Art. 33
Controllo degli accessi
In vigore dal 13 mar 2024
Controllo degli accessi
Le entità finanziarie di cui all’, paragrafo 1, del regolamento (UE) 2022/2554 elaborano, documentano e attuano procedure per il controllo degli accessi logici e fisici e applicano, monitorano e riesaminano periodicamente tali procedure. Le suddette procedure contengono gli elementi di controllo degli accessi logici e fisici seguenti:
a)
i diritti di accesso ai patrimoni informativi, alle risorse TIC e alle loro funzioni supportate, nonché alle sedi operative critiche dell’entità finanziaria sono gestiti in base ai principi della necessità di sapere, della necessità di usare e del privilegio minimo, anche per gli accessi remoti e di emergenza;
b)
la responsabilità degli utenti, che garantisce che gli utenti possano essere identificati per le azioni eseguite nei sistemi di TIC;
c)
le procedure di gestione degli account per concedere, modificare o revocare i diritti di accesso per gli account utente e generici, compresi gli account amministratore generici;
d)
i metodi di autenticazione, commisurati alla classificazione di cui all’, paragrafo 1, e al profilo di rischio complessivo delle risorse TIC e basati sulle pratiche più avanzate;
e)
i diritti di accesso sono riesaminati periodicamente e revocati quando non sono più necessari.
Ai fini della lettera c), l’entità finanziaria assegna l’accesso privilegiato, di emergenza e di amministratore in base alla necessità di uso o ad hoc per tutti i sistemi di TIC, e lo registra nei log conformemente all’, primo comma, lettera f).
Ai fini della lettera d), le entità finanziarie utilizzano metodi di autentificazione robusti basati sulle pratiche più avanzate per l’accesso remoto alla rete dell’entità finanziaria, per l’accesso privilegiato e per l’accesso alle risorse TIC a supporto di funzioni essenziali o importanti che sono disponibili al pubblico.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1774:oj#art-33