Sintesi Articolo 33
Le entità finanziarie di cui all’articolo 16 DORA devono sviluppare, documentare e implementare procedure per il controllo degli accessi logici e fisici. Queste procedure includono la gestione dei diritti di accesso secondo i principi di necessità, minimo privilegio e responsabilità degli utenti. Inoltre, devono prevedere metodi di autenticazione avanzati, la gestione accurata degli account utente e la revisione periodica dei diritti di accesso. L’accesso privilegiato e di emergenza deve essere attentamente regolato e registrato. Le entità finanziarie devono adottare pratiche avanzate per l’autenticazione, soprattutto per accessi remoti e risorse TIC critiche.
Le entità finanziarie di cui all’articolo 16, paragrafo 1, del regolamento (UE) 2022/2554 elaborano, documentano e attuano procedure per il controllo degli accessi logici e fisici e applicano, monitorano e riesaminano periodicamente tali procedure. Le suddette procedure contengono gli elementi di controllo degli accessi logici e fisici seguenti:
- a) i diritti di accesso ai patrimoni informativi, alle risorse TIC e alle loro funzioni supportate, nonché alle sedi operative critiche dell’entità finanziaria sono gestiti in base ai principi della necessità di sapere, della necessità di usare e del privilegio minimo, anche per gli accessi remoti e di emergenza;
- b) la responsabilità degli utenti, che garantisce che gli utenti possano essere identificati per le azioni eseguite nei sistemi di TIC;
- c) le procedure di gestione degli account per concedere, modificare o revocare i diritti di accesso per gli account utente e generici, compresi gli account amministratore generici;
- d) i metodi di autenticazione, commisurati alla classificazione di cui all’articolo 30, paragrafo 1, e al profilo di rischio complessivo delle risorse TIC e basati sulle pratiche più avanzate;
- e) i diritti di accesso sono riesaminati periodicamente e revocati quando non sono più necessari.
Ai fini della lettera c), l’entità finanziaria assegna l’accesso privilegiato, di emergenza e di amministratore in base alla necessità di uso o ad hoc per tutti i sistemi di TIC, e lo registra nei log conformemente all’articolo 34, primo comma, lettera f).
Ai fini della lettera d), le entità finanziarie utilizzano metodi di autentificazione robusti basati sulle pratiche più avanzate per l’accesso remoto alla rete dell’entità finanziaria, per l’accesso privilegiato e per l’accesso alle risorse TIC a supporto di funzioni essenziali o importanti che sono disponibili al pubblico.