11.1.1. Für die Zwecke von Artikel 21 Absatz 2 Buchstabe i der Richtlinie (EU) 2022/2555 legen die betreffenden Einrichtungen auf der Grundlage von geschäftlichen Anforderungen sowie Anforderungen an die Sicherheit von Netz- und Informationssystemen Konzepte für die logische und physische Kontrolle des Zugangs zu ihren Netz- und Informationssystemen fest, dokumentieren sie und setzen sie um.
11.2.1. Die betreffenden Einrichtungen gewähren, ändern, löschen und dokumentieren Zugangs- und Zugriffsrechte für die Netz- und Informationssysteme im Einklang mit dem in Nummer 11.1 genannten Konzept für die Zugriffskontrolle. 11.2.2. Die betreffenden Einrichtungen a) gewähren und entziehen Zugangs- und Zugriffsrechte auf der Grundlage des Grundsatzes „Kenntnis nur, wenn nötig“ (Need-to-know), des Grundsatzes der Nutzungsnotwendigkeit (Need-to-use)
11.3.1. Die betreffenden Einrichtungen halten sich an Grundsätze für das Management von privilegierten Konten und Systemverwaltungskonten als Teil des in Nummer 11.1 genannten Konzepts für die Zugriffskontrolle. 11.3.2. Mit den in Nummer 11.3.1 genannten Konzepten a) müssen starke Verfahren zur Identifizierung, Authentifizierung (z. B. Multifaktor-Authentifizierung) und Genehmigung für privilegierte Konten und Systemverwaltungskonten eingerichtet werden; b)
11.4.1. Die betreffenden Einrichtungen beschränken und kontrollieren die Nutzung von Systemverwaltungskonten im Einklang mit dem in Nummer 11.1 genannten Konzept für die Zugriffskontrolle. 11.4.2. Für diese Zwecke müssen die betreffenden Einrichtungen a) Systemverwaltungssysteme ausschließlich für die Zwecke der Systemverwaltung und nicht für andere Vorgänge verwenden; b) solche Systeme logisch von Anwendungssoftware, die nicht für Systemverwaltungszwecke
11.5.1. Die betreffenden Einrichtungen verwalten den gesamten Lebenszyklus der Identitäten (Kennungen) der Netz- und Informationssysteme und ihrer Nutzer. 11.5.2. Für diese Zwecke müssen die betreffenden Einrichtungen a) eindeutige Kennungen für die Netz- und Informationssysteme und deren Nutzer einrichten; b) die Nutzerkennung mit einer einzigen Person verknüpfen; c) die Überwachung der Kennungen der Netz- und Informationssysteme
11.6.1. Die betreffenden Einrichtungen verwenden sichere Authentifizierungsverfahren und -techniken auf der Grundlage von Zugangsbeschränkungen und des Konzepts für die Zugriffskontrolle. 11.6.2. Für diese Zwecke müssen die betreffenden Einrichtungen a) sicherstellen, dass die Stärke der Authentifizierung für die Klassifizierung der Anlage bzw. des Werts, auf die zugegriffen werden soll, angemessen ist; b) die Verwaltung geheimer Authentifizierungsinformationen
11.7.1. Die betreffenden Einrichtungen stellen sicher, dass die Nutzer – soweit angemessen – durch mehrere Authentifizierungsfaktoren oder kontinuierliche Authentifizierungsmechanismen für den Zugang zu den Netz- und Informationssystemen der betreffenden Einrichtungen im Einklang mit der Klassifizierung der Anlage bzw. des Werts, auf die zugegriffen werden soll, authentifiziert werden. 11.7.2. Die betreffenden Einrichtungen stellen sicher, dass die