NYDFS-Cybersicherheitsverordnung und NYDFS-Compliance

Februar 12, 2020

Was ist die NYDFS-Cybersicherheitsverordnung?

NYDFS Cybersecurity Regulation

Die NYDFS-Cybersicherheitsverordnung ist eine Reihe von Vorschriften des New Yorker FinanzdienstleistungsministeriumsDiese Gesetzgebung stellt Cybersicherheitsanforderungen an alle Finanzinstitute, die in New York tätig sindEs schreibt vor, dass alle DFS-regulierten Unternehmen Cybersicherheitspläne und -richtlinien haben und detaillierte Berichtssysteme für Cybersicherheitsereignisse unterhalten sollten

Der Hauptzweck dieser Verordnung ist der Schutz sensibler privater Informationen, die zur Identifizierung von Personen verwendet werden könnenLesen Sie diese Seite weiter und erfahren Sie mehr über die wichtigsten Aspekte der NYDFS-Cybersicherheitsverordnung, betroffene Finanzinstitute und Strafen bei Nichteinhaltung

Wer sind betroffene Rechtsträger gemäß der NYDFS-Cybersicherheitsverordnung?

Wenn es um Unternehmen unter NYDFS geht, definiert diese Gesetzgebung genau alle Themen, die unter diese Verordnung fallenDie NYDFS-Liste enthält die folgenden Arten von Unternehmen:

Staatlich konzessionierte Banken
Privatbankiers
Zugelassene Kreditgeber
Versicherungsunternehmen
Dienstleister
Hypothekengesellschaften
Ausländische Banken mit einer Lizenz zum Betrieb in NY

Wenn wir diese Liste von Unternehmen unter NYFDS kurz durchgehen, können wir sehen, dass die abgedeckten Finanzinstitute alle Einzelpersonen, Gruppen oder Unternehmen umfassen, die rechtmäßig nach den New Yorker Finanzdienstleistungsgesetzen tätig sindDiese Liste deckt nur die großen Kategorien von Unternehmen ab, aber Sie finden eine vollständige und detaillierte Liste auf der offiziellen DFS-WebsiteVor diesem Hintergrund gibt es Ausnahmen von der NYDFS-Cybersicherheitsverordnung, darunter:

Unternehmen mit weniger als zehn Beschäftigten;
Unternehmen mit einem Jahresbruttoumsatz von 5 Millionen US-Dollar oder weniger aus ihren Geschäften in New York in jedem der vorangegangenen drei Jahre;
Unternehmen mit einem Jahresendvermögen von weniger als 10 Millionen US-Dollar;
Gemeinnützige und ausländische Risikogruppen, die in New York tätig sind

Was sind die Schlüsselkomponenten der NYDFS-Cybersicherheitsverordnung?

Genau wie die weithin bekannte DSGVO wurde die NYDFS-Cybersicherheitsverordnung in mehreren Phasen umgesetzt, damit jedes Unternehmen einen effektiven Plan zur Reaktion auf Vorfälle für alle möglichen Cybersicherheitsereignisse entwickeln kannDie Umsetzung der NYDFS-Cybersicherheitsverordnung umfasste insgesamt vier Phasen:

Die erste Phase – Die erste Phase trat am 18. Februar 2018 in KraftEs umfasste unter anderem Praktiken wie Kapazitäts- und Leistungsplanung, die Sicherheit von Informationssystemen, System- und Netzwerksicherheit und regelmäßige RisikobewertungBetroffene Unternehmen müssen alle Datenschutzverletzungen melden, bei denen eine begründete Wahrscheinlichkeit besteht, dass sie materiellen Schaden verursachen
Die zweite Phase - Die folgende Phase trat am 1. März desselben Jahres in KraftEs konzentriert sich hauptsächlich auf Chief Information Security Officers, von denen es verpflichtet ist, Jahresberichte zu erstellen, die die Cybersicherheitsrichtlinien und -verfahren des Unternehmens, die Wirksamkeit aktueller Maßnahmen und mögliche Cybersicherheitsrisiken enthalten
Die dritte Phase – Die am 3. September 2018 implementierte dritte Phase konzentrierte sich auf die Funktionalität der Cybersicherheitsprogramme der betroffenen UnternehmenAm Ende der dritten Phase sollte jedes Unternehmen eine detaillierte Datenbank mit seinen Audit-Trails und Aufzeichnungen führenIn der dritten Phase müssen alle betroffenen Unternehmen außerdem weiterhin Schwachstellen bewerten, in die Datensicherheit investieren und im Rahmen der zuvor abgeschlossenen Risikobewertungstests eine defensive Infrastruktur aufbauen
Die vierte Phase - Die vierte und letzte Phase trat am 1. März 2019 in KraftBis zu diesem Datum sollten die betroffenen Unternehmen alle oben genannten Cybersicherheitsanforderungen erfüllen und über angemessene Datenschutzpraktiken verfügenSie sollten auch eine schriftliche Risikomanagementrichtlinie entwickeln und einen Rahmen für die Risikobewertung durch Dritte einbeziehen

Neben den in den vier Phasen oben behandelten Maßnahmen gibt es auch einige zusätzliche AnforderungenDazu gehören Multi-Faktor-Authentifizierung für alle betroffenen Einheiten, Penetrationstests zur Risikobewertung, die Anwendung des Prinzips der geringsten Rechte und der Einsatz von qualifiziertem und kontinuierlich geschultem Cybersicherheitspersonal

Wie funktioniert die NYDFS-Cybersicherheitsverordnung?

