NYDFS 23 NYCRR 500 Einhaltung

Kontakt zu einem Experten

Zurück zu allen Use Cases

23 NYCRR 500 und Risikomanagement durch Dritte


Anfang 2017 hat das New York State Department of Financial Services (DFS) 23 NYCRR 500 neue Cybersicherheitsanforderungen für Finanzdienstleistungsunternehmen festzulegen. Die Verordnung soll die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten und damit verbundenen IT-Systemen schützen.

23 NYCRR 500 wurde als Reaktion auf die alarmierende Zunahme von Datenverstößen und Cyber-Bedrohungen gegen Finanzinstitute erlassen. Ein wesentlicher Bestandteil der Einhaltung des Gesetzes ist die Verwaltung der IT-Sicherheitskontrollen und Datenschutzrichtlinien von Anbietern.

Mehrere Abschnitte der Verordnung befassen sich speziell mit Drittanbietern:

  • Abschnitt 500.11befasst sich direkt mit der Sicherheitsrichtlinie für Drittanbieter. Er verlangt von den betroffenen Unternehmen, schriftliche Richtlinien und Verfahren zu implementieren, die sich auf der Grundlage einerRisikobewertung mit der Sicherheit von Informationssystemen von Drittanbietern befassen.
  • Abschnitt 500.16verlangt von den betroffenen Unternehmen, Pläne und Maßnahmen zur Gewährleistung der betrieblichen Widerstandsfähigkeit zu erstellen, darunter Pläne für die Reaktion auf Vorfälle, die Aufrechterhaltung des Geschäftsbetriebs und die Notfallwiederherstellung.
  • Abschnitt 500.17verlangt eine spezifische Berichterstattung über Cybersicherheitsvorfälle bei Dritten.

Relevante Anforderungen

  • Ein Cybersicherheitsprogramm unterhalten, das Risikobewertungen, unabhängige Audits und unterstützende Dokumentation umfasst.
  • Implementierung und Aufrechterhaltung von Informationssicherheitsrichtlinien auf der Grundlage von Risikobewertungen – einschließlich für das Management von Lieferanten und Drittanbietern 
  • Ernennen Sie einen CISO, der für das Cybersicherheitsprogramm der Organisation verantwortlich ist, dieses überprüft und darüber Bericht erstattet.
  • Spezifische Cybersicherheitstechnologien und -praktiken einbeziehen
  • Erstellen Sie ein Programm zum Management von Risiken durch Dritte.
  • Reichen Sie eine jährliche Bescheinigung ein, die die Einhaltung dieser Vorschriften bestätigt.

 

Erfüllung der Anforderungen gemäß 23 NYCRR 500 TPRM

So kann Prevalent Ihnen dabei helfen, die Anforderungen des 23 NYCRR 500 zum Risikomanagement durch Dritte zu erfüllen:

 

23 NYCRR 500 Anforderungen Wie wir helfen
ABSCHNITT 500.11
(a) Jedes betroffene Unternehmen muss schriftliche Richtlinien und Verfahren implementieren, die darauf ausgelegt sind, die Sicherheit von Informationssystemen und nicht öffentlichen Informationen zu gewährleisten, auf die Drittanbieter Zugriff haben oder die sich in deren Besitz befinden. Diese Richtlinien und Verfahren müssen auf der Risikobewertung des betroffenen Unternehmens basieren und in angemessenem Umfang folgende Aspekte behandeln:
(1) die Identifizierung und Risikobewertung von Drittanbietern; Mit Prevalent können Sie Dritte anhand des Ausmaßes der Bedrohungen für ihre Informationsressourcen bewerten und überwachen, indem Sie Erfassen, Verfolgen und Quantifizieren inhärenter Risiken. Zu den Kriterien, die zur Berechnung des inhärenten Risikos für die Klassifizierung durch Dritte herangezogen werden, gehören:

  • Art des für die Validierung der Kontrollen erforderlichen Inhalts
  • Kritische Bedeutung für die Unternehmensleistung und den Betrieb
  • Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
  • Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
  • Erfahrung mit operativen oder kundenorientierten Prozessen
  • Interaktion mit geschützten Daten
  • Finanzieller Status und Gesundheit
  • Reputation

Anhand dieser inhärenten Risikobewertung kann Ihr Team Lieferanten automatisch einstufen, angemessene Stufen für weitere Sorgfaltspflichten festlegen und den Umfang laufender Bewertungen bestimmen.
Die regelbasierte Einstufungslogik ermöglicht die Kategorisierung von Anbietern anhand einer Reihe von Dateninteraktions-, Finanz-, Regulierungs- und Reputationsaspekten.
(2) Mindestanforderungen an die Cybersicherheit, die solche Drittanbieter erfüllen müssen, um mit dem betroffenen Unternehmen Geschäfte tätigen zu können; Prevalent zentralisiert und automatisiert die Verteilung, den Vergleich und die Verwaltung von Ausschreibungen (RFPs) und Informationsanfragen (RFIs). Unsere Lösungen liefern außerdem Einblicke in geschäftliche, reputationsbezogene, finanzielle und datenschutzrechtliche Risiken, um Informationen bereitzustellen und Kontext hinzuzufügen. Lieferantenauswahl Entscheidungen.

