Regulations

NYDFS-Cybersicherheitsverordnung und NYDFS-Compliance

Die NYDFS-Cybersicherheitsverordnung ist eine Reihe von Vorschriften des New Yorker Finanzdienstleistungsministeriums. Diese Gesetzgebung stellt Cybersicherheitsanforderungen an alle Finanzinstitute, die in New York tätig sind. Es schreibt vor, dass alle DFS-regulierten...

·6 min read· Denis ZaliznyakWritten by Denis Zaliznyak
NYDFS Cybersecurity Regulation & NYDFS Compliance

NYDFS Cybersecurity Regulation

 

Die NYDFS-Cybersicherheitsverordnung ist eine Reihe von Vorschriften des New York Department of Financial Services. Diese Gesetzgebung stellt Cybersicherheitsanforderungen an alle Finanzinstitute, die in New York tätig sind. Es wird festgelegt, dass alle von DFS regulierten Unternehmen Cybersicherheitspläne und -richtlinien haben und detaillierte Berichtssysteme für Cybersicherheitsereignisse führen sollten.

Das Hauptziel dieser Verordnung ist es, sensible private Informationen zu schützen, die zur Identifizierung von Personen verwendet werden können. Lesen Sie weiter auf dieser Seite und erfahren Sie die wichtigsten Aspekte der NYDFS-Cybersicherheitsverordnung, betroffene Finanzinstitute und Strafen bei Nichteinhaltung.  

Wer sind die abgedeckten Einheiten unter der NYDFS-Cybersicherheitsverordnung?

Wenn es um Einheiten unter NYDFS geht, definiert diese Gesetzgebung genau alle Subjekte, die unter diese Verordnung fallen. Die NYDFS-Liste umfasst die folgenden Arten von Unternehmen:

  • Staatlich zugelassene Banken
  • Private Banker
  • Lizenzierte Kreditgeber
  • Versicherungsgesellschaften
  • Dienstleister
  • Hypothekenunternehmen
  • Ausländische Banken mit einer Lizenz zur Tätigkeit in NY

Wenn wir einen schnellen Überblick über diese Liste der Einheiten unter NYDFS machen, können wir sehen, dass die abgedeckten Finanzinstitute alle Einzelpersonen, Gruppen oder Unternehmen umfassen, die legal unter den Finanzdienstleistungsgesetzen von New York operieren. Diese Liste umfasst nur die breiten Kategorien von Unternehmen, aber Sie können eine vollständige und detaillierte Liste auf der offiziellen DFS-Website finden. Es gibt jedoch Ausnahmen von der NYDFS-Cybersicherheitsverordnung, zu denen gehören:

  • Unternehmen mit weniger als zehn Mitarbeitern;
  • Unternehmen mit einem Bruttojahresumsatz von 5 Millionen US-Dollar oder weniger aus ihren New Yorker Aktivitäten in jedem der letzten drei Jahre;
  • Unternehmen mit weniger als 10 Millionen US-Dollar an Jahresendvermögen;
  • Wohltätigkeits- und Auslandsrisikogruppen, die in New York tätig sind.

Was sind die Hauptkomponenten der NYDFS-Cybersicherheitsverordnung?

Genau wie die weithin bekannte DSGVO wurde die NYDFS-Cybersicherheitsverordnung in mehreren Phasen umgesetzt, um jedem Unternehmen die Möglichkeit zu geben, einen effektiven Vorfallreaktionsplan für alle möglichen Cybersicherheitsereignisse zu entwickeln. Es gab insgesamt vier Phasen bei der Umsetzung der NYDFS-Cybersicherheitsverordnung:

  • Die erste Phase - Die erste Phase trat am 18. Februar 2018 in Kraft. Sie umfasste Praktiken wie Kapazitäts- und Leistungsplanung, die Sicherheit von Informationssystemen, systemische und Netzwerksicherheit und regelmäßige Risikobewertungen, neben anderen Bestimmungen. Abgedeckte Einheiten müssen alle Datenverletzungen melden, die mit hoher Wahrscheinlichkeit zu erheblichen Schäden führen könnten.
  • Die zweite Phase - Die folgende Phase trat am 1. März desselben Jahres in Kraft. Sie konzentriert sich hauptsächlich auf Chief Information Security Officers, von denen verlangt wird, jährliche Berichte zu erstellen, die die Cybersicherheitsrichtlinien und -verfahren des Unternehmens, die Wirksamkeit der aktuellen Maßnahmen und mögliche Cybersicherheitsrisiken umfassen.  
  • Die dritte Phase - Die am 3. September 2018 implementierte dritte Phase konzentrierte sich auf die Funktionalität der Cybersicherheitsprogramme der abgedeckten Einheiten. Bis zum Ende der dritten Phase sollte jedes Unternehmen eine detaillierte Datenbank ihrer Prüfpfade und Aufzeichnungen führen. Die dritte Phase erfordert auch, dass alle abgedeckten Einheiten weiterhin Schwachstellen bewerten, in Datensicherheit investieren und eine defensive Infrastruktur auf Grundlage der zuvor durchgeführten Risikobewertungstests schaffen.
  • Die vierte Phase - Die vierte und letzte Phase trat am 1. März 2019 in Kraft. Bis zu diesem Datum sollten abgedeckte Einheiten alle oben genannten Cybersicherheitsanforderungen erfüllen und angemessene Datenschutzpraktiken eingerichtet haben. Sie sollten auch eine schriftliche Risikomanagementrichtlinie entwickeln und einen Rahmen für die Risikobewertung Dritter einbeziehen.

