NYDFS und Risikomanagement für Drittparteien: Wie es sich auf Sie auswirkt

Melissa: Hallo und herzlich willkommen, liebe Teilnehmer. Es freut mich sehr, dass Sie alle dabei sind. Ich gebe Ihnen eine Minute Zeit, während wir darauf warten, dass alle sich einloggen und verbinden. In der Zwischenzeit starte ich unsere erste Umfrage. Sie wird gleich hier auf Ihrem Bildschirm erscheinen. Ich bin neugierig, was Sie zu unserem heutigen Webinar geführt hat. Befinden Sie sich gerade in der Anfangsphase Ihres TPR-Programms? Vielleicht sind Sie ein aktueller Kunde von Prevalent. Ist es aus Bildungsgründen? Vielleicht lieben Sie es einfach, an Webinaren teilzunehmen, es ist Ihr Hobby, lassen Sie es mich wissen. Lassen Sie uns schnell mit einer kurzen Einführung beginnen. Mein Name ist Melissa. Ich arbeite hier in der Geschäftsentwicklung. Und heute sind zwei besondere Gäste bei uns. Alistister Parr, Senior Vice President of Global Products and Services bei Prevalent, und Thomas Humphre, Lösungsexperte und Content Manager. Hallo, ihr beiden.

Alistair: Hallo. Vielen Dank für die Einladung. Melissa: Ja, natürlich. Und wir haben auch unseren eigenen Scott Lang, den Vizepräsidenten für Produktmarketing, hier. Hallo, Scott. Scott: Hallo Melissa, wie geht es dir? Melissa: Gut. Und heute werden Thomas und Alistair über NYDFS und das Risikomanagement von Drittanbietern sprechen und darüber, wie sich das auf euch auswirkt. Nur eine kleine Anmerkung: Dieses Webinar wird aufgezeichnet, sodass Sie es zusammen mit der Präsentation kurz nach dem Webinar erhalten werden. Sie sind alle stummgeschaltet. Nutzen Sie also den Chat, wenn Sie etwas mitteilen möchten, das keine Frage für das Q&A-Feld ist. Und ohne weitere Umstände übergebe ich nun das Wort an Thomas und Alistair. Los geht's, Leute.

Alistair: Vielen Dank. Und nur um das noch einmal zu betonen: Wenn Sie Fragen haben, die wir beantworten und in unser Gespräch einfließen lassen sollen, können Sie diese gerne stellen. Wir würden die Fragen und Antworten dem Chat vorziehen, da diese viel eher bei uns ankommen und wir versuchen werden, sie im Laufe des Gesprächs einzubauen. Vielen Dank, dass Sie heute bei uns sind. Für diejenigen, die noch nie von uns gehört haben, möchte ich mich noch einmal vorstellen: Ich bin Alistair Parr. Ich bin Senior Vice President für Produkte und Dienstleistungen hier bei Prevalent. Und warum bin ich persönlich qualifiziert, mit Ihnen darüber zu sprechen? Ich hatte das Vergnügen, fast ein Jahrzehnt lang Audits durchzuführen, insbesondere im Bereich Risikomanagementprogramme für Dritte. Ich habe Hunderte von Lebenszyklusprogrammen für Dritte kennengelernt und heute ist der berühmte Thomas Humphre Thomas bei mir. Warum sind Sie qualifiziert, heute mit uns über mein DFS zu sprechen?

Thomas: Ähm, ja, hallo Alistister, hallo zusammen, ähm, ja, ich bin Content Manager bei Prevalent und helfe dabei, Bewertungen zu entwerfen und umzusetzen, die eine Vielzahl von Standards und Rahmenwerken abdecken, nicht zuletzt in den Bereichen Information, Cybersicherheit und Datenschutz. Dazu gehören beispielsweise ISO, NIST, DSGVO und natürlich NYDFS. Davor war ich knapp 10 Jahre lang als ISO-Auditor tätig. Also, ja, viele Bewertungen für viele verschiedene Standards und Rahmenwerke. Alistair: Vielen Dank, Thomas. Heute werden wir alle viel Spaß dabei haben, Thomas zu befragen und einige Einblicke speziell in Bezug auf NYDFS zu erhalten. Aber die Dinge, die wir etwas detaillierter behandeln werden, sind die Einführung von NYDFS im Sinne von NYCR 500 und was das bedeutet. Wir werden uns damit befassen, wie man Drittanbieter identifiziert und klassifiziert, die für das Rahmenwerk spezifisch sind. Wir werden uns mit der Anwendung der Sorgfaltspflicht bei der Bewertung von Dritten befassen und dann zur Kontinuität übergehen. Wie können wir diese also über einen längeren Zeitraum aufrechterhalten? Wie konzentrieren wir uns auf Resilienz und Wiederherstellung und insbesondere auf die Anforderungen an die Meldung von Vorfällen? Thomas, bitte geben Sie uns zunächst einen kleinen Einblick.

Thomas: Ja, auf jeden Fall. Ähm, und ja, ich begrüße alle zum heutigen Webinar. Für diejenigen unter Ihnen, die das Cybersicherheits-Framework der NYDFS noch nicht kennen, werde ich später noch etwas näher darauf eingehen, aber ich denke, es lohnt sich, kurz darauf einzugehen und vielleicht einen Schritt zurückzutreten, um zu betrachten, was nicht nur in New York, sondern im gesamten Finanzsektor geschieht. Wenn man auf die letzten zwei bis drei Jahre zurückblickt, gab es einen kontinuierlichen Anstieg vieler verschiedener Bedrohungen, vor allem cyberbasierter Bedrohungen. Und diese nehmen zu. Wir haben gesehen, dass viele Organisationen wie der IWF ihre Bedenken hervorheben, dass ein stärkerer Fokus auf die Anwendung von Best Practices im Bereich Sicherheit gelegt werden muss. Es wurde berichtet, dass es mittlerweile fast 20, etwas mehr als 20 % der Phishing-Fälle gibt. Betrachtet man die weltweit führenden oder größten Branchen, so konzentrierten sich mehr als 20 % dieser Fälle im Jahr 2021 auf den Finanzsektor. Die Zahl der Ransomware-Bedrohungen ist im Vergleich zum Vorjahr gestiegen. Und wenn man sich die Zeit zwischen Anfang 2020 bis 22 und sogar bis Anfang dieses Jahres ansieht, hat die Zahl der hochkarätigen und bemerkenswerten Angriffe wie Solar Winds, Log 4J und andere gezielte Bedrohungen einen Welleneffekt und weitreichende Schäden in den Lieferketten verursacht. Nicht zuletzt hat dies auch Auswirkungen auf den Finanzsektor gehabt. Es gab einen Anstieg von webbasierten Angriffen, SQL-Injektionen, Cross-Site-Scripting, gezielten Angriffen auf Unternehmenswebsites und Websysteme sowie allen Arten von Angriffen, bei denen bösartiger Code gezielt implantiert wurde. Und natürlich gibt es den wachsenden Trend zum Ausbau der Lieferkette und zur zunehmenden Abhängigkeit von Lieferanten. Was ist also die Ursache für diese Zunahme von Cyber-Bedrohungen? Nun, es gibt eine ganze Reihe verschiedener Bereiche, die wir diskutieren können. Am relevantesten ist vielleicht das Konzept der digitalen Transformation. Das ist kein neues Thema, ganz im Gegenteil. Es gibt es wahrscheinlich schon seit fast 10 Jahren, wenn nicht sogar etwas länger. Aber da Finanzorganisationen immer mehr Zeit und Geld in neue Technologien, neue Anwendungen und Systeme sowie Lösungen investieren, hat sich die Abhängigkeit von all diesen verschiedenen Technologien und damit auch die Abhängigkeit von der Nutzung mehrerer Drittanbieter erhöht. Und so sehen wir diesen Effekt der um, ähm, Gefährdung und der größeren Gefährdung durch solche Phishing- und Ransomware-Bedrohungen und und und andere Angriffe. Und das ist sehr zyklischer Natur, weil es jetzt auch die Sichtbarkeit über die gesamte Lieferkette hinweg erhöht. Wenn wir zurückblicken, wie sichern wir unseren Weg durch die digitale Transformation und erhöhen die Investitionen und den Einsatz von Technologien und technologischen Dienstleistungen? Es gibt also viele Bedrohungen, die erheblich zunehmen und sicherlich groß genug sind, um viele große und wichtige Regulierungsbehörden und Organisationen, nicht zuletzt meine DFS, dazu zu veranlassen, ihre Anstrengungen zu verstärken und die Cybersicherheit in den Vordergrund zu rücken.

Alistair: Bevor Sie näher auf die Regulierung eingehen, möchte ich noch etwas anmerken, Thomas. Ich weiß, dass es sich dabei um ein sehr cyberzentriertes Thema handelt, aber zur Information aller Anwesenden möchte ich sagen, dass wir viele interessante Trends beobachten, die zusätzliche Aufmerksamkeit verdienen. Cyber ist natürlich ein zentraler Bestandteil, wie zu erwarten, aber der verstärkte Fokus, wie Sie vielleicht aus einigen unserer anderen Webinar-Sitzungen gesehen haben, liegt beispielsweise auf relativ aktuellen Themen wie ESG, einer breiteren Widerstandsfähigkeit der Lieferkette und natürlich dem Datenschutz in vielen Bereichen. Dies ist nur ein Teilbereich einer umfassenderen digitalen Transformation, die wir in diesem Bereich beobachten, wo die Menschen beginnen, geopolitische Ereignisse oder Umweltereignisse, die sich auf die Lieferkette auswirken, etwas genauer zu betrachten. Das ist sicherlich interessant, aber könnten Sie uns für den heutigen Schwerpunkt bei NYDFS, Thomas, einen kleinen Einblick in die Regulierung selbst und ihre Ziele geben?

Thomas: Auf jeden Fall. Beginnen wir mit einer grundlegenden Einführung. Ich verwende den Begriff NYDFS. Hier oben sehen Sie einen neuen Begriff. Wir lieben unsere Akronyme, insbesondere diejenigen von uns, die schon einmal an einem beliebten Webinar teilgenommen haben. Und wir befassen uns mit der Verordnung 23 NYC RR500. NYDFS ist also die Behörde im Bundesstaat New York, die für die Verwaltung und Verteilung sowie die Sicherstellung der ordnungsgemäßen und korrekten Umsetzung von Vorschriften zuständig ist. Aber die eigentliche NYCRR ist die New York Codes Rules and Regulations (New Yorker Vorschriften und Regelungen), und dieser Teil des Regelwerks befasst sich mit Cybersicherheit. Es handelt sich also um eine Verordnung, die vom NYDFS durchgesetzt wird und deren Zweck es ist, einen recht normativen, aber strukturierten Ansatz für Organisationen zur Anwendung von Best Practices im Bereich Cybersicherheit bereitzustellen. Wie Sie in den folgenden Folien sehen werden, gibt es eine ganze Reihe unterschiedlicher Kontrollen in vielen verschiedenen Bereichen, von denen einige den Organisationen vielleicht sehr ähnlich sind, wie wir anhand von Beispielen wie dem IDFS sehen werden. Wenn Regulierungsbehörden wie die NYDFS diese Rahmenwerke entwickeln, konzentrieren sie sich immer darauf, wo die Best Practices liegen, und zwar nicht nur in ihrer Branche, sondern auch in anderen Branchen und im Bereich der Cybersicherheit. Daher gibt es viele Gemeinsamkeiten zwischen den Kontrollmechanismen und den Erwartungen der NYCR 500-Verordnung und denen von ISO und NIST sowie anderen nicht-regulatorischen Best-Practice-Standards. Es handelt sich also sowohl um Governance- als auch um operative Kontrollen, die wir in Kürze näher erläutern werden. Der Schwerpunkt liegt jedoch auf der Validierung der Best-Practice-Anforderungen, deren Anwendung wir von Unternehmen verlangen. Und wenn sie korrekt angewendet werden, sollte dies ein guter Beweis für Ihre allgemeine Sicherheitslage sein. Natürlich spreche ich hier von der Anwendung der Vorschriften durch eine einzelne Organisation. Aber wie wir heute sehen werden, gibt es auch einen sehr starken Zusammenhang und eine hohe Erwartungshaltung hinsichtlich der Anwendung dieses Rahmens auf Ihre Drittanbieter und die gesamte Lieferkette. Alistair: Interessant. Thomas, sehen Sie bestimmte Faktoren, die dazu führen, dass verschiedene politische Vorschriften und Rahmenwerke einen verstärkten Fokus auf die Lieferkette legen? Er hat natürlich angesprochen, dass es in letzter Zeit vermehrt zu Cyberangriffen gekommen ist, aber gibt es noch andere Faktoren, die dazu geführt haben, dass sich meine DFS auf die Widerstandsfähigkeit von Drittanbietern und Risiken in der Lieferkette konzentriert?

Thomas: Interessante Frage. Ja, wie Sie bereits erwähnt haben, wird einer der Treiber natürlich immer dort zu finden sein, wo neue und aufkommende Bedrohungen bestehen und wo es einen starken Anstieg der Bedrohungen gibt, wie beispielsweise Phishing und die Menge an Ransomware. Aber es ist auch so, dass wir in der Regel feststellen, wo – und vielleicht kommt hier die digitale Transformation ins Spiel –, dass außerhalb von, ähm, wenn man die Cybersicherheit aus der Gleichung herausnimmt und sich nur auf die Lieferkette konzentriert, ähm, wo es einen Bedarf an viel mehr Interoperabilität zwischen Finanzorganisationen gibt, zum Beispiel, ähm, und den Bedarf an einer offeneren, äh, Umgebung und einer offeneren Gesellschaft, etwas, das wir natürlich sehr schnell gesehen haben. Wenn man sich die letzten zwei Jahre ansieht und einen der Ausgleichsfaktoren der Pandemie im Jahr 2020 betrachtet, die einen enormen Schub für viel mehr Kapazitäten für Finanzorganisationen und ihre Kunden ausgelöst hat, um besser und nahtloser mit ihren Kunden interagieren zu können. Und natürlich hat dies immer zu einer Öffnung der Lieferkette geführt und wird auch immer dazu führen, dass mehr Anbieter gewonnen und mit ihnen interagiert werden. Aber wie Sie bereits angedeutet haben, Alistair, ist natürlich eine der anderen Auswirkungen davon, abgesehen von der Cybersicherheit, die Betrachtung anderer Bereiche, die immer mehr an Bedeutung gewinnen, wie ESG und die Herkunft von Produkten und Dienstleistungen, die Finanzorganisationen von Dritten beziehen.

Alistair: Danke, Thomas. Erzähl mir doch bitte mehr über die Verordnung. Thomas: Ja, gerne. Ich habe zu Beginn erwähnt, dass sich diese Verordnung offensichtlich auf New York und den Bundesstaat New York sowie auf Finanzorganisationen konzentriert, die ihren Sitz in diesem Bundesstaat haben und dort tätig sind. Es ist jedoch wichtig zu beachten, dass das NY DFS von Anfang an bestimmte Ausnahmen festgelegt hat, deren Zweck nicht darin besteht, zu sagen, dass Sie keinen Aspekt der Verordnung einhalten müssen, sondern dass je nach Art Ihrer Organisation die Art und der Umfang der Kontrollen reduziert werden können. Wenn wir also auf der linken Seite Organisationen sehen, die weniger als 10 Mitarbeiter, weniger als 5 Millionen Dollar Bruttoeinnahmen und weniger als 10 Millionen Dollar an kurzfristigen Vermögenswerten haben, und unten diejenigen Organisationen, die keine Kontrolle oder keinen Zugriff auf Informationssysteme mit nicht öffentlichen Informationen haben, müssen diese Organisationen auf der rechten Seite diese Kontrollen nicht einhalten. Wenn Sie also die oberste Ebene betrachten, benötigen sie keinen formellen CESO. Es gibt Aspekte rund um Anwendungssicherheit, Audit-Trailing, Schulungen und Überwachung, die nicht formal anwendbar sind. Was meine ich damit? Sie können diese Aspekte dennoch als Best-Practice-Rahmenwerk und als allgemeine Best-Practice-Methodik und -Ansatz implementieren. Aber aus regulatorischer Sicht und bei der Validierung gegenüber der Regulierungsbehörde selbst müssen sie nicht nachweisen, dass sie über einen CESO verfügen und die Anforderungen erfüllen, die mit einer übergreifenden Rolle für das Management der Cybersicherheit im Unternehmen einhergehen. Also ja, die NIDFS hat eine Reihe von Ausnahmen festgelegt, die auch jetzt noch gelten, wenn wir uns die vorgeschlagenen Regeln ansehen, worauf ich gleich noch näher eingehen werde, da es kürzlich vorgeschlagene Aktualisierungen des Rahmens gab, die voraussichtlich noch in diesem Jahr in Kraft treten werden.

Melissa: Hey Thomas, nur kurz, ich habe eine kurze Frage. Kannst du bestätigen, dass diese Ausnahmen für das Unternehmen gelten und nicht für unsere Drittanbieter? Thomas: Diese gelten also für das, was die NYDFS als betroffenes Unternehmen aufführt. Das ist richtig. Ja. Das hätte ich erwähnen sollen. Entschuldigung. Wie alle guten Vorschriften und Rahmenwerke legt auch die NYDFS einige klar definierte Begriffe fest. Einer davon ist der Begriff „betroffenes Unternehmen”. Und genau diese Organisationen würden von diesen Ausnahmen profitieren.

Thomas: Ja, Melissa: Das ist alles. Vielen Dank. Alistair: Danke, Thomas. Um das noch etwas zu ergänzen: Es gibt einige Änderungsvorschläge, insbesondere in Bezug auf erweiterte Meldepflichten usw. Wir werden darauf später noch etwas näher eingehen. Vielen Dank. Bitte stellen Sie weiterhin Ihre Fragen. Thomas, könnten Sie bitte die Unterschiede zwischen Governance-Kontrollen und operativen Kontrollen erläutern? Thomas: Selbstverständlich. An dieser Stelle gehen wir nun etwas detaillierter darauf ein, wie die NYDFS als Rahmenwerk strukturiert ist. Wie Sie auf dem Bildschirm sehen können, gibt es 17 verschiedene Punkte. Jeder dieser Punkte steht für eine andere Reihe von Kontrollen. Das reicht von Cybersicherheitsprogrammen und -richtlinien bis hin zu Kontrollen, die das Asset Management, die sofortige und geschäftliche Kontinuität abdecken – ein Bereich, den wir später heute noch behandeln werden – sowie operative oder technische Kontrollen, wenn man so will, rund um das Schwachstellenmanagement und Penetrationstests, die Nutzung von Anwendungen, die Verwaltung des Zugriffs auf Systeme, Verschlüsselung und vieles mehr. Es ist wichtig zu beachten, dass ich sie bewusst so erfasst habe, da die NYDFS großen Wert darauf legt, einen strukturierten Ansatz oder ein strukturiertes Managementsystem zu schaffen, wenn man so will, bei der Entwicklung oder Umsetzung der NYDFS-Anforderungen unter Verwendung des übergreifenden Governance-Ansatzes. Daher halte ich es für sinnvoll, dass die Geschäftsleitung Richtlinien und Prozesse entwickelt, Risikomanagementbewertungen einführt und dann technische und operative Kontrollen prüft, die diese Governance-Kontrollen ergänzen können. Vielleicht ist Ihnen aufgefallen, dass vier bestimmte Bereiche fett gedruckt sind. Dies stellt dar, und hier kommen die Vorschläge ins Spiel, dass sich in diesen vier Bereichen die Formulierung des Gegenstands der Kontrollbereiche tatsächlich geändert hat. So betrachten wir beispielsweise unter 500.04 im aktuellen Fall den Chief Information Security Officer. Dies wurde nun in Cybersicherheits-Governance geändert, und ich möchte noch einmal einige der vorgeschlagenen Änderungen hervorheben, die erklären, dass Chief Information Security Officers zwar wichtig sind und eine wichtige Rolle bei der allgemeinen Aufsicht und Berichterstattung für eine Organisation spielen, dass aber mehr Wert auf den Einsatz von Führungskräften und Vorstandsmitgliedern gelegt wird, wenn dies für die Organisation angemessen ist. Wir stellen also fest, dass bei der Erweiterung vieler dieser Kontrollen viel mehr Wert darauf gelegt wird. Ähnliches gilt für die Reaktion auf Vorfälle und die Geschäftskontinuität. Es ist also nicht so, dass diese Themen in der aktuellen Version nicht vorhanden waren, sondern dass sie erweitert wurden. Ähm, und wenn Sie bitte noch einmal klicken könnten, ich glaube, es sollte eine kleine Animation erscheinen. Ja. Und es lohnt sich auch, diesen Punkt zu beachten. Auf der vorherigen Folie habe ich darüber gesprochen, dass es einige Ausnahmen gibt, die von der Art Ihrer Organisation abhängen. Wenn Sie beispielsweise keine nicht-öffentlichen Informationen oder Informationssysteme besitzen, gibt es eine weitere Regel, die sich um das Konzept der sogenannten Klasse-A-Unternehmen dreht, und wie Sie sehen können, geht diese fast ins andere Extrem. Organisationen mit einem Umsatz von mehr als 20 Millionen US-Dollar und mehr als 2.000 Mitarbeitern unterliegen zusätzlichen Regeln und Kontrollen. Um Ihnen ein Beispiel zu geben: Es besteht die Anforderung, dass jährlich eine unabhängige Prüfung durchgeführt wird, um die Anwendung der NYDFS-Vorschriften zu bewerten. Es ist interessant zu sehen, wo diese Ausnahmen beibehalten werden, um zu sagen, dass wir Unternehmen mit fünf oder weniger Mitarbeitern verstehen, die nur sehr wenig oder gar keinen Kontakt mit sensiblen Informationssystemen haben. Für sie könnte einiges davon zu viel sein. Um, und deshalb brauchen wir ein konsolidierteres Kontrollsystem. Und das andere Extrem für diese großen, ähm, größeren Organisationen sind zusätzliche Kontrollen, die wir ihnen auferlegen müssen. Es gibt also viele Veränderungen, viele Ähnlichkeiten mit der Struktur und dem Zweck der NYDFS, aber es gibt einige spannende Entwicklungen in Bezug auf die Art der Kontrollen, die sie einführen und ausweiten.

Alistair: Nun, eines der Dinge, die ich besonders interessant finde, Thomas, ist, dass, wenn Leute einige dieser vorgeschlagenen Änderungen angesprochen haben, insbesondere im Zusammenhang mit einigen der erweiterten Meldepflichten, es einige Bedenken gab, wie die Leute in der Lage sein werden, effektiv zu melden, zum Beispiel sagen wir mal, es wird eine 72-Stunden-Meldepflicht vorgeschlagen, wenn ein privilegierter Account oder ein unbefugter Benutzer Zugriff auf einen privilegierten Account erhält oder wenn Ereignisse zu Ransomware oder in einigen Fällen sogar zu Erpressung und Zahlungen geführt haben. Die Leute sind besorgt darüber, wie sie diese Verpflichtungen erfüllen sollen. Was ich sehr interessant fand, ist, dass es hier eine gewisse Parallele zu dem gibt, was wir im Bereich des Datenschutzes insgesamt gesehen haben, wo wir verschärfte Meldepflichten für Dinge wie die DSGVO gesehen haben. Anfangs gab es einige Kontroversen und Bedenken darüber, wie das umgesetzt werden sollte, aber dann haben wir ziemlich schnell gesehen, dass die Branche und die Mechanismen entsprechend reagiert haben, um sicherzustellen, dass die Menschen in der Lage waren, solche Vorfälle und Ereignisse rechtzeitig zu erkennen. Dann haben wir damit begonnen, dies in die jeweiligen Verträge mit nachgelagerten Anbietern aufzunehmen, sodass, wenn beispielsweise ein Dritter einen Vorfall hatte und ein betroffenes Unternehmen entsprechend reagieren musste, die Mechanismen sowohl vertraglich als auch technologisch vorhanden waren, um dies zu unterstützen. Es gab also sicherlich einige interessante Gespräche im Zusammenhang mit den vorgeschlagenen Änderungen. Ich bin sicher, Sie haben das auch so erlebt.

Thomas: Auf jeden Fall. Und ja, das ist immer einer der wichtigsten Bereiche, mit denen wir konfrontiert sind. Ich weiß, dass das nicht nur für diesen Bereich gilt, sondern auch für andere, die Sie erwähnt haben. Wenn man sich den Datenschutz insgesamt ansieht, beispielsweise in der DSGVO und sogar in der neueren CPA in Kalifornien mit dem neuen Datenschutzgesetz, dannist offensichtlich wichtig für die Regulierungsbehörden selbst, und ich denke, dass sie das größtenteils auch berücksichtigen, was die Benachrichtigungen an die Regulierungsbehörden angeht, insbesondere wenn es um Datenverstöße geht und um die Vielfalt der Arten von Organisationen, mit denen sie zu tun haben. Vieles davon wird also berücksichtigt, und es ist wichtig, das zu beachten. Also ja,

Alistair: Fantastisch. Thomas: Wenn ich also nach vorne schaue, habe ich bereits erwähnt, dass es einige Änderungen gegeben hat. Ich werde kurz auf einige der vielleicht relevanteren Bereiche eingehen. Ich habe sie anhand von drei wesentlichen Änderungen identifiziert. Eine davon habe ich als Politik- und Prozessentwicklung bezeichnet, eine weitere als verbesserte operative Kontrolle und die dritte als Vorfälle und Geschäftskontinuität. Alle drei haben das übergeordnete Ziel, die Konzepte der besten Sicherheitspraktiken zu verbessern und zu optimieren. Beginnen wir also mit dem ersten Punkt, der Politik- und Prozessentwicklung. Es gab schon immer einen Bedarf an Sicherheitsrichtlinien innerhalb der NYDFS, und sie haben oft eine Reihe von Richtlinien aufgelistet, die von der Zugangskontrolle bis zur Vermögensverwaltung reichen, zum Beispiel Vorfallrichtlinien und so weiter und so fort. Und wir haben erneut eine Zunahme oder eine scheinbare Zunahme durch die vorgeschlagene Änderung festgestellt, nicht in Bezug auf den Umfang der Richtlinien und Verfahren oder der Verfahrensdokumentation, sondern in Bezug auf Verbesserungen dieser Dokumente. Um Ihnen ein Beispiel zu geben: Das sofortige Management und die Geschäftskontinuität blieben in der aktuellen Verordnung erhalten. Dies wurde erweitert, um eigene vorgeschriebene Kontrollen und die Art und Weise, wie ein Kontinuitätsplan tatsächlich entwickelt wird, sowie die wichtigsten Aspekte, die abgedeckt werden sollten, zu berücksichtigen. Ähm, ebenso für das Asset Management, zum Beispiel eine Verbesserung der Richtlinie und die Notwendigkeit, dass die Richtlinie Produkte am Ende ihrer Lebensdauer einbezieht, zum Beispiel, was mit einem Asset am Ende seiner Lebensdauer geschieht und wie es auf angemessene Weise entsorgt wird. Es gab also eine Zunahme der Governance vom Konzept der Richtlinie und des Prozesses, bevor man sich die technischen Kontrollen und die verbesserten operativen Kontrollen ansieht, und ich habe dort drei wichtige Aspekte erwähnt: Authentifizierungs-Assets und Bedrohungsüberwachung. Auch dies sind Bereiche, die bereits im aktuellen Rahmenwerk existierten, aber erweitert wurden, undIn einigen Fällen wurden Anpassungen vorgenommen, die teilweise recht erheblich sind. Nehmen wir zum Beispiel die Authentifizierung. Die NYDFS hat in den letzten zwei bis drei Jahren festgestellt, dass eine Kontrolle, die von vielen Unternehmen nicht ausreichend umgesetzt wurde, die Multi-Faktor-Authentifizierung betraf. Es gibt jetzt eine separate Kontrollmaßnahme, die sich ausschließlich auf MFA konzentriert, und auch dieser Aspekt ist in den Zugriffskontrollkomponenten des NYDFS enthalten und wurde erweitert. Es wurde also die Notwendigkeit erkannt, die Anforderungen an die Entwicklung von MFA oder die Punkte im Prozess oder im System, an denen MFA eingesetzt wird, zu verschärfen. Ähnliches gilt für die Überwachung von Bedrohungen und die Häufigkeit, mit der Schwachstellenanalysen und Penetrationstests durchgeführt werden. Und schließlich, wie wir in wenigen Augenblicken sehen werden, gibt es eine Erweiterung, und zwar eine ziemlich bedeutende Erweiterung, was die Reaktion auf Vorfälle, das Vorfallmanagement und den gesamten Lebenszyklus der Geschäftskontinuität und der Notfallwiederherstellung, den Planungsprozess und die Tests betrifft. Interessant an diesen drei Punkten ist, dass jeder Aspekt davon aus Sicht Dritter in gewissem Maße verbessert wurde. So ist beispielsweise die Art und Weise, wie die Richtlinien für Dritte gestaltet sind, erforderlich, und was innerhalb dieser Richtlinien für Dritte erforderlich ist, die Beziehung zwischen Ihren Dritten und einigen der technischen Kontrollen sowie das Maß an Reaktion, das ein Dritter Ihnen bieten sollte, wenn er einen Vorfall oder ein Ereignis erleidet, das ihn dazu veranlassen würde, beispielsweise einen Kontinuitätsplan in Kraft zu setzen. Es besteht also eine starke Verbindung zum Management von Dritten über alle drei dieser Änderungen hinweg.

Alistair: Ich bin mir bewusst, dass es noch einige weitere bedeutende Änderungen gibt, die sich auf die Reaktion der Menschen auswirken werden. Thomas, basierend auf Ihren bisherigen Erfahrungen mit MIDFS. Ich weiß, dass der Konsultationsprozess zur Einholung von Feedback bis Januar läuft. Haben Sie eine Vermutung, wann die Menschen mit der Umsetzung rechnen? Thomas: Ja. Normalerweise geben sie bei solchen Prozessen eine Orientierung, dass sie es immer innerhalb von Tagen tun. Ich glaube, es sind 180 Tage oder 6 Monate ab dem Datum der Änderung. Ähm, und das Datum der Änderung war etwa Oktober 2022. Ich denke also, wir können von der aktuellen Erwartung ausgehen, da die Konsultation Ende Januar abgeschlossen wurde, und wenn dieser Zeitplan stimmt, dann können wir von einem Zeitraum zwischen April und Mai dieses Jahres ausgehen. Das sind also nicht allzu weit entfernte zwei Monate oder so. Ähm, aber ja, die Beratungsphase ist nun Ende Januar abgeschlossen worden. Ähm, was auch bedeutet, dass wir keine wesentlichen Änderungen erwarten sollten, außer denen, die bereits im Vorschlag enthalten sind.

Alistair: Würden Sie also generell empfehlen, Thomas, dass wir zunächst sicherstellen, dass wir über die entsprechenden Kontrollmechanismen verfügen, um den aktuellen Entwurf in seiner jetzigen Form in irgendeiner Weise umsetzen zu können? Thomas: Auf jeden Fall. Ja. Ich meine, wenn es erst einmal so weit ist, gibt es, wie gesagt, sobald die Änderung vorgenommen wurde, den Prozess zur Überprüfung, der nun abgeschlossen ist. Es ist klar, dass wir zwei bis drei Monate vor uns haben, ist es ein sehr geeigneter Zeitpunkt, um sich mit diesen Änderungen zu befassen, zu prüfen, wie bedeutend sie sind, die Lücken zwischen dem, was Sie derzeit haben, und dem, was geändert werden muss, zu bewerten und vielleicht die bedeutenderen Bereiche zu betrachten, die sich geändert haben, wie beispielsweise die Geschäftskontinuität. Ähm, ja, ich denke, es ist ein geeigneter Zeitpunkt, um mit diesen Anpassungen zu beginnen oder zumindest diese Überprüfungen durchzuführen, um zu verstehen, wie bedeutend diese Lücken auf der Grundlage Ihrer aktuellen Aktivitäten sind.

Alistair: Das leuchtet ein. Wie gehen wir nun konkret vor, um Drittanbieter zu identifizieren und zu klassifizieren? Eine Frage, die uns schon mehrfach gestellt wurde, ist, wie wir größere SAS-Unternehmen einbeziehen, die in der Regel weniger zögern, Informationen weiterzugeben und beispielsweise Pentests vor Ort zuzulassen. Thomas: Ja, das ist immer ein Dilemma. Es ist immer ein Szenario, das ein wenig Verwirrung stiftet, wenn man mit diesen sehr großen Organisationen zu tun hat. Ähm, und Cloud-Anbieter sind immer ein gutes Beispiel dafür. Ich werde gleich darauf zurückkommen. Also ja, wenn man von Anfang an darüber nachdenkt, wenn man mit dem Prozess beginnt, müssen wir natürlich unsere Drittanbieter verstehen. Wir müssen in der Lage sein, zu identifizieren, wer unsere Drittanbieter sind, was sie tun, wo sie sich geografisch befinden, wie groß sie sind, wie komplex sie sind und wie stark sie involviert sind. Aus Sicht von MIDFS geht es natürlich darum, ob sie Zugang zu nicht öffentlichen Informationen oder Informationssystemen haben. Welche Art von Dienstleistungen bieten sie an, die für unser Geschäftsziel als Unternehmen als geschäftskritisch angesehen werden können? Es geht also darum, jeden einzelnen Drittanbieter zu identifizieren und ein Profil von ihm zu erstellen. Es geht darum, zu verstehen, welche Datenmengen sie verarbeiten, wo sie sich geografisch befinden und wie groß ihre Organisation ist. Sind sie Alleinlieferanten? Dies ist oft ein sehr wichtiger Bereich, den man hervorheben und beachten sollte. All diese Informationen helfen dabei, ein Bild davon zu erstellen, wo sich Ihre Drittanbieter befinden, und beginnen damit, zusammenzufügen, wie wir sie bewerten oder wie wir sie bewerten oder mit ihnen zusammenarbeiten werden, um zu verstehen, welche Kontrollen wir ihnen auferlegen oder anhand welcher Kriterien wir sie im Hinblick auf das NYDFS-Rahmenwerk bewerten müssen. Einer der wichtigsten Aspekte dabei sind natürlich die Beziehungen. Man muss anfangen, über die Lieferkette nachzudenken, die Wechselbeziehungen zwischen all diesen verschiedenen Lieferanten zu verstehen und zu erkennen, wie komplex die Lieferkette ist. Und natürlich nutzt man dafür einige der profilbasierten Informationen. Ähm, und sobald wir natürlich an dem Punkt angelangt sind, an dem wir wissen, wer unsere Lieferanten sind, wie groß sie sind, wie viele Lieferanten es gibt, wo sie sich befinden und welche Art von Produkten und Dienstleistungen sie uns liefern, können wir hoffentlich damit beginnen, zu überlegen, wie wir diese Organisationen einstufen. Also diejenigen Organisationen, die sehr sensible Informationen oder Daten besitzen, zum Beispiel, ähm, die vielleicht große Mengen an Finanzunterlagen besitzen, die uns bei der Verarbeitung helfen. Vielleicht möchten wir diese natürlich als kritische Dritte der Stufe 1 priorisieren, im Gegensatz zu anderen Organisationen, die für uns Beratungsleistungen erbringen, vielleicht vor Ort in unseren Räumlichkeiten. Aber vielleicht würden sie aufgrund der Komplexität des Geschäfts weiter unten in der Kette der gestaffelten Lieferanten stehen. Also Stufen 3, 4, 5, wenn nötig. Alistair: Entschuldigung. Entschuldigung. Kurze Frage. Ich weiß, dass ein pragmatisches und angemessenes Risikomanagement auf der Grundlage von Profiling und Taring in dieser Hinsicht so ziemlich die Branchennorm ist. Wie viel Spielraum und Flexibilität lässt die NYDFS in Bezug auf das Verständnis, wie kompensierende Kontrollen andere Anforderungen erfüllen können? Nehmen wir zum Beispiel an, dass sie die meisten Kernanforderungen erfüllen, aber es gibt ein oder zwei Lücken, die aufgrund von Profiling und Taring möglicherweise nicht anwendbar sind. Können kompensierende Kontrollen das unterstützen?

Thomas: Äh, bis zu einem gewissen Grad schon. Das hängt von der Art der Kontrolle ab. Ähm, die NYDFS macht in vielen Fällen deutlich, wann eine Kontrollmaßnahme als angemessene Absicherung für etwas angesehen werden kann, das idealer gewesen wäre. Aus Sicht der Unternehmensführung besteht jedoch weiterhin die Notwendigkeit einer formellen Bestätigung und Unterzeichnung. Vor dem Vorschlag lag der Schwerpunkt sehr stark auf dem CEO und darauf, sicherzustellen, dass dieser seine Sorgfaltspflicht erfüllt und die Kontrollen ausreichend sind und korrekt angewendet werden. Ja, ich sehe keine Änderung in diesem Punkt im Vorschlag.

Alistair: Interessant. Vielen Dank. Wenn es also darum geht, auf der Grundlage kontrollierter Effizienz angemessene Abhilfemaßnahmen zu ergreifen, gehen wir davon aus, dass wir aus dieser Perspektive eine Reihe von Verpflichtungen haben und dass wir tatsächlich damit beginnen müssen, alle Kommentare oder Beobachtungen, die wir machen, zu verfolgen. Wie sehen Sie die Anwendung der Sorgfaltspflicht? Thomas: Ja, ich denke, hier gibt es ein paar wichtige Punkte, und hier kommen die NYDFS-Vorschriften und bestimmte Kontrollen in den Vorschriften zum Tragen, die sehr relevant und entscheidend sind. Wenn Sie also auf höchster Ebene darüber nachdenken, ein Journal anzuwenden und Dritte zu bewerten, wo fangen wir dann an und sollten immer damit beginnen, zu verstehen, was Ihr Risiko durch Dritte ist. Wir haben uns nun mit dem Konzept befasst, ein Bild unserer Dritten zu erstellen, und dabei erneut betont, dass es notwendig ist, ein klares Risikomanagement-Rahmenwerk zu entwickeln, wie es die NYDFS vorschlägt. Dieses bietet eine klare Struktur in Bezug auf die Risiken Dritter, die gemanagt, identifiziert, aufgezeichnet und kontinuierlich überprüft werden müssen. Das ist wirklich der erste Schritt, um zu ermitteln, worauf wir uns konzentrieren müssen, wenn wir unsere Dritten betrachten. Denn sobald wir diese Risiken identifiziert und ein Programm zur Erfassung dieser Risiken eingerichtet haben, können wir damit beginnen, die am besten geeigneten Kontrollen zu ermitteln, nicht nur aus Sicht der Unternehmensführung, sondern auch aus Sicht der Überwachung, die wir unseren Dritten vermitteln müssen. Wenn ich sage, dass wir unseren Drittanbietern diese Kontrollen auferlegen müssen, dann meine ich damit sowohl aus vertraglicher Sicht, dass wir von ihnen erwarten, dass sie diese Kontrollen auf der Grundlage ihrer Leistungen für uns umsetzen, als auch die fortlaufende Sorgfaltspflicht, die fortlaufende Überprüfung, die Audits und die Leistungsüberwachung, um sicherzustellen, dass die vom NYDFS geforderten Kontrollen, die zur Bewältigung dieser Risiken notwendig sind, natürlich auch ordnungsgemäß umgesetzt werden. Und natürlich trägt der zyklische Charakter dieses Prozesses dazu bei, Verbesserungsmöglichkeiten zu schaffen und potenzielle Schwachstellen zu erkennen, sei es in Bezug auf ein Programm einer Partei aus organisatorischer Sicht oder auf die Verbesserung der Sicherheitslage dieser Drittanbieter.

Thomas: Genauer gesagt. Thomas: Ja. Also, abgesehen davon, wenn wir den Prozess der Risikobewertung durchlaufen haben und wissen, welche Art von Kontrollen wir mit dem Dritten besprechen müssen, gibt es noch weitere Fragen, die wir uns stellen sollten. Und wie Sie sehen können, habe ich die fünf einzelnen Kontrollbereiche hervorgehoben. Diese fünf Kontrollbereiche beziehen sich auf Hinweise mit Dritten. Das heißt, wenn es Anforderungen gibt, die in irgendeiner Form die Interaktion mit Dritten beinhalten. Es ist also immer wichtig, sich zu fragen, was wir suchen und was wir von Dritten verlangen müssen, bevor wir mit ihnen zusammenarbeiten und wenn wir beginnen, diese Verträge und Vereinbarungen zu formalisieren. Zunächst einmal: Inwieweit werden die Dritten an unserem Produkt und unserer Dienstleistung beteiligt sein? Lagern wir einen wesentlichen Bestandteil oder eine wesentliche Funktion an einen Dritten aus? Übergeben wir Datensätze und andere Informationen an diese Organisation zur Verwaltung? Sind wir in Bezug auf Cybersicherheitspraktiken von dem Dritten abhängig? Das Konzept des Outsourcings ist für die NYDFS nicht neu. Insbesondere für kleinere Organisationen ist es unserer Meinung nach ein sehr gängiger Ansatz, Cybersicherheitsexperten, professionelle Organisationen und Beratungsunternehmen zu beauftragen, bis hin zum Outsourcing der CIO-Funktion für Unternehmen. Das war etwas, das innerhalb des aktuellen Rahmens ziemlich relevant und zutreffend war. Und natürlich wirft dies eine ganze Reihe neuer Fragen auf, um sicherzustellen, dass – und auch hier betont MIDFS ganz klar, dass bei einem gewissen Grad an Outsourcing oder Abhängigkeit von bestimmten Sicherheitsbest Practices oder Beratungsleistungen durch einen Drittanbieter oder einen Dritten, sorry, dass diese weiterhin die Anforderungen von MIDFS erfüllen. Es geht nicht so sehr darum, dass wir all diese Informationen an sie weitergeben oder dass wir einen Dritten damit beauftragen, dies für uns zu verwalten, damit wir nichts tun müssen. Der Standard legt also großen Wert darauf, dass Sie auch bei umfangreichem Outsourcing und Abhängigkeit von Dritten Ihre Sorgfaltspflicht gegenüber diesen erfüllen und sicherstellen, dass sie die MIDFS einhalten. Und schließlich stellt sich natürlich die Frage, ob der Dritte mit kritischen Systemen und Informationen interagiert. Es gibt also einige wichtige Fragen, die Sie zu Beginn Ihrer Reise stellen sollten, aber auch regelmäßig, wenn Sie mit dem Dritten zusammenarbeiten, um sicherzustellen, dass die von der NYDFS vorgeschriebenen Best Practices ausreichend und korrekt eingehalten werden. Wie Sie vielleicht auf der letzten Folie gesehen haben, gab es eine bestimmte Kontrolle 500.11, die sich auf die Informationssicherheitsrichtlinie für Dritte konzentrierte. Und hier zerlegt das Framework dann wirklich die einzelnen Komponenten bei der Einrichtung der Sorgfaltspflicht gegenüber Dritten. Wenn wir also zur nächsten Folie gehen, werden vier Schlüsselbereiche angesprochen. Identifizierung und Risikobewertung für jeden Dritten. Cybersicherheitspraktiken oder Mindest-Best-Practices. Sorgfaltspflicht zur Bewertung der Angemessenheit dieser Cybersicherheitspraktiken und regelmäßige Bewertungen, die für jeden Dritten durchgeführt werden müssen. Entschuldigen Sie bitte.

Alistair: Oh, Thomas, Thomas: Wie Sie sehen können, gibt es, ähm, ja, das sind vier Schlüsselbereiche der Sicherheitsrichtlinie, die, ähm, derzeit in der aktuellen Version meines DFS enthalten sind. Sie wurden auch in der vorgeschlagenen Version stark erweitert, aberunterstreicht wirklich den gesamten schrittweisen Prozess, den ich in Bezug auf die verständlichen Risiken der Organisation identifiziert habe, ähm, ähm, wenn man sich die NYDFS aus jeder Kontrollklausel ansieht, welche die relevantesten Sicherheitspraktiken sind, die bei Dritten implementiert werden müssen, und dann die Arten der Sorgfaltspflicht, also ob es sich um Audits handelt, ob es sich um proaktive Bewertungen handelt, ob es sich um Leistungsbewertungen handelt, und all dies unterstreicht dann die umfassenderen Risikomanagementprogramme für Dritte.

Alistair: Also, eine Frage dazu, Thomas, die lautet Thomas: Ja Alistair: Also, in Bezug auf diese Sicherheitsrichtlinien, die ich als eher normatives Dokument betrachte, das in groben Zügen umreißt, was wir tun werden, und das in der Regel durch den Prozess und dann durch den Nachweis, dass der Prozess befolgt wird, ergänzt wird. Wenn wir also aus dieser Perspektive eine Selbstprüfung durchführen wollten, welche Art von Nachweisen wären Ihrer Meinung nach akzeptabel, um die Einhaltung der übergeordneten Grundsatzerklärungen nachzuweisen? Thomas: Ja. Also, wenn wir uns nur auf die Sicherheitsrichtlinie für Dritte beziehen, gibt es hier ein paar wichtige Punkte. Wie Sie bereits gesagt haben, scheint es in erster Linie darum zu gehen, ob Sie über eine Richtlinie verfügen, die all diese Praktiken festlegt, aber darüber hinaus betrachten wir auch Vereinbarungen und vertragliche Erklärungen. Wie integrieren Sie diese Praktiken in die Vereinbarungen mit Dritten im Hinblick auf Leistungsbeurteilungsgespräche und das Verständnis des schrittweisen Prozesses, wie Sie diese Sorgfaltspflicht erfüllen, und die daraus resultierenden Folgen sind ebenfalls von entscheidender Bedeutung. Wenn Sie also über das Konzept nachdenken, dass wir unsere Dritten regelmäßig prüfen, welche Beweise können wir Ihnen dann vorlegen, um zu zeigen, dass wir diese Sorgfaltspflicht erfüllt haben und dass sie ihre Leistung erbringen? Wenn sie ihre Leistung nicht erbringen, dann ist hier der Punkt. Es geht nur darum, einen Rahmen oder einen Prozess oder eine Funktion zu schaffen, die es uns ermöglicht, Risiken und Probleme zu erfassen, die sich aus dieser Sorgfaltspflicht und den laufenden Prozessen ergeben, um diese Probleme zu beheben und Korrekturmaßnahmen zu ergreifen. Wenn Sie Richtlinien in einem weiteren Sinne betrachten, ist es wiederum wichtig zu beachten, dass ich dies nicht gezählt habe. Ich denke, Sie sehen zwischen 12 und 13 Mal, dass Richtlinien in dem Rahmen erwähnt werden. In einigen Organisationen, wenn man an diese Klasse A oder Unternehmen denkt, kann es sein, dass, wenn man einen Dritten der Klasse A hat, dieser 13 separate Richtlinien hat und diese Richtlinien in einzelnen Verfahrensdokumenten und anderen Nachweisen unterstreicht, die er vorlegen kann. Aber wenn man eine andere Organisation mit fünf oder fünf Mitarbeitern ist, wie wendet man das an? Man kann nicht so viele komplexe Teile, Richtlinien und Dokumente entwickeln. Aber es ist wichtig. Es gibt also viel Flexibilität, um zu sagen, ähm, solange es für die Organisation angemessen ist. Es gibt also ein paar bewährte Verfahren, die wir anwenden können, wenn es darum geht, Nachweise zu beschaffen oder Nachweise zu verlangen, sei es in Form von Unterlagen, sei es in Form von, ähm, Besprechungen, Besprechungsprotokollen, sei es in Form von Aufzeichnungen darüber, wie Risiken gemanagt werden. Aber all das sollte auf der Grundlage der Art des Unternehmens, der Art des Dritten oder der Komplexität, sorry, des Dritten berücksichtigt werden.

Alistair: Ja, das ist ein guter Punkt. Ich finde es auf jeden Fall beruhigend zu wissen, dass dabei ein gewisses Maß an Pragmatismus im Sinne einer angemessenen Ressourcenverteilung zum Tragen kommt. Ich bin mir bewusst, dass einige Unternehmen den Vorteil haben, über ganze Audit- und Compliance-Teams zu verfügen, die mit Infosc zusammenarbeiten, um dies zu steuern, während andere, wie Sie sagten, diese Möglichkeit sicherlich nicht haben werden. Pragmatismus scheint also hier sehr wichtig zu sein. Thomas: Ja, auf jeden Fall. Alistair: Brillant. Ich würde gerne etwas mehr über den Prozess der Reaktion auf Vorfälle erfahren. Also aus der Perspektive der Kontinuität, der Wiederherstellung und der Meldung von Vorfällen. Könnten Sie das bitte etwas näher erläutern, Thomas?

Thomas: Auf jeden Fall. Ich habe zu Beginn erwähnt, dass dies ein Bereich ist, der einige Umwälzungen erfahren hat, was die Ausweitung der Kontrolle und die Erweiterung der Beschreibung der Kontrolle angeht. Es ist interessant, dass sie alles zusammenfassen. Sofortige Kontinuitätswiederherstellung oder sofortige Geschäftskontinuität und Notfallwiederherstellung. Das ist ganz schön viel auf einmal. Aber es ist alles unter einer Kontrolle zusammengefasst. Und was sie getan haben, ist, dass sie dieses Konzept der Entwicklung eines sofortigen Plans, einer sofortigen Richtlinie und der Entwicklung einer Reihe von BCDR-Richtlinien erweitert haben oder erweitern werden. Ich habe oben auf dieser Seite ein Zitat, das die neuen Nydfs verlangen werden, und darin heißt es, dass Unternehmen bei der Entwicklung von Reaktionsplänen darauf achten sollten, Cybersicherheitsvorfälle zu berücksichtigen, einschließlich störender Ereignisse wie Ransomware-Vorfälle. Es ist interessant, dass dies ein konkretes Zitat direkt aus dem Rahmenwerk ist. Ich denke, es unterstreicht, dass das Rahmenwerk bzw. die Regulierungsbehörde erkennt, dass einige dieser Bedrohungen immer relevanter werden, immer mehr zunehmen. Deshalb fordern sie Unternehmen auf, darauf zu achten, wie sie mit solchen Störfällen umgehen. Damit wird die Anforderung, wie Sofortmaßnahmen definiert werden sollten, grafisch erweitert. Die Notwendigkeit, Prozesse für sofortige Reaktionen festzulegen, um Vorfälle sofort einzudämmen, auf Vorfälle zu reagieren und sie in Bezug auf Kommunikationswege zu eskalieren. Die tatsächliche Berichterstattung über Cybersicherheitsvorfälle und damit verbundene Reaktionsmaßnahmen hat ebenfalls eine Veränderung und Erweiterung erfahren. Hier kommt natürlich auch der Aspekt der Dritten ganz klar ins Spiel. Natürlich betrachten Sie unsere eigenen Methoden, wie wir auf einen Vorfall, ein Cybersicherheitsereignis, reagieren. Wenn es um Dritte geht, ist es aus vertraglicher Sicht wichtig zu betonen, dass Sie, wenn Sie selbst für diese Systeme, zum Beispiel Finanzdaten, verantwortlich sind, uns über einen geeigneten Kommunikationskanal benachrichtigen müssen, wenn Sie einen Verstoß oder ein Ereignis erleiden. Daher wird zusätzlicher Wert auf das Konzept der Rollen und Verantwortlichkeiten gelegt, auf die Entscheidungsfindung im Unternehmen in Bezug darauf, welche Maßnahmen wir ergreifen müssen und zu welchem Zeitpunkt wir eskalieren müssen, sei es von der Drittpartei zurück zu uns als Organisation oder auch umgekehrt. Also von Ihnen als Organisation zurück zu Ihren Kunden und zu den Regulierungsbehörden selbst. Aus Sicht des Instant Managements hat sich also einiges getan, was die Entwicklung von Reaktionsplänen und die damit verbundenen Rollen, Verantwortlichkeiten und Ziele angeht. Und auch das spiegelt sich sehr gut wider, wenn man sich den Text ansieht, wenn man sich die Anforderungen ansieht, die andere Rahmenwerke wie die ISOs und NISTs weltweit schon seit vielen Jahren formulieren. Ich finde es also ziemlich ermutigend, dass die NYDFS viele dieser Best Practices ebenfalls übernommen hat.

Alistair: Ja, ich denke, das wird auch in den jüngsten Änderungen deutlich. Ihr Kommentar und Ihr Zitat zu disruptiven Ereignissen wie Ransomware, die Tatsache, dass sie in einigen der vorgeschlagenen Änderungen ausdrücklich erwähnt werden, dass man innerhalb von, ich glaube, 24 Stunden über eine Erpressungszahlung informieren muss. Thomas: Ja. Alistair: Mit einer anschließenden Benachrichtigung, warum das notwendig war. Mir persönlich gefällt die Betonung der Tatsache, dass die Leute begründen müssen, warum sie keine angemessenen Maßnahmen getroffen haben, um darauf zu reagieren, indem sie widerstandsfähig sind und sich im Sinne eines Ransomware-Ereignisses wieder erholen können. Das ist also ziemlich aufschlussreich und zeigt die Absicht und Richtung, die meiner Meinung nach in der fraglichen Dokumentation zum Ausdruck kommt.

Thomas: Auf jeden Fall. Ich denke, dass diese Unternehmen viel mehr Verantwortungsbewusstsein und Offenheit an den Tag legen. Ja, ich denke, es wird interessant sein, einige dieser Rechtfertigungen zu sehen . Alistair: Wenn, wenn und wenn, wenn sie auftreten. Thomas: Hoffentlich gibt es nicht zu viele Leute, die Zahlungen leisten, und im Allgemeinen haben sie eine robuste und widerstandsfähige Methode, um kompromittierte Daten wiederherzustellen. Thomas: Und das bringt uns natürlich zum nächsten Thema, das sich wieder um BCDR dreht. Ich habe bereits zu Beginn erwähnt, dass BCDR kein neuer Begriff bei NYDFS ist. Das Interessante daran war jedoch, dass es in den alten Versionen sehr locker gehandhabt wurde. Das kann in Ordnung sein, wenn man mit dem Thema vertraut ist. Die Schwierigkeit, Themen wie BCDR leicht verständlich zu machen, besteht darin, dass es sich um ein an sich recht komplexes Thema handelt. Ich finde es also wieder ermutigend zu sehen, dass sie diese Idee aufgegriffen haben, was bei der Entwicklung einer Kontinuität im DR-Plan oder einer Reihe von Plänen erwartet wird, mit vielen Best-Practice-Leitlinien und Erwartungen, von denen viele andere Standards und Best-Practice-Rahmenbedingungen widerspiegeln, die es bereits gibt. Was sind also einige der wichtigsten Bereiche, die damit abgedeckt werden? Zunächst einmal die Erwartung, dass Sie alle Ihre Vermögenswerte, Ihre gesamte Infrastruktur und Ihre kritische Infrastruktur, die für einen kontinuierlichen Betrieb unerlässlich ist, identifizieren sollten. Das ist immer der Ausgangspunkt, den wir betrachten, wenn wir über Kontinuitätspläne und die Gestaltung von Szenarien diskutieren, also ausgehend von Business-Impact-Assessments und der Identifizierung der für uns als Organisation kritischen Vermögenswerte. Sollten wir von einem Ereignis betroffen sein? Was müssten wir so schnell wie möglich wiederherstellen? Zweitens die Kommunikation. Also der Einsatz von Business-Continuity-Koordinatoren, die interne Kommunikation, wenn ein Plan aktiviert werden muss, aber auch die Kommunikation mit allen wichtigen Personen, und dies ist ein Text, der wiederum aus dem Rahmenwerk der Verordnung stammt. Also alle wichtigen Personen im Falle eines Notfalls. Was verstehen wir unter einer wichtigen Person? Wir betrachten sowohl interne als auch externe Personen. Extern betrachten wir wichtige Stakeholder, interessierte Parteien, von Kunden bis hin zu den Regulierungsbehörden selbst. Aber auch umgekehrt in Bezug auf Dritte, Unternehmen, auf die Sie sich möglicherweise verlassen, um einen bestimmten kritischen Teil Ihrer Vermögenswerte, Infrastruktur oder Prozesse zu unterstützen. Es ist also wichtig, klare Kommunikationskanäle zu haben, wenn Sie einen Kontinuitäts- und Wiederherstellungsplan entwickeln. Unabhängig davon, ob es sich um die Prüfung dieser Pläne oder deren Umsetzung handelt. Sollte ein Ereignis eintreten, müssen Dritte identifiziert werden, die für den weiteren Betrieb notwendig sind. Dies folgt auf die Kommunikation mit wesentlichen Personen, nicht nur auf deren Benachrichtigung, sollte ein Ereignis eintreten, um. Sollte eine Katastrophe eintreten, die Sie beispielsweise dazu zwingen würde, Ihren Betrieb an einen Backup-Standort oder in eine andere Umgebung zu verlegen. Aber wir müssen sicherstellen, dass wir, wenn wir von einem kritischen Dritten abhängig sind, der für unsere wichtigsten Vermögenswerte und Infrastrukturbereiche notwendig ist, im Falle eines Ausfalls oder einer Betriebsunterbrechung nicht in ernsthafte Schwierigkeiten mit unserem Unternehmen, unseren Kunden und unseren wichtigsten Stakeholdern geraten. Wir müssen sie in unseren Kontinuitätsprozess einbeziehen. Müssen wir sie aus Sicht der Tests einbeziehen? Und wenn wir einen Wiederherstellungsplan haben, umfasst dieser die Wiederherstellung an Backup-Standorten oder an Backup-Orten. Müssen wir diese Dritten ebenfalls einbeziehen, um sicherzustellen, dass sie auch innerhalb der von uns festgelegten Zeitrahmen liefern können? Es gibt also viele Erwartungen und viel Raum für Erweiterungen. Ich persönlich halte es für richtig, sicherzustellen, dass Sie eine vollständige Abdeckung für die Wiederherstellung aller Vermögenswerte, Infrastrukturen oder Systeme haben, die für das Unternehmen notwendig und wichtig sind.

Alistair: Eine der Dinge, die ich daraus wirklich mitnehme, ist interessant, dass Vertragsklauseln für die Kommunikation und Interaktion mit der Lieferkette so wichtig sind, um tatsächlich sinnvolle Lösungen dafür effektiv umsetzen zu können. Das ist also auf jeden Fall interessant. Thomas, wenn ich 30 Sekunden lang mit Ihnen im Aufzug stünde, wie würden Sie zusammenfassen, was wir tatsächlich tun müssten, um die Vorschriften umsetzen zu können? Thomas: Ja. Zunächst einmal müssen Sie Dritte identifizieren. Das ist immer ein wichtiger Ausgangspunkt. Man muss wissen, wer die Dritten sind. Welche Art von Daten sie verarbeiten, welche Art von Vermögenswerten sie verwalten, was sie für uns in unseren kritischen Betriebsabläufen tun, und das sollte Teil eines umfassenderen TPRM-Programms sein, in dem wir diese Dritten verwalten und die Art von Kontrollen festlegen, die wir ihnen auferlegen müssen, um sie zu überprüfen und zu bewerten, nicht zuletzt in den Bereichen, die wirgerade besprochen haben, in Bezug auf Vorfälle und Kontinuität, und natürlich, sobald wir diese Dritten identifiziert haben, beginnen wir, diese Risikobewertungen regelmäßig zu verstehen und zu entwickeln, und das ist das Wichtigste. Das ist niemals eine einmalige Sache, die man dann vergisst und in einer Schublade verschließt. Es ist ein regelmäßiger Prozess der Überprüfung der Risiken in Ihrer gesamten Landschaft. Zum Beispiel solche im Zusammenhang mit Phishing und Ransomware, die wir zu Beginn des Tages besprochen haben. Überprüfen Sie diese Vorschriften und stellen Sie sicher, dass Sie die Kontrollen kennen, die Dritte einhalten sollten. Wenn sie auf sensible Systeme zugreifen, sind die Zugriffskontrollen angemessen? Haben Sie eine Multi-Faktor-Authentifizierung in Betracht gezogen? Wenn sie mit sensiblen Daten umgehen, haben Sie einen Kommunikationsbaum, der festlegt, wie sie auf einen Vorfall oder ein Kontinuitätsereignis reagieren? Und drittens: Nutzen Sie die 500.11-Kontrolle, um eine Richtlinie für Dritte und ein Risikomanagementprogramm zu entwickeln. Und beginnen Sie erneut mit dem kontinuierlichen Überprüfungszyklus: Verfügen unsere Dritten über eine gute Sicherheitslage und, was noch wichtiger ist, entspricht diese den Erwartungen der NYDFS?

Melissa: Wunderbar. Vielen Dank, Thomas. Ich übergebe nun das Wort an unseren lieben Scott Lang, der Ihnen genauer erläutern wird, wie prevalent dabei helfen kann, einige dieser Vorschriften einzuhalten. Aber bevor wir das tun, starten wir noch eine letzte Umfrage. Also, übergebe ich das Wort an dich, Scott. Scott: Vielen Dank, Alistister. Ich möchte nur sicherstellen, dass Sie mich alle hören können. Okay, Melissa: Ja, klar. Hallo, Scott. Scott: Super. Großartig. Okay, super. Nur ganz kurz, Leute, ein oder zwei Folien darüber, wie prevalent Ihnen dabei helfen kann, die Einhaltung von Compliance-Anforderungen wie denen der NYDFS zu vereinfachen. Sehen Sie, letztendlich möchten Sie mit Ihrem Risikomanagementprogramm für Dritte drei Dinge erreichen, unabhängig davon, ob Sie ein Compliance-System nach dem Vorbild der NYDFS anstreben, einfach nur bessere Praktiken einführen oder sich gegen potenzielle Cyber-Bedrohungen oder andere Compliance-Probleme schützen möchten, die in Zukunft auftreten könnten. Und das ist Nummer eins: Beschaffen Sie sich die Daten, die Sie benötigen, um gute Entscheidungen zu treffen. Steigern Sie die Effizienz Ihres Teams und bauen Sie Silos zwischen den Gruppen ab, die sich ein wenig über Risiken durch Dritte streiten. Und schließlich sollten Sie Ihrem Programm die Möglichkeit geben, im Laufe der Zeit zu wachsen und sich weiterzuentwickeln, um sich ändernden Anforderungen gerecht zu werden. Wenn Sie dafür Tabellenkalkulationen verwenden, wissen Sie, und ich weiß, dass Sie wissen, dass das nicht der richtige Ansatz ist. Sie benötigen ein gewisses Maß an Automatisierung, um die richtigen Kontrollinformationen von Ihren externen Auftragnehmern, Anbietern und Lieferanten zu sammeln. Bringen Sie diese Daten an einen Ort, an dem Sie sie bearbeiten, bewerten und verstehen können, wer das höchste Risiko für Sie darstellt, und empfehlen Sie dann Abhilfemaßnahmen, um diese Risiken im Laufe der Zeit auf ein akzeptables Restrisiko zu senken. Ohne Daten geht es nicht, und wenn alle mitmischen, geht es auch nicht. Letztendlich besteht unser Ansatz zur Bewältigung des Problems des Risikomanagements bei Drittanbietern darin, die Einbindung von Lieferanten zu vereinfachen und zu beschleunigen. Wir bieten Ihnen eine einzige Informationsquelle und einen einzigen Prozess zur Verwaltung von Lieferanten während des gesamten Lebenszyklus. Wir optimieren diesen Prozess, schließen Lücken und decken Risiken ab und vereinen dann alle verschiedenen internen Teams, die möglicherweise mit Risiken durch Dritte zu tun haben, vom Zeitpunkt der Beschaffung und Auswahl eines neuen Lieferanten bis zum Zeitpunkt der Beendigung dieser Beziehung. Und das erreichen wir durch eine Kombination aus unseren Experten, unseren Daten – einer beispiellosen Datenmenge, die wir in die Plattform einspeisen, um Ihnen zu helfen, gute risikobasierte Entscheidungen im Bereich Cybersicherheit zu treffen – und einer Plattform zur Automatisierung von Arbeitsabläufen und Berichten, um alle Risiken, die Sie direkt vor sich sehen, zu schließen. Unser Ziel ist es, Ihnen und Ihrem Unternehmen zu helfen, smarter zu werden, Ihre Prozesse zu vereinheitlichen und Ihnen einen viel perspektivischeren Ansatz zu bieten, um das Problem der Risiken durch Dritte zu schließen. Ähm, was ich für Sie vorbereitet habe, ist eine Compliance-Checkliste, die speziell für NYDFS, ähm, 23 NYCRR 500 geschrieben wurde, Sie wissen schon, da da, was auch immer, ähm, es sind 13 Seiten, ähm, die die Vorschriften Kapitel für Kapitel durchgehen und dann Best-Practice-Fähigkeiten abbilden und schließlich zeigen, wie Premley jedem dieser Kontrollgruppenbereiche helfen kann, die Thomas heute in diesem Webinar besprochen hat. Das wird Ihnen als Teil der Nachbereitung zusammen mit der Aufzeichnung und weiteren Informationen zugeschickt. Damit beende ich meine Ausführungen und gebe das Wort zurück an Sie für Ihre Fragen. Entschuldigung.

Melissa: Wie Sie wissen, ist die Stunde fast vorbei, daher möchte ich mich noch bei Alice und Thomas und natürlich bei Ihnen, Scott, bedanken. Vielen Dank an alle für Ihre Fragen. Wir haben versucht, so viele wie möglich zu beantworten, aber wenn ihr noch dringende Fragen habt, könnt ihr gerne eine E-Mail an [email protected] senden, und wir leiten diese dann an die richtige Person weiter. Und zum Schluss möchte ich noch sagen, dass ich mich sehr freue, dass ihr heute alle dabei sein konntet, und ich hoffe, viele von euch in euren Posteingängen und bei einem zukünftigen Webinar wiederzusehen. Macht's gut, ihr Lieben. Vielen Dank.

Alistair: Danke.