Am 1. März 2017 hat das New York State Department of Financial Services (NYDFS) neue Cybersicherheitsvorschriften für Finanzdienstleistungsunternehmen die sich mit der wachsenden Bedrohung der Finanzunternehmen durch Cyberkriminalität befasst. Sie sollen den Schutz der Kundendaten und die Betriebssicherheit in der Branche regeln.
Dieses E-Book bringt Sicherheits- und Compliance-Verantwortliche in eine Lage, besser zu verstehen, wie das NYDFS auf ihre Organisationen einwirkt wird und welche Auswirkungen dies haben könnte.
Auf wen wirkt sich das aus?
Die Verordnung gilt für alle vom Department of Financial Services (DFS) regulierten Unternehmen und ihre Zweigstellen außerhalb des Staates und in Übersee. Sie müssen ihr Cybersicherheits-Risikoprofil bewerten und einen umfassenden Plan implementieren, der dieses Risiko erkennt und mindert. Das DFS behält sich das Recht vor, Zweigstellen ausländischer Banken in New York zu prüfen, und fordert alle Finanzinstitute nachdrücklich auf, Cybersicherheitsschutzmaßnahmen zu ergreifen, die den Schutzbestimmungen von 23 NYCRR 500 entsprechen.
Arten von Organisationen, die vom Department of Financial Services reguliert werden, sind:
- Nicht-US-Banken, die lizenziert sind, in New York zu operieren
- Lizenzierte Kreditgeber
- Staatlich gecharterte Banken
- Fonds-Unternehmen
- Dienstleister
- Privatbankiers
- Hypothekenbanken
- Versicherungsunternehmen, die in New York ihre Geschäfte tätigen
Ausnahmen
Die Verordnung enthält begrenzte Ausnahmen für Organisationen mit:
- Weniger als 10 Mitarbeitern
- Weniger als 5 Millionen US-Dollar Bruttojahresumsatz über drei Jahre; oder
- Weniger als 10 Millionen US-Dollar an Bilanzsumme zum Jahresende
Wie halten sich Unternehmen an das NYDFS?
Alle Unternehmen, die unter die NYDFS Cybersecurity Regulation 23 NYCRR Part 500 fallen, müssen ihre erste jährliche Konformitätsbescheinigung bis zum 15. Februar 2018 beim NYDFS-Büro des Superintendenten einreichen. Die Einhaltung der Verordnung ist ein vierphasiger Implementierungsprozess:
Phase Datum des Inkrafttretens
Phase 1 – Grundlegende Anforderungen 15. Februar 2018
Phase 2 – Bewertung, Sensibilisierung und Berichterstattung 1. März 2018
Phase 3 – Audit-Trail, Verfahren und Kontrollen 3. September 2018
Phase 4 – Drittanbieter 1. März 2019
Phase 1 – Grundlegende Anforderungen. Gültig ab 15. Februar 2018: Die abgedeckten Unternehmen müssen ein formelles Cybersicherheitsprogramm und -richtlinien implementieren und aufrechterhalten, einen Chief Security Officer ernennen, die Benutzerzugriffsrechte regelmäßig überprüfen, qualifiziertes Cybersicherheitspersonal einstellen und einen schriftlichen Notfallplan erstellen.
Phase 2 – Bewertung, Sensibilisierung und Berichterstattung. Gültig ab 1. März 2018: Die abgedeckten Unternehmen müssen regelmäßig Belastungstests, Schwachstellenbewertungen und eine Risikobewertung von Informationssystemen durchführen, eine multifaktorielle oder risikobasierte Authentifizierung verwenden, regelmäßig Schulungen zur Sensibilisierung für Cybersicherheit für alle Mitarbeiter durchführen und der CISO muss über das Cybersicherheitsprogramm und -unterlagen des abgedeckten Unternehmens Bericht erstatten.
Phase 3 – Audit-Trail, Verfahren, Richtlinien und Kontrollen. Gültig ab 3. September 2018: Die abgedeckten Unternehmen müssen einen Audit-Trail durchführen, der darauf ausgelegt ist, Cybersicherheitsereignisse zu erkennen und darauf zu reagieren, und müssen schriftliche Verfahren, Richtlinien und Standards für die Anwendungssicherheit sowie für die Aufbewahrung, Entsorgung und Überwachung des Zugriffs auf nichtöffentliche Informationen entwickeln.
Phase 4 – Richtlinien für Dritte. Gültig ab 1. März 2019: Die abgedeckten Unternehmen müssen schriftliche Richtlinien und Verfahren implementieren, um die Sicherheit von Informationssystemen und nicht öffentlichen Informationen zu gewährleisten, auf die Drittanbieter von Diensten zugreifen können. Die Verordnung verpflichtet auch die Drittdienstleister des erfassten Unternehmens zur Einhaltung.
Folgen der Nichteinhaltung
NYDFS hat keine spezifischen Informationen zu den Folgen einer Nichteinhaltung der Vorschrift aufgeführt, außer der Verpflichtung, den Superintendenten so schnell wie möglich, spätestens jedoch 72 Stunden nach dem Auftreten, über einen Verstoß zu informieren. Angesichts der Art der Geldbußen, die aufgrund ähnlicher globaler Vorschriften verhängt werden, und unter Berücksichtigung der im New Yorker Bankengesetz festgelegten Bußgelder dürfte die Strafe für die Nichteinhaltung des NYDFS gleich hoch sein. Angesichts der zusätzlichen Folgen resultierend aus Reputationsschäden, Geschäftsverlust und verstärkter Kontrolle durch die diese Behörde, ist die Nichteinhaltung dieses Risikos kein Risiko, das es sich lohnt, einzugehen.
Was kommt als nächstes?
Die Frist für die letzte Phase der Verordnung war der 1. März 2019, und die Finanzunternehmen befinden sich derzeit in der Phase nach der Umsetzung. Das NYDFS ist ein weiteres Beispiel dafür, wie Unternehmen die Datensicherheit durch neue Vorschriften auf der ganzen Welt ernst nehmen. In den USA, wo die Regulierung gemäß den Gesetzen des Staates durchgeführt wird, wird das NYDFS bald vom CCPA (California Consumer Privacy Act) weiter ausgeführt. Weitere Regulierung ist unvermeidlich. Finanzunternehmen sind wahrscheinlich gut auf die Einhaltung der DSGVO und des NYDFS vorbereitet. Ein solides datenorientiertes Sicherheitsprogramm ist jedoch von unschätzbarem Wert, um alle Datenschutzbestimmungen einzuhalten und Ihr Unternehmen letztendlich vor Sicherheitsverstößen zu schützen.
Um mehr über das NYDFS zu erfahren, lesen Sie Hier das eBook.
Holen Sie sich das Neueste von imperva
Die neuesten Nachrichten von unseren Experten in der sich schnell verändernden Welt der Anwendungs-, Daten- und Edge-Sicherheit.