Conformité NYDFS 23 NYCRR 500

Contacter un expert

Retour à tous les cas d'utilisation

23 NYCRR 500 et gestion des risques liés aux tiers


Au début de l'année 2017, le Département des services financiers de l'État de New York (DFS) a institué 23 NYCRR 500 établir de nouvelles exigences en matière de cybersécurité pour les entreprises de services financiers. La réglementation vise à protéger la confidentialité, l'intégrité et la disponibilité des informations sur les clients et des systèmes informatiques connexes.

La norme 23 NYCRR 500 a été promulguée en réponse à l'augmentation alarmante des violations de données et des cybermenaces visant les institutions financières. L'un des éléments clés pour se conformer à la loi consiste à gérer les contrôles de sécurité informatique et les politiques de confidentialité des données des fournisseurs.

Plusieurs sections du règlement traitent spécifiquement des fournisseurs tiers :

  • La section 500.11traite directement de la politique de sécurité des prestataires de services tiers. Elle exige des entités concernées qu'elles mettent en œuvre des politiques et procédures écrites qui traitent de la sécurité des systèmes d'information tiers sur la base d'uneévaluation des risques.
  • La section 500.16exige des entités concernées qu'elles établissent des plans et des mesures visant à garantir la résilience opérationnelle, notamment des plans d'intervention en cas d'incident, de continuité des activités et de reprise après sinistre.
  • La section 500.17exige la déclaration spécifique des incidents de cybersécurité impliquant des tiers.

Exigences pertinentes

  • Maintenir un programme de cybersécurité comprenant des évaluations des risques, des audits indépendants et des documents justificatifs.
  • Mettre en œuvre et maintenir des politiques de sécurité de l'information basées sur des évaluations des risques, y compris pour la gestion des fournisseurs et des prestataires de services tiers. 
  • Nommer un RSSI qui sera chargé de superviser et de rendre compte du programme de cybersécurité de l'organisation.
  • Inclure des technologies et des pratiques spécifiques en matière de cybersécurité.
  • Créer un programme de gestion des risques liés aux tiers
  • Déposer une attestation annuelle confirmant la conformité à ces réglementations.

 

Réunion 23 NYCRR 500 Exigences TPRM

Voici comment Prevalent peut vous aider à répondre aux exigences de gestion des risques liés aux tiers de la norme 23 NYCRR 500 :

 

Exigences du 23 NYCRR 500 Comment nous aidons
SECTION 500.11
(a) Chaque entité couverte doit mettre en œuvre des politiques et procédures écrites visant à garantir la sécurité des systèmes d'information et des informations non publiques accessibles à des prestataires de services tiers ou détenues par ceux-ci. Ces politiques et procédures doivent être fondées sur l'évaluation des risques de l'entité couverte et doivent traiter, dans la mesure applicable :
(1) l'identification et l'évaluation des risques liés aux prestataires de services tiers ; Prevalent vous permet d'évaluer et de surveiller les tiers en fonction de l'ampleur des menaces pesant sur leurs actifs informationnels en capturer, suivre et quantifier les risques inhérents. Les critères utilisés pour calculer le risque inhérent à la classification des tiers comprennent :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs, définir les niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.
La logique de classement basée sur des règles permet de catégoriser les fournisseurs à l'aide d'une série de considérations relatives à l'interaction des données, aux aspects financiers, réglementaires et à la réputation.
(2) les pratiques minimales en matière de cybersécurité auxquelles ces prestataires de services tiers doivent se conformer pour pouvoir travailler avec l'entité concernée ; Prevalent centralise et automatise la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'informations (RFI). Nos solutions fournissent également des informations sur les risques commerciaux, financiers, liés à la réputation et aux violations de données afin d'éclairer et de contextualiser les décisions. sélection des fournisseurs décisions.

Prevalent fait passer chaque fournisseur sélectionné aux phases de due diligence de contractualisation et/ou d'onboarding, faisant ainsi progresser automatiquement le fournisseur tout au long du cycle de vie de la tierce partie.
(3) les processus de diligence raisonnable utilisés pour évaluer l'adéquation des pratiques de cybersécurité de ces prestataires de services tiers ; et Prévalent automatise les évaluations des risques pour étendre la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux tiers à toutes les étapes du cycle de vie des tiers.

Avec une bibliothèque de plus de 750 évaluations standardisées, des capacités de personnalisation, un flux de travail intégré et des mesures correctives, la solution automatise tout, de la collecte et de l'analyse des enquêtes à l'évaluation des risques et à l'établissement de rapports.

