Die NYDFS NYCRR 500-Verordnung ist ein Eckpfeiler der Cybersicherheit im Finanzsektor von New York und setzt einige der höchsten Standards für Informationssicherheitsvorschriften in den USA.

Wenn Ihre Finanzorganisation in New York tätig ist, hat NYDFS NYCRR 500 erhebliche Auswirkungen auf Ihr Geschäft. Dennoch haben Organisationen oft Schwierigkeiten, die spezifischen Cybersicherheitsanforderungen der Verordnung, den jährlichen Zertifizierungsprozess, die Vorfallberichterstattung und die Folgen der Nichteinhaltung zu verstehen.

Dieser Artikel bietet eine Roadmap für Organisationen, die sich in den komplexen Anforderungen von NYDFS NYCRR 500 zurechtfinden müssen. Wir erklären, was NYDFS NYCRR 500 ist, wer es einhalten muss und wer nicht, sowie die wichtigsten Sicherheitsanforderungen. Wir teilen auch eine Schritt-für-Schritt-Checkliste, die Ihnen hilft, die Konformität mit den Änderungen von 2023 zu erreichen und aufrechtzuerhalten.

NYDFS NYCRR 500 erklärt

Die NYDFS Cybersicherheitsverordnung, auch bekannt als 23 NYCRR Part 500, ist eine Reihe von Vorschriften des New York State Department of Financial Services, die Cybersicherheitsanforderungen für alle betroffenen Finanzinstitute festlegt.

Die Vorschriften wurden erstmals im März 2017 herausgegeben und sollen die Finanzdienstleistungsbranche New Yorks und ihre Verbraucher vor Cyberangriffen und Datenverletzungen schützen.

Im November 2023 hat NYDFS bedeutende Änderungen an NYDFS NYCRR 500 angekündigt, die Auswirkungen auf die Cybersicherheitsprogramme, die Governance und die Berichtspraxis der betroffenen Unternehmen haben. Diese Änderungen treten am 29. April 2024 in Kraft.

Wer muss die NYDFS NYCRR 500 einhalten?

Die NYDFS NYCRR 500-Vorschriften gelten für alle von der DFS regulierten Einheiten, einschließlich Banken, Hypothekenunternehmen, Versicherungen und anderen Finanzdienstleistungsinstituten, die in New York lizenziert sind. Die Einhaltung dieser Vorschriften ist obligatorisch und sie stellen eines der strengeren staatlichen Cybersicherheitsrahmenwerke in den Vereinigten Staaten dar.

NYDFS NYCRR 500 unterscheidet drei verschiedene Unternehmenstypen mit spezifischen Anforderungen und Meldeverfahren für jeden.

Betroffene Unternehmen

Betroffene Unternehmen umfassen alle von der DFS regulierten Organisationen, einschließlich:

• Staatlich lizenzierte Banken
• Kreditgenossenschaften
• Ausländische Bankorganisationen, die in New York lizenziert sind
• Lizenzierte Kreditgeber
• Hypothekenunternehmen
• Versicherungen
• Holdinggesellschaften
• Investmentgesellschaften
• Treuhandgesellschaften
• Budgetplaner
• Scheckeinlöser
• Krankenversicherungen
• Geldübermittler
• Prämienfinanzierungsgesellschaften

Klasse A Unternehmen

Änderungen von 2023 an NYDFS NYCRR 500 führten eine neue Kategorie namens "Klasse A" Unternehmen ein, die für betroffene Unternehmen mit signifikanten Umsätzen oder Mitarbeiterzahlen gilt. Diese Unternehmen haben nun zusätzliche Verpflichtungen, einschließlich unabhängiger Prüfungen ihrer Cybersicherheitsprogramme und strengeren Überwachungs- und Zugangsmanagementanforderungen​​.

Klasse-A-betroffene Einheiten haben in jedem der letzten beiden Geschäftsjahre mindestens 20 Millionen US-Dollar Bruttojahresumsatz aus allen Geschäftstätigkeiten erzielt und entweder: 

• Beschäftigten im Durchschnitt der letzten beiden Geschäftsjahre mindestens 2.000 Mitarbeiter
• Erzielten in jedem der letzten beiden Geschäftsjahre über 1 Milliarde US-Dollar Bruttojahresumsatz aus allen Geschäftstätigkeiten

Kleine Unternehmen

Abschnitt 500.19, auch bekannt als Small Business Exemption, befreit bestimmte kleine Unternehmen von spezifischen Anforderungen der NYDFS NYCRR 500. Es gibt drei Möglichkeiten, wie eine betroffene Einheit sich für eine begrenzte Ausnahme qualifizieren kann:

• Die betroffene Einheit und alle ihre verbundenen Unternehmen zusammen haben weniger als 20 Mitarbeiter und unabhängige Auftragnehmer
• Die betroffene Einheit und alle ihre verbundenen Unternehmen zusammen haben in jedem der letzten drei Jahre weniger als 7,5 Millionen US-Dollar Bruttojahresumsatz aus allen Geschäftstätigkeiten in New York generiert
• Die betroffene Einheit und alle ihre verbundenen Unternehmen zusammen halten weniger als 15 Millionen US-Dollar an totalen Vermögenswerten zum Jahresende

Qualifizierte betroffene Einheiten müssen eine Befreiungsanzeige über das DFS-Portal einreichen.

NYDFS NYCRR 500 Cybersicherheitsanforderungen für Finanzdienstleistungsunternehmen

Während NYDFS NYCRR 500 eine umfassende Cybersicherheitsregelung ist, konzentriert sie sich auf einige Hauptprinzipien: das Verständnis der spezifischen Risiken Ihres Unternehmens, der Aufbau eines effektiven Cybersicherheitsprogramms, das diese Risiken schützt, und die Schaffung von Transparenz und Verantwortlichkeit in Ihren Bemühungen.

Lassen Sie uns die wichtigsten Anforderungen der NYDFS NYCRR 500, einschließlich der 2023 erfolgten Änderungen, die ihre Bestimmungen ausgeweitet haben, näher betrachten.

Durchführung regelmäßiger Risikobewertungen

Jede Organisation ist einzigartigen Risiken und Bedrohungen ausgesetzt. Betroffene Einheiten müssen regelmäßige Risikobewertungen durchführen, um ihre spezifische Risikolandschaft zu verstehen und ihre Cybersicherheitsinitiativen zu informieren. Die Bewertung sollte regelmäßig aktualisiert werden, um Änderungen an den Informationssystemen, nichtöffentlichen Informationen oder Geschäftstätigkeiten zu berücksichtigen.

Einrichtung und Aufrechterhaltung eines Cybersicherheitsprogramms

Betroffene Einheiten müssen die Risikobewertung nutzen, um ein Cybersicherheitsprogramm zu etablieren und aufrechtzuerhalten, das die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationssysteme schützt. Dieses Programm muss in der Lage sein, Cybersicherheitsereignisse zu erkennen, davor zu schützen, darauf zu reagieren und sich davon zu erholen.

Im Rahmen des Cybersicherheitsprogramms müssen betroffene Einheiten spezifische Richtlinien und Prozesse implementieren. Dazu gehören:

• Informationssicherheitsrichtlinie: Stellt Richtlinien zur Datenverwaltung