Contents
Richtlinie zur Kontrolle der Zugangs- und Zugriffsrechte (Art. 21 RTS RMF i.V.m. Art. 9 Abs. 4 lit. c DORA)
Sicherer Zugang zu Informations- und IKT-Assets ist ein Eckpfeiler digitaler Resilienz. Die Verordnung (EU) 2022/2554 (DORA) verpflichtet Finanzunternehmen, umfassende Zugriffsrichtlinien zu entwickeln, um Missbrauch, Datenverlust und Systemkompromittierungen zu verhindern. Die einschlägigen Anforderungen ergeben sich aus Art. 21 RTS RMF und Art. 9 Abs. 4 lit. c DORA.
Ziel der Richtlinie
Diese Richtlinie regelt die Zuweisung, Verwaltung, Kontrolle und Entziehung von Zugangs- und Zugriffsrechten für IKT-Systeme, Daten und physische Bereiche – gemäß dem Prinzip: „Nur so viel Zugang wie unbedingt nötig.“
Rechtsgrundlage
- Art. 21 RTS RMF: Detaillierte Anforderungen an die Zugriffskontrolle – logisch & physisch
- Art. 9 Abs. 4 lit. c DORA: Grundsatz der Zugriffsminimierung auf rechtmäßige Tätigkeiten
Pflichtinhalte der Richtlinie zur Zugangskontrolle
| Bereich | Vorgabe laut DORA/RTS |
|---|---|
| Zugriffsgrundsätze | Zugriffsvergabe nach „Need-to-Know“, „Need-to-Use“ und „Least Privileges“ |
| Trennung von Aufgaben | Verhinderung von Interessenkonflikten durch technische und organisatorische Trennung |
| Nutzerverantwortlichkeit | Kein Einsatz generischer Konten, vollständige Nachverfolgbarkeit aller Aktionen |
| Zugangsmanagement | Klare Verfahren für Genehmigung, Änderung, Entzug – inkl. Admin-, Notfall- und privilegierter Zugänge |
| Zugangsüberprüfung | Halbjährliche Reviews für kritische Systeme, jährliche für alle anderen |
| Authentifizierung | Starke MFA je nach Risikoprofil und Systemklassifizierung verpflichtend |
| Physischer Zugang | Kontrollierte Zugriffsrechte auf Räume, Rechenzentren und sensible Zonen – inkl. Protokollierung, Monitoring und Entzug |
Empfohlene Umsetzung in der Praxis
- Einsatz eines Identity & Access Management (IAM)-Systems
- Einführung eines Zugangsrechte-Workflows mit klaren Rollen (z. B. Antragsteller, Genehmiger, Revisor)
- Automatisierung kritischer Prozesse: Entzug bei Austritt, Rezertifizierung, privilegierter Zugriff
- Protokollierung sämtlicher Systemzugriffe mit SIEM-Anbindung
- Physische Sicherheit in Verbindung mit Richtlinie nach Art. 18 RTS RMF
Verknüpfte DORA-Dokumente
- Richtlinie für Identitätsmanagement (Art. 20 RTS RMF)
- Informationssicherheitsleitlinie (Art. 9 Abs. 4 lit. a DORA)
- Richtlinie für Personalpolitik (Art. 19 RTS RMF)
- Verzeichnis der IKT-Assets (Art. 4 RTS RMF)