Prevalent leitet jeden ausgewählten Anbieter in die Vertrags- und/oder Onboarding-Due-Diligence-Phasen über und führt den Anbieter automatisch durch den Lebenszyklus des Drittanbieters.
(3) Sorgfaltspflichten, die zur Bewertung der Angemessenheit der Cybersicherheitspraktiken solcher Drittanbieter herangezogen werden; und Prävalent automatisiert Risikobewertungen die Sichtbarkeit, Effizienz und Reichweite Ihres Risikomanagementprogramms für Dritte in jeder Phase des Lebenszyklus von Dritten zu erweitern.

Mit einer Bibliothek von über 750 standardisierten Bewertungen, Anpassungsmöglichkeiten und integrierten Workflows und Korrekturmaßnahmen automatisiert die Lösung alle Prozesse, von der Erfassung und Analyse von Umfragen bis hin zur Risikobewertung und Berichterstellung.

Mit Prevalent können Sie auf einfache Weise Informationen über eine breite Palette von Anbieterkontrollen sammeln und korrelieren, um Bedrohungen für das Informationsmanagement zu ermitteln, basierend auf der durch die inhärente Risikobewertung ermittelten Kritikalität der Drittpartei.

Die Ergebnisse der Bewertungen und der kontinuierlichen Überwachung werden in einem einzigen Risikoregister mit Heatmap-Berichten zusammengefasst, das die Risiken auf der Grundlage von Wahrscheinlichkeit und Auswirkungen misst und kategorisiert. Mit diesem Einblick können die Teams die Folgen eines Risikos leicht erkennen und haben fertige Empfehlungen für die Abhilfe für Dritte, um die Risiken zu mindern.
(4) regelmäßige Bewertung dieser Drittanbieter auf der Grundlage des von ihnen ausgehenden Risikos und der fortdauernden Angemessenheit ihrer Cybersicherheitspraktiken. Bewertungen können vor Vertragsabschluss, zum Zeitpunkt der Vertragsverlängerung oder in beliebigen Abständen (z. B. vierteljährlich oder jährlich) durchgeführt werden.

Integrierte, nativeFunktionen zur Überwachung von Cyber-, Geschäfts-, Reputations- und Finanzrisikenmelden wesentliche Änderungen zwischen regelmäßigen Bewertungen und können Benachrichtigungen, Folgebewertungen oder andere Maßnahmen auslösen.

Prevalent liefert integrierte Empfehlungen zur Behebung von Risiken auf der Grundlage der Ergebnisse der Risikobewertung. Diese werden durch Workflow- und Aufgabenmanagementfunktionen unterstützt, um sicherzustellen, dass Dritte die Risiken rechtzeitig und zufriedenstellend angehen.
ABSCHNITT 500.16
(a) Als Teil seines Cybersicherheitsprogramms muss jedes betroffene Unternehmen schriftliche Pläne erstellen, die proaktive Maßnahmen zur Untersuchung und Eindämmung von Störfällen sowie zur Gewährleistung der Betriebsstabilität enthalten, darunter unter anderem Pläne für die Reaktion auf Vorfälle, die Aufrechterhaltung des Geschäftsbetriebs und die Notfallwiederherstellung.
(2) Plan zur Aufrechterhaltung des Geschäftsbetriebs und zur Notfallwiederherstellung (im Sinne dieses Teils „BCDR-Plan“). BCDR-Pläne müssen angemessen gestaltet sein, um die Verfügbarkeit und Funktionalität der Dienste des betroffenen Unternehmens sicherzustellen und das Personal, die Vermögenswerte und die nicht öffentlichen Informationen des betroffenen Unternehmens im Falle eines Notfalls oder einer anderen Störung seiner normalen Geschäftstätigkeit zu schützen. Diese Pläne müssen mindestens Folgendes umfassen:

(iii) einen Plan für die Kommunikation mit wichtigen Personen im Falle eines Notfalls oder einer anderen Störung des Betriebs des betroffenen Unternehmens enthalten, darunter Mitarbeiter, Gegenparteien, Aufsichtsbehörden, Drittanbieter, Spezialisten für Notfallwiederherstellung, die oberste Leitungsebene und alle anderen Personen, die für die Wiederherstellung von Dokumenten und Daten sowie die Wiederaufnahme des Betriebs von entscheidender Bedeutung sind;

(vi) Dritte identifizieren, die für die Fortführung der Geschäftstätigkeit des betroffenen Unternehmens erforderlich sind.

