Anfang 2017 hat das New York State Department of Financial Services (DFS) eine Verordnung erlassen, die Anforderungen an die Cybersicherheit von Finanzdienstleistern festlegt. Dieses Gesetz mit der Bezeichnung 23 NYCRR 500 wurde als Reaktion auf Datenschutzverletzungen und Cyberbedrohungen erlassen, die mit alarmierender Geschwindigkeit zunahmen, sensible Daten preisgaben und Unternehmen Millionen von Dollar kosteten. Das Gesetz wurde im November 2022 geändert, um den neuesten Risiken für Informationssysteme und Daten Rechnung zu tragen, wobei die Aktualisierungen 2023 in Kraft treten sollen.
In diesem Beitrag wird untersucht, welche Organisationen das Gesetz einhalten müssen, welche wichtigen Bestimmungen zum Risikomanagement für Dritte in 23 NYCRR 500 enthalten sind und wie die Anforderungen am besten erfüllt werden können.
Welche Organisationen müssen die Bestimmungen von 23 NY CRR 500 einhalten?
Gemäß der Verordnung gilt jede Person, die unter einer Lizenz, Registrierung, Charta, einem Zertifikat, einer Erlaubnis, Akkreditierung oder einer ähnlichen Genehmigung gemäß dem Bankengesetz, dem Versicherungsgesetz oder dem Finanzdienstleistungsgesetz tätig ist oder tätig sein muss, unabhängig davon, ob die betroffene Einrichtung auch von anderen Regierungsbehörden reguliert wird, als betroffene Einrichtung" und muss die Vorschriften einhalten - selbst Organisationen, die ihren Hauptsitz nicht in New York haben.
Es gibt jedoch einige Ausnahmen von diesem Gesetz. Mit der Änderung vom November 2022 wurden die Kriterien für Ausnahmen aktualisiert, so dass betroffene Unternehmen mit folgenden Merkmalen ausgeschlossen sind:
- weniger als 20 Beschäftigte (einschließlich unabhängiger Auftragnehmer) oder
- ein Gesamtvermögen von weniger als 15 Millionen Dollar zum Jahresende.
Darüber hinaus werden in den Änderungen der Verordnung vom November 2022 Unternehmen der "Klasse A" benannt, um strengere Anforderungen an größere Finanzdienstleistungsunternehmen zu stellen. Unternehmen der Klasse A sind solche, die in jedem der letzten beiden Geschäftsjahre mindestens 20 Mio. USD an Bruttojahreseinnahmen aus der Geschäftstätigkeit des erfassten Unternehmens und seiner verbundenen Unternehmen im Bundesstaat New York erwirtschaftet haben und:
- mehr als 2.000 Beschäftigte im Durchschnitt der letzten zwei Geschäftsjahre, einschließlich der Beschäftigten der betroffenen Einrichtung und aller ihrer verbundenen Unternehmen, unabhängig vom Standort; oder
- mehr als 1 Milliarde Dollar Bruttojahreseinnahmen in jedem der letzten zwei Geschäftsjahre aus allen Geschäftstätigkeiten des erfassten Unternehmens und aller seiner verbundenen Unternehmen.
Unternehmen der Klasse A müssen zusätzliche Anforderungen erfüllen, die über das hinausgehen, was alle erfassten Unternehmen erfüllen müssen, darunter:
- Durchführung unabhängiger Audits (durch externe Prüfer) des Cybersicherheitsprogramms mindestens jährlich und Durchführung einer Risikobewertung durch externe Experten mindestens alle drei Jahre
- Einführung einer Verwaltung des privilegierten Zugangs und einer automatischen Methode zur Sperrung häufig verwendeter Passwörter
- Implementierung von Endpunkt-Erkennung und -Reaktion zur Überwachung anomaler Aktivitäten (einschließlich Seitwärtsbewegungen) sowie einer Lösung zur zentralen Protokollierung und Alarmierung bei Sicherheitsereignissen
Angesichts der jüngsten Bußgelder nach NYCRR 500, die sich auf bis zu 4,5 Millionen Dollar belaufen, ist es wichtig, dass Unternehmen verstehen, welche Auswirkungen die Verordnung auf sie hat.
Was sind die Anforderungen von 23 NY CRR 500?
Zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten und informationstechnischen Systemen schreibt diese Cybersicherheitsverordnung vor, dass die betroffenen Unternehmen die folgenden Schritte unternehmen müssen:
- Aufrechterhaltung eines Cybersicherheitsprogramms, das Risikobewertungen, unabhängige Audits und unterstützende Dokumentation umfasst (Abschnitt 500.2)
- Umsetzung und Pflege von Informationssicherheitsrichtlinien auf der Grundlage von Risikobewertungen - auch für die Verwaltung von Anbietern und Drittdienstleistern (Abschnitt 500.3)
- Ernennung eines Chief Information Security Officer (CISO), der für das Cybersicherheitsprogramm der Organisation verantwortlich ist, es überprüft und darüber Bericht erstattet (Abschnitt 500.4)
- Einbeziehung spezifischer Cybersicherheitstechnologien und -praktiken (Abschnitte 500.5-500.10; 500.12-500.17)
- Erstellung eines Risikomanagementprogramms für Dritte (Abschnitt 500.11)
- Einreichung einer jährlichen Bescheinigung über die Einhaltung dieser Vorschriften (Abschnitt 500.17b)
So erfüllen Sie die Anforderungen von 23 NYCRR 500 an das Risikomanagement für Drittparteien
Ein wichtiger Bestandteil der Einhaltung von 23 NYCRR 500 ist die Verwaltung der IT-Sicherheitskontrollen und Datenschutzrichtlinien Ihrer Anbieter. Abschnitt 500.11(a) befasst sich direkt mit der Sicherheitspolitik von Drittanbietern. Er schreibt vor, dass die betroffenen Unternehmen über eine schriftliche Richtlinie verfügen müssen, die die Sicherheit von Informationssystemen Dritter auf der Grundlage einer Risikobewertung behandelt, und verlangt, dass die Richtlinie Folgendes abdeckt:
- Identifizierung und Risikobewertung jeder dritten Partei
- Mindestanforderungen an die Cybersicherheit
- Due-Diligence-Prüfung zur Bewertung der Angemessenheit ihrer Cybersicherheitspraktiken
- Regelmäßige Bewertung des Anbieters auf der Grundlage des Risikos und der kontinuierlichen Angemessenheit seiner Cybersicherheitspraktiken
In Abschnitt 500.11(b) werden spezifische Richtlinien und Verfahren beschrieben, die von den betroffenen Unternehmen weiter geprüft werden sollten, wie z. B. Zugangskontrollen, Multi-Faktor-Authentifizierung (MFA), Verschlüsselung und Berichterstattung über Vorfälle. Weitere Abschnitte der Verordnung, die sich auf das Risikomanagement Dritter beziehen, sind 500.16 (Geschäftskontinuität) und 500.17 (Reaktion auf Vorfälle bei Dritten).
Abschnitt 500.11 des 23 NYCRR
Umsetzung schriftlicher Richtlinien und Verfahren zur Gewährleistung der Sicherheit von Informationssystemen und nicht-öffentlichen Informationen, die Dritten zugänglich sind oder sich im Besitz von Drittanbietern befinden.
Die Umsetzung einer Sicherheitsrichtlinie für Drittanbieter sollte die folgenden Elemente umfassen:
- Eine genaue und umfassende Liste der Drittanbieter von Dienstleistungen, einschließlich der Angabe der spezifischen Dienstleistungen, die von jedem Dritten erbracht werden
- Von Dritten zu befolgende Cybersicherheitspraktiken, die auf den Richtlinien und Sicherheitskontrollen der grundlegenden Risikobewertung der betroffenen Einrichtung basieren
- Regelmäßige Bewertung von Anbietern auf der Grundlage dieser Anforderungen, einschließlich der zu verwendenden Due-Diligence-Verfahren
- Geltende Vertragsanforderungen und Leitlinien
Die Prevalent Plattform für das Risikomanagement von Drittanbietern ermöglicht es Finanzinstituten, diese Anforderungen für ihr gesamtes Anbieter-Ökosystem zu erfüllen. Sie bietet eine Komplettlösung für die Durchführung von Risikobewertungen von Lieferanten - einschließlich:
- Aufbau eines zentralisierten Lieferanteninventars
- Inhärentes Risiko-Scoring zur Bestimmung der laufenden Sorgfaltspflicht
- die Fähigkeit, Cybersicherheitsanforderungen in Anbieterverträge einzubauen und Anbieter auf der Grundlage von Sicherheitspraktiken zu bewerten
- Fragebögen auf der Grundlage der von der NY DFS empfohlenen Rahmen und Standards
- Eine Umgebung zur Aufnahme und Verwaltung dokumentierter Beweise als Reaktion
- Arbeitsabläufe für die Verwaltung der Überprüfungs- und Adressierungsergebnisse
- eine solide Berichterstattung, die jeder Managementebene die Informationen liefert, die sie benötigt, um die Leistung und das Risiko eines jeden Dritten angemessen zu überprüfen
Die Prevalent-Plattform umfasst auch die Überwachung von Cyber-, Geschäfts-, Reputations- und Finanzdaten, um laufende potenzielle Bedrohungen für eine betroffene Einrichtung zu erfassen.
Abschnitt 500.16 des 23 NYCRR
Erstellung schriftlicher Pläne, die proaktive Maßnahmen zur Untersuchung und Abschwächung von Störfällen und zur Gewährleistung der betrieblichen Widerstandsfähigkeit enthalten, einschließlich, aber nicht beschränkt auf Pläne zur Reaktion auf Vorfälle, zur Geschäftskontinuität und zur Wiederherstellung im Katastrophenfall.
Die Gewährleistung der Ausfallsicherheit von Unternehmen sollte die Automatisierung der Bewertung, kontinuierlichen Überwachung, Analyse und Behebung von Ausfallsicherheits- und Kontinuitätspraktiken von Drittanbietern umfassen - bei gleichzeitiger automatischer Zuordnung der Ergebnisse zu NIST-, ISO- und anderen Kontroll-Frameworks. Dieser proaktive Ansatz ermöglicht es Ihrem Unternehmen, die Auswirkungen von Unterbrechungen durch Dritte zu minimieren und die Compliance-Anforderungen zu erfüllen. Die Prevalent-Plattform umfasst eine umfassende Bewertung der Widerstandsfähigkeit von Unternehmen auf der Grundlage der ISO 22301-Standardverfahren.
Abschnitt 500.17 des 23 NYCRR
Mitteilung über Ereignisse im Bereich der Cybersicherheit.
Um die Anforderung zu erfüllen, das Department of Financial Services innerhalb von 72 Stunden nach Bekanntwerden eines Cybersecurity-Ereignisses zu benachrichtigen, sollten Sie proaktive Reaktionspläne für Drittparteien auf stellen, die Folgendes beinhalten:
- Zentrale Verwaltung von Anbietern
- Durchführung proaktiver Ereignisbewertungen (und Ermöglichung der Selbsteinreichung von Ereignissen durch die Anbieter)
- Bewertung der identifizierten Risiken anhand akzeptabler Schwellenwerte
- Abgleich der Antworten der Anbieter mit der kontinuierlichen Cyber-Überwachung
- Leitfaden für Abhilfemaßnahmen veröffentlichen
Verwaltung von 23 NYCRR 500 Einhaltung von Prävalenz
Die Anforderungen von 23 NYCRR 500 effektiv zu erfüllen, ist eine unmögliche Aufgabe, wenn Sie sich ausschließlich auf Tabellenkalkulationen verlassen, um Cybersecurity-Kontrollen zu erfassen, zu analysieren, zu beheben und darüber zu berichten. Die Prevalent Third-Party Risk Management Platform ermöglicht es Ihrem Finanzdienstleistungsinstitut, die Anforderungen von 23 NYCRR 500 in seinem gesamten Lieferanten-Ökosystem zu erfüllen. Die Plattform bietet:
- Automatisierte Due-Diligence-Prüfung vor Vertragsabschluss, um sicherzustellen, dass Dritte über grundlegende Informationssicherheitsrichtlinien verfügen, um das Risiko für Ihr Unternehmen zu verringern
- Detaillierte Bewertungen des inhärenten Risikos und Einstufung des Anbieters, um Hinweise auf die Bereiche zu geben, in denen weitere Bewertungen durchzuführen sind
- Eine umfangreiche Bibliothek mit Vorlagen für Risikofragebögen, die Flexibilität bei der Bewertung von Anbietern nach den für Ihr Unternehmen wichtigsten Kontrollen bietet
- Umfassende kontinuierliche Überwachung von Cybersecurity-Ereignissen, die den Kontext zu den Bewertungsergebnissen hinzufügt und mit ihnen korreliert
- Vorgeschriebene Programme zur Gewährleistung der Geschäftskontinuität und zur Reaktion auf Zwischenfälle, um sicherzustellen, dass Dritte über die erforderlichen Richtlinien und Verfahren verfügen, um aufkommende Risiken der Cybersicherheit zu bewältigen
Wenn Sie mehr über die Einhaltung von 23 NY CRR 500 erfahren möchten, laden Sie unsere Compliance-Checkliste herunter oder kontaktieren Sie uns, um eine Demo zu vereinbaren.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