Die vier oben aufgeführten Phasen decken den gesamten Prozess ab, den jedes Unternehmen durchlaufen mussEinfach ausgedrückt verlangt die NYDFS-Cybersicherheitsverordnung von jeder Organisation, eine Risikobewertung durchzuführen und einen Plan zur Reaktion auf Vorfälle für verschiedene Cybersicherheitsereignisse zu entwickelnDies umfasst mindestens die folgenden spezifischen Aspekte:

Risikobewertungen - Werden regelmäßig durchgeführt, um die Integrität, Sicherheit, Vertraulichkeit und Verfügbarkeit der IT-Infrastruktur und der personenbezogenen Daten des Unternehmens zu bewerten
Audit Trails - Aufzeichnungen müssen fünf Jahre lang aufbewahrt werdenIhr Hauptzweck besteht darin, Cybersicherheitsereignisse aufzuzeichnen und darauf zu reagieren
Einschränkungen der Datenspeicherung - Unternehmen müssen Verfahren zur sicheren Entsorgung von personenbezogenen Daten entwickeln, die nicht mehr für Geschäftszwecke benötigt werden
Reaktionsplan für Vorfälle – Erstellen Sie schriftliche Pläne und dokumentieren Sie interne Prozesse für die Reaktion auf verschiedene CybersicherheitsereignisseEs umfasst Rollen und Verantwortlichkeiten, Kommunikationspläne und alle anderen Korrekturmaßnahmen nach Bedarf
Zugriffsrechte - Beschränken Sie die Zugriffsrechte streng auf die personenbezogenen Daten des Benutzers und führen Sie regelmäßig Überprüfungen dieser Rechte durch
Benachrichtigungen an den Superintendent – Benachrichtigungen an das Department of Financial Services innerhalb von 7 Stunden, nachdem ein Cybersicherheitsereignis erkannt wurde

Strafen der New Yorker Cybersicherheitsvorschriften bei Nichteinhaltung

Obwohl die Nichteinhaltung der NYDFS-Cybersicherheitsverordnung unweigerlich zu erheblichen Bußgeldern, Strafen und Rechtskosten führen kann, sind die genauen Strafbeträge in der Verordnung nicht angegebenDas ist etwas frustrierend, da es den Unternehmen den Eindruck vermittelt, dass das Department of Financial Services nicht an einer klaren Kommunikation interessiert ist

Wenn Sie die genauen Sanktionen der NYDFS-Cybersicherheitsverordnung bei Nichteinhaltung nachschlagen würden, würden Sie einfach eine Erklärung finden, dass Bußgelder bei Nichteinhaltung berechnet werdenIn Anbetracht dessen bedeutet das Fehlen genauer Informationen in Bezug auf Strafen nicht, dass Sie die durch diese Gesetzgebung auferlegten Vorschriften missachten sollten, da die NYDFS-Cybersicherheitsverordnung jetzt vollständig in Kraft ist

Checkliste zur Einhaltung der NYDFS-Cybersicherheitsvorschriften

Da die NYDFS-Cybersicherheitsverordnung in vollem Umfang in Kraft ist, muss jede Organisation, die den definierten Kriterien entspricht, die in der Compliance-Checkliste aufgeführten Anforderungen erfüllenUm die NYDFS-Verordnung einzuhalten, sollten Organisationen:

Einschätzen, ob ihr Unternehmen als von dieser Cybersicherheitsverordnung abgedeckt eingestuft wird
Stellen Sie ein Team unter CISO zusammen, das für das tägliche Management der Einhaltung der Verordnung verantwortlich ist
Führen Sie eine Risikobewertung durch, um Cybersicherheitsereignisse und Bedrohungen zu identifizieren und ihr Risikoprofil zu verstehen
Investieren Sie in laufendes Risikomanagement

Trotz der Befürchtungen, dass diese Verordnung zu streng und kompliziert sein könnte, um sie einzuhalten, bietet sie einen zuverlässigen Mechanismus, der Unternehmen die Kontrolle behält und sensible Benutzerinformationen schütztEs ist eine begrüßenswerte Regelung, die zweifellos dazu beitragen wird, die globale Cyber-Resilienz in Zukunft zu verbessern

Vor diesem Hintergrund kann die Arbeit an der Risikobewertung und allen anderen Cybersicherheitsereignissen mit einem erfahrenen Cybersicherheitsunternehmen einen großen Beitrag zur Gewährleistung der Einhaltung der NYDFS-Cybersicherheitsverordnung leistenCybersicherheitsexperten können Ihnen helfen, Ihre Daten effizienter zu schützen und Sicherheitslücken zu verhindern und zu überwachen

Wenn Sie nach einer fertigen Cybersicherheitslösung suchen, um die Compliance zu stärken, sehen Sie sich Hideez Enterprise Solution an oder vereinbaren Sie eine kostenlose Demo:

Hideez SAML-Identitätsanbieter für CyberArk PVWA
CyberArk ist ein börsennotiertes Informationssicherheitsunternehmen, das Privileged Account Security anbietetCyberArk...
Hideez-Schlüssel für CyberArk | Authentifizierungsintegration
Gestohlene Zugangsdaten werden verwendet, um Betrug in großem Umfang durch Account Takeover (ATO) oder Credential-Stu...
Die Last-Mile-Authentifizierungslösung von Hideez ist jetzt auf dem CyberArk Marketplace verfügbar
Hideez freut sich, die Verfügbarkeit einer Hideez Key-Integration mit CyberArk bekannt zu geben, die eine zusätzliche...
Hideez ist jetzt ein Microsoft-kompatibler FIDO-Sicherheitsschlüsselanbieter
Wir freuen uns, Ihnen mitteilen zu können, dass Hideez Group Inc. den Status eines von Microsoft anerkannten FIDO2- S...