 Prevalent automatisiert die Bewertung, kontinuierliche Überwachung, Analyse und Behebung von Geschäftskontinuität und Ausfallsicherheit von Drittanbietern – während die Ergebnisse automatisch den Kontrollrahmenwerken von NIST, ISO und anderen zugeordnet werden.

Dieser proaktive Ansatz ermöglicht es Ihrem Unternehmen, die Auswirkungen von Störungen durch Dritte zu minimieren und die Compliance-Anforderungen zu erfüllen.

Die Prevalent-Plattform umfasst eine umfassende Bewertung der Widerstandsfähigkeit von Unternehmen auf der Grundlage von ISO 22301-Standardverfahren, die es Unternehmen ermöglichen,:

  • Kategorisierung der Lieferanten nach ihrem Risikoprofil und ihrer Wichtigkeit für das Unternehmen
  • Umriss der Wiederherstellungspunktziele (RPOs) und der Wiederherstellungszeitziele (RTOs)
  • Zentralisierung von Systeminventar, Risikobewertungen, RACI-Diagrammen und Drittparteien
  • Sicherstellung einer konsistenten Kommunikation mit den Lieferanten bei Betriebsunterbrechungen

Wenn eine Beendigung oder ein Ausstieg für kritische Dienste erforderlich ist, nutzt Prevalent anpassbare Umfragen und Workflows, um über Systemzugriff, Datenvernichtung, Zugriffsmanagement, Einhaltung relevanter Gesetze, Abschlusszahlungen und mehr zu berichten. Die Lösung schlägt außerdem Maßnahmen vor, die auf den Antworten auf die Offboarding-Bewertungen basieren, und leitet Aufgaben bei Bedarf an Prüfer weiter.
ABSCHNITT 500.17
(a) Benachrichtigung über Cybersicherheitsvorfälle.
(3) Jedes betroffene Unternehmen, das von einem Cybersicherheitsvorfall bei einem Drittanbieter betroffen ist, muss den Superintendenten so schnell wie möglich, spätestens jedoch 72 Stunden nach Bekanntwerden des Cybersicherheitsvorfalls, elektronisch in der auf der Website der Behörde angegebenen Form benachrichtigen. Prevalent ermöglicht es Ihrem Team, die Auswirkungen schnell zu erkennen, darauf zu reagieren, darüber zu berichten und sie zu mindern. Zwischenfälle mit Drittanbietern durch die zentrale Verwaltung von Anbietern, die Durchführung von Ereignisbewertungen, die Bewertung identifizierter Risiken, den Abgleich mit kontinuierlicher Cyberüberwachung und den Zugriff auf Leitlinien zur Behebung von Mängeln. Zu den wichtigsten Funktionen gehören:

  • Ständig aktualisierte und anpassbare Fragebögen zum Ereignis- und Störungsmanagement
  • Verfolgung des Fortschritts beim Ausfüllen des Fragebogens in Echtzeit
  • Festgelegte Risikoverantwortliche mit automatischer Erinnerungsfunktion, um die Erhebungen im Zeitplan zu halten
  • Proaktive Lieferantenberichterstattung
  • Konsolidierte Ansichten von Risikobewertungen, Anzahl, Punktzahlen und markierten Antworten für jeden Anbieter
  • Workflow-Regeln zur Auslösung automatisierter Playbooks, um auf Risiken entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen zu reagieren
  • Anleitung von eingebauten Sanierungsempfehlungen zur Risikominderung
  • Integrierte Berichtsvorlagen
  • Daten- und Beziehungsmapping zur Identifizierung von Beziehungen zwischen Ihrem Unternehmen und Dritten, um Informationspfade zu visualisieren und gefährdete Daten zu ermitteln

Zusätzliche Ressourcen

Blog

APRA CPS 234: Bewährte Praktiken für die Erfüllung der Anforderungen an das Risikomanagement von Drittparteien

Blog

SEC-Regeln zur Offenlegung der Cybersicherheit: 9 wichtige Fragen an Dritte

Blog

Erfüllung der PRA SS2/21-Anforderungen für das Risikomanagement von Drittparteien

Leitfaden

Richten Sie Ihr TPRM-Programm an 14 Branchenstandards aus

Weitere Ressourcen anzeigen

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.