Avec Prevalent, vous pouvez facilement rassembler et corréler des informations sur un large éventail de contrôles de fournisseurs afin de déterminer les menaces pour la gestion de l'information, sur la base de la criticité du tiers telle que déterminée par l'évaluation du risque inhérent.

Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre des risques unique, avec des rapports sous forme de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.
(4) évaluation périodique de ces prestataires de services tiers en fonction du risque qu'ils présentent et du caractère toujours adéquat de leurs pratiques en matière de cybersécurité. Les évaluations peuvent être réalisées avant la signature du contrat, au moment du renouvellement du contrat ou à la fréquence requise (par exemple, tous les trimestres ou tous les ans).

Des capacitésintégrées et nativesde surveillance des risques cybernétiques, commerciaux, réputationnels et financierssignalent les changements importants entre les évaluations périodiques et peuvent déclencher des notifications, des évaluations de suivi ou d'autres actions.

Prevalent fournit des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques. Ces recommandations sont soutenues par des capacités de gestion des flux de travail et des tâches afin de s'assurer que les tiers traitent les risques en temps voulu et de manière satisfaisante.
SECTION 500.16
(a) Dans le cadre de son programme de cybersécurité, chaque entité concernée doit établir des plans écrits contenant des mesures proactives visant à enquêter sur les événements perturbateurs et à les atténuer, ainsi qu'à garantir la résilience opérationnelle, y compris, mais sans s'y limiter, des plans d'intervention en cas d'incident, de continuité des activités et de reprise après sinistre.
(2) Plan de continuité des activités et de reprise après sinistre (aux fins de la présente partie, plan BCDR). Les plans BCDR doivent être conçus de manière raisonnable afin de garantir la disponibilité et la fonctionnalité des services de l'entité couverte et de protéger le personnel, les actifs et les informations non publiques de l'entité couverte en cas d'urgence ou de toute autre perturbation de ses activités commerciales normales. Ces plans doivent au minimum :

(iii) inclure un plan de communication avec les personnes essentielles en cas d'urgence ou d'autre perturbation des activités de l'entité couverte, notamment les employés, les contreparties, les autorités réglementaires, les prestataires de services tiers, les spécialistes en reprise après sinistre, l'organe directeur supérieur et toute autre personne essentielle à la récupération des documents et des données et à la reprise des activités ;

(vi) identifier les tiers qui sont nécessaires à la poursuite des activités de l'entité couverte.

 Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction des résilience et continuité des activités des tiers – tout en mappant automatiquement les résultats aux normes NIST, ISO et autres cadres de contrôle.

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité.

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises basée sur les pratiques de la norme ISO 22301 qui permet aux organisations de :

  • Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise.
  • Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO)
  • Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
  • Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités

Lorsqu'une résiliation ou une sortie est nécessaire pour des services critiques, Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, la conformité avec les lois pertinentes, les paiements finaux, et plus encore. La solution suggère également des actions basées sur les réponses aux évaluations d'intégration et achemine les tâches vers les réviseurs si nécessaire.
SECTION 500.17
(a) Notification d'un incident de cybersécurité.
(3) Chaque entité couverte qui est touchée par un incident de cybersécurité chez un fournisseur de services tiers doit en informer le surintendant par voie électronique, à l'aide du formulaire disponible sur le site Web du département, dans les plus brefs délais et au plus tard dans les 72 heures suivant la prise de connaissance dudit incident de cybersécurité par l'entité couverte. Prevalent permet à votre équipe d'identifier, de réagir, de signaler et d'atténuer rapidement l'impact des incidents liés à des fournisseurs tiers en gérant de manière centralisée les fournisseurs, en évaluant les événements, en notant les risques identifiés, en établissant des corrélations avec la surveillance cybernétique continue et en accédant à des conseils de remédiation. Les principales fonctionnalités comprennent :

  • Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables
  • Suivi en temps réel de l'état d'avancement du questionnaire
  • Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
  • Rapports proactifs des fournisseurs
  • Des vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
  • Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Modèles de rapports intégrés
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et des tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.

Ressources complémentaires

Blog

APRA CPS 234 : Meilleures pratiques pour répondre aux exigences en matière de gestion des risques liés aux tiers

Blog

Règles de divulgation de la SEC en matière de cybersécurité : 9 questions clés à poser aux tiers

Blog

Répondre aux exigences de la PRA SS2/21 en matière de gestion des risques liés aux tiers

Guide

Aligner votre programme de TPRM sur les 14 normes de l'industrie

Voir plus de ressources

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.