Contents
Richtlinien für das Identitätsmanagement (Art. 20 RTS RMF)
Das Identitätsmanagement ist eine zentrale Voraussetzung für jeden sicheren Zugang zu Informations- und IKT-Assets in Finanzunternehmen. Der Artikel 20 der delegierten Verordnung (RTS RMF) zur DORA verpflichtet alle betroffenen Unternehmen zur Einführung strukturierter, dokumentierter Prozesse für die Identifikation, Authentifizierung und Verwaltung von Identitäten und Nutzerkonten.
Ziel der Richtlinie
Die Richtlinie gewährleistet, dass nur eindeutig identifizierte und autorisierte Personen oder Systeme Zugriff auf IKT-Ressourcen erhalten – ein zentraler Baustein für Cyber-Resilienz und Zero-Trust-Architekturen.
Rechtsgrundlage – Art. 20 RTS RMF
„Finanzunternehmen entwickeln, dokumentieren und implementieren Richtlinien und Verfahren für das Identitätsmanagement, die die eindeutige Identifizierung und Authentifizierung natürlicher Personen und Systeme sicherstellen.“
Pflichtinhalte der Richtlinie für Identitätsmanagement
| Bereich | Anforderungen laut Art. 20 RTS RMF |
|---|---|
| Eindeutige Identität | Jeder Person (intern/extern) mit Zugriff wird eine eindeutige digitale Identität und ein individuelles Nutzerkonto zugeordnet. |
| Identitätslebenszyklus | Einführung eines vollständigen Identity Lifecycle Managements: Erstellung, Änderung, Überprüfung, Deaktivierung, Löschung. |
| Systematische Protokollierung | Nachverfolgbarkeit aller zugewiesenen Identitäten – auch nach Umstrukturierungen oder Vertragsende. |
| Automatisierung | Einsatz automatisierter Lösungen für Verwaltung und Überwachung, sofern angemessen und technisch möglich. |
Empfohlene Umsetzung
- Verwendung einer Identity and Access Management (IAM)-Lösung
- Regelmäßige Überprüfung aktiver Konten und Identitäten
- Rollenkonzepte mit „Least Privilege“-Prinzip
- Definition klarer Prozesse für Onboarding, Änderungsanforderungen und Offboarding
- Trennung von Personalidentität und technischen Systemidentitäten
Verknüpfte DORA-Dokumente
Diese Richtlinie steht in enger Verbindung mit:
- Richtlinie zur Kontrolle der Zugangs- und Zugriffsrechte (Art. 21 RTS RMF)
- IKT-Sicherheitsrichtlinie (Art. 9 Abs. 2 DORA)
- Richtlinie für Personalpolitik (Art. 19 RTS RMF)
- Verzeichnis kritischer Informations- und IKT-Assets (Art. 4 RTS RMF)