Das Management von Drittanbietern ist eine wichtige Funktion für den Schutz von Kunden- und Geschäftsinformationen. Die in Teil 500 der Cybersecurity-Verordnung des New York Department of Financial Services („DFS“) festgelegten Sicherheitsrichtlinien für Drittanbieter waren bahnbrechend und tragen, wenn sie eingehalten werden, wesentlich dazu bei, die Cybersicherheit für die Finanzdienstleistungsbranche in New York grundlegend zu verbessern.
NYDFS Teil 500 trat am 1. März 2017 in Kraft, mit einer zweijährigen Umsetzungsfrist für die verschiedenen Bestimmungen. Die Verordnung gilt für alle Personen oder Unternehmen, die gemäß den Bank-, Versicherungs- und Finanzdienstleistungsgesetzen des Bundesstaates New York mit einer Lizenz, einer Konzession oder einer ähnlichen Genehmigung der DFS tätig sind. Dazu gehören alle staatlich zugelassenen Banken, Hypothekenmakler und Hypothekengeber, Versicherungsgesellschaften und -agenten, Geldtransferunternehmen und Kryptowährungsbörsen, die für die Ausübung ihrer Geschäftstätigkeit in New York zugelassen sind. Die Verordnung zielt darauf ab, alle nicht öffentlichen Informationen dieser Unternehmen zu schützen, einschließlich persönlicher Verbraucherinformationen, Gesundheitsdaten und geschäftsbezogener Informationen, deren Offenlegung erhebliche nachteilige Auswirkungen auf den Geschäftsbetrieb oder die Sicherheit haben würde.
Das Ziel der DFS-Cybersicherheitsverordnung ist es, die Sicherheit nicht öffentlicher Informationen zu verbessern, die Geschäftskontinuität aufrechtzuerhalten und Risiken durch potenzielle Cybersicherheitsverletzungen zu mindern, indem strenge Mindeststandards festgelegt werden, die die Finanzdienstleistungsbranche in New York einhalten muss, um die Kontrollen zu verstärken und nicht öffentliche Informationen zu schützen. Die Verordnung enthält zahlreiche Bestimmungen, die verschiedene Anforderungen an ein Cybersicherheitsprogramm, eine Cybersicherheitsrichtlinie, Risikobewertung, Verschlüsselung, Penetrationstests, Multi-Faktor-Authentifizierung, Notfallpläne, Schulungen und Governance festlegen. Die letzte Bestimmung, die am 1. März 2019 in Kraft getreten ist, ist Abschnitt 500.11, die Bestimmung, die sich mit Drittanbietern befasst. Jedes betroffene Unternehmen muss dem NYDFS jährlich bestätigen, dass es die Verordnung einhält.
Teil 500.11 mit dem Titel „Sicherheitsrichtlinie für Drittanbieter” basiert auf dem Grundsatz, dass eine von der DFS regulierte Einrichtung, die zur Einhaltung der Verordnung verpflichtet ist, für die Sicherheit der nicht öffentlichen Informationen der betroffenen Einrichtung verantwortlich ist, auf die Drittanbieter Zugriff haben. Mit anderen Worten: Ein betroffenes Unternehmen darf seine Sicherheitsvorkehrungen nicht verringern, indem es Drittanbietern mit unzureichenden Sicherheitsvorkehrungen Zugang zu den Informationssystemen und nicht öffentlichen Kunden- und Geschäftsinformationen des betroffenen Unternehmens gewährt. Die von der Verordnung betroffenen Dritten sind alle Personen oder Unternehmen, die Dienstleistungen für das betroffene Unternehmen erbringen und durch diese Dienstleistungen Zugang zu nicht öffentlichen Informationen erhalten.
Um die Verordnung einzuhalten, muss ein DFS-reguliertes Unternehmen mindestens (1) regelmäßig die mit seinen Drittanbietern verbundenen Risiken identifizieren und bewerten, (2) Richtlinien und Verfahren zur Bewältigung der Cybersicherheitsrisiken seiner Drittanbieter entwickeln und umsetzen, (3) eine Due-Diligence-Prüfung durchführen, um die Angemessenheit der Cybersicherheitspraktiken jedes Anbieters zu bewerten, einschließlich der Zugriffskontrollen, der Verwendung von Verschlüsselung, des Personals und der Schulungen des Drittanbieters, und (4) vertragliche Zusicherungen und Gewährleistungen in Bezug auf Sicherheitsvorkehrungen und die Benachrichtigung über Cybersicherheitsvorfälle berücksichtigen.
Cybersicherheit ist eine unternehmensweite Verantwortung, und die Einhaltung von Teil 500 muss daher einem unternehmensweiten Prozess folgen, der die Bewertung von Drittanbietern umfasst. Dieser Prozess sollte regelmäßig eine Bewertung der Risiken der Drittanbieter des Unternehmens umfassen, basierend auf dem Zugriff des einzelnen Anbieters auf nicht öffentliche Informationen und der Stärke seiner Cybersicherheitsrichtlinien und -programme. Die Bewertung sollte eine Überprüfung der Zugriffskontrollen, der Verwendung von Verschlüsselung, der Tests, des Personals und der Schulungen des Drittanbieters umfassen. Genauso wie das betroffene Unternehmen über einen Plan zur Reaktion auf Vorfälle verfügen muss, muss auch der Drittanbieter, der über die Geschäfts- und Kundendaten des betroffenen Unternehmens verfügt, einen solchen Plan haben. Solche Maßnahmen sind von entscheidender Bedeutung, um das Risiko von Schäden aufgrund einer Verletzung der Cybersicherheit zu mindern.
Wir leben heute in einer Welt, in der wir erkennen müssen, dass Cybersicherheit eine existenzielle Bedrohung darstellt, die wahrscheinlich nicht vollständig beseitigt werden kann, aber sicherlich gemindert werden kann. Cyberkriminelle suchen nach Schwachstellen, und solche Schwachstellen können in der Bereitstellung nicht öffentlicher Informationen durch ein Unternehmen an Drittanbieter bestehen. Im Falle einer Sicherheitsverletzung kann das betroffene Unternehmen nicht einfach mit dem Finger auf einen Anbieter zeigen. Auch wenn der Anbieter möglicherweise eine Mitverantwortung trägt, macht Teil 500 deutlich, dass das Lieferantenmanagement und die Sorgfaltspflicht des regulierten Unternehmens auch Maßnahmen zum Schutz der Cybersicherheit umfassen müssen. Auf diese Weise haben Drittanbieter mit starken Cybersicherheitsprogrammen einen Wettbewerbsvorteil bei der Erbringung von Dienstleistungen für die regulierte Finanzdienstleistungsbranche in New York. So sollte es auch sein.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