Abgesehen von den in den vier Phasen abgedeckten Maßnahmen gibt es auch einige zusätzliche Anforderungen. Dazu gehören Multi-Faktor-Authentifizierung für alle abgedeckten Einheiten, Penetrationstests zur Risikobewertung, die Anwendung des Prinzips des geringsten Privilegs und der Einsatz von qualifiziertem und kontinuierlich geschultem Cybersicherheitspersonal.

Wie funktioniert die NYDFS-Cybersicherheitsverordnung?

Die vier Phasen, die wir oben aufgelistet haben, decken den gesamten Prozess ab, den jedes Unternehmen durchlaufen muss. Einfach ausgedrückt, verlangt die NYDFS-Cybersicherheitsverordnung von jeder Organisation, eine Risikobewertung durchzuführen und einen Vorfallreaktionsplan für verschiedene Cybersicherheitsereignisse zu entwickeln. Dies umfasst mindestens die folgenden spezifischen Aspekte:

  • Risikobewertungen - Periodisch durchgeführt, um die Integrität, Sicherheit, Vertraulichkeit und Verfügbarkeit der IT-Infrastruktur und der persönlich identifizierbaren Informationen des Unternehmens zu bewerten.
  • Prüfpfade - Aufzeichnungen müssen fünf Jahre lang geführt werden. Ihr Hauptzweck ist es, auf Cybersicherheitsereignisse zu reagieren und diese aufzuzeichnen.
  • Beschränkungen der Datenaufbewahrung - Unternehmen sind verpflichtet, Verfahren zur sicheren Entsorgung von persönlich identifizierbaren Informationen zu entwickeln, die für Geschäftszwecke nicht mehr erforderlich sind.
  • Vorfallreaktionsplan - Erstellen Sie schriftliche Pläne und dokumentieren Sie interne Prozesse für die Reaktion auf verschiedene Cybersicherheitsereignisse. Dazu gehören Rollen und Verantwortlichkeiten, Kommunikationspläne und alle anderen erforderlichen Abhilfemaßnahmen.
  • Zugriffsrechte - Strikt begrenzen Sie die Zugriffsrechte auf die persönlich identifizierbaren Informationen der Benutzer und führen Sie regelmäßig Überprüfungen dieser Rechte durch.
  • Meldungen an den Superintendent - Benachrichtigungen an das Department of Financial Services innerhalb von 7 Stunden nach Entdeckung eines Cybersicherheitsereignisses.

Strafen für Nichteinhaltung der New Yorker Cybersicherheitsverordnungen

Obwohl die Nichteinhaltung der NYDFS-Cybersicherheitsverordnung unweigerlich zu erheblichen Geldstrafen, Strafen und Rechtskosten führen kann, sind die genauen Strafbeträge in der Verordnung nicht angegeben. Dies ist etwas frustrierend, da es den Unternehmen das Gefühl gibt, dass das Department of Financial Services nicht daran interessiert ist, eine klare Kommunikation zu etablieren.

Wenn Sie nach genauen Strafen für die Nichteinhaltung der NYDFS-Cybersicherheitsverordnung suchen, finden Sie einfach eine Aussage, dass die Strafen für die Nichteinhaltung berechnet werden. In Anbetracht dessen bedeutet der Mangel an genauen Informationen zu den Strafen nicht, dass Sie die von dieser Gesetzgebung auferlegten Vorschriften außer Acht lassen sollten, da die NYDFS-Cybersicherheitsverordnung nun in vollem Umfang in Kraft ist.

NYDFS-Cybersicherheitsverordnung Checkliste zur Einhaltung

Da die NYDFS-Cybersicherheitsverordnung in vollem Umfang in Kraft ist, muss jede Organisation, die in die definierten Kriterien fällt, die Anforderungen auf der Checkliste zur Einhaltung erfüllen. Um die NYDFS-Verordnung einzuhalten, sollten Organisationen:

  • Bewerten, ob ihr Unternehmen unter diese Cybersicherheitsverordnung fällt
  • Ein Team unter CISO zusammenstellen, das für das tägliche Management der Einhaltung der Verordnung verantwortlich ist
  • Eine Risikobewertung durchführen, um Cybersicherheitsereignisse und Bedrohungen zu identifizieren und ihr Risikoprofil zu verstehen
  • In kontinuierliches Risikomanagement investieren

Trotz Bedenken, dass diese Verordnung zu robust und kompliziert sein könnte, um sie einzuhalten, bietet sie einen zuverlässigen Mechanismus, der Unternehmen die Kontrolle ermöglicht und sensible Benutzerdaten schützt. Es ist eine willkommene Verordnung, die zweifellos dazu beitragen wird, die globale Cyberresilienz in Zukunft zu verbessern.

Abgesehen davon kann die Zusammenarbeit mit einem erfahrenen Cybersicherheitsunternehmen bei der Risikobewertung und allen anderen Cybersicherheitsereignissen einen langen Weg zur Gewährleistung der Einhaltung der NYDFS-Cybersicherheitsverordnung gehen. Cybersicherheitsexperten können Ihnen helfen, Ihre Daten effizienter zu schützen und Sicherheitslücken zu verhindern und zu überwachen.

Wenn Sie nach einer fertigen Cybersicherheitslösung suchen, um die Einhaltung zu stärken - schauen Sie sich die Hideez Enterprise Lösung an oder vereinbaren Sie eine kostenlose Demo: