 8, paragrafo 1, del regolamento (UE) 2022/2554 e al profilo di rischio complessivo delle risorse TIC, tenendo conto delle pratiche più avanzate;
    • ii) l’uso di metodi di autentificazione robusti, conformemente alle pratiche e alle tecniche più avanzate, per l’accesso remoto alla rete dell’entità finanziaria, per l’accesso privilegiato, per l’accesso alle risorse TIC che supportano funzioni essenziali o importanti o per le risorse TIC accessibili al pubblico;
  • g) le misure di controllo degli accessi fisici, tra cui:
    • i) l’identificazione e il logging delle persone fisiche autorizzate ad accedere ai locali, ai centri di elaborazione dati, alle aree designate come sensibili dall’entità finanziaria in cui risiedono le risorse TIC e i patrimoni informativi;
    • ii) la concessione dei diritti di accesso fisico alle risorse TIC critiche solo alle persone autorizzate, secondo i principi della necessità di sapere e del privilegio minimo, e su base ad hoc;
    • iii) il monitoraggio dell’accesso fisico ai locali, ai centri di elaborazione dati e alle aree designate come sensibili dall’entità finanziaria in cui risiedono le risorse TIC, i patrimoni informativi o entrambi;
    • iv) il riesame dei diritti di accesso fisico per garantire la revoca tempestiva dei diritti di accesso non necessari.

Ai fini della lettera e), punto i), le entità finanziarie stabiliscono il periodo di conservazione, tenendo conto degli obiettivi aziendali e di sicurezza delle informazioni, dei motivi della registrazione dell’evento nei log e dei risultati della valutazione dei rischi informatici.

Ai fini della lettera e), punto ii), le entità finanziarie utilizzano, ove possibile, account dedicati per lo svolgimento di compiti amministrativi sui sistemi di TIC. Ove possibile e opportuno, le entità finanziarie adottano soluzioni automatizzate per la gestione degli accessi privilegiati.

Ai fini della lettera g), punto i), l’identificazione e il logging sono commisurati all’importanza dei locali, dei centri di elaborazione dati, delle aree designate come sensibili e alla criticità delle operazioni o dei sistemi di TIC ivi ubicati.

Ai fini della lettera g), punto iii), il monitoraggio è commisurato alla classificazione effettuata conformemente all’articolo 8, paragrafo 1, del regolamento (UE) 2022/2554 e alla criticità dell’area cui si accede.

Tutti gli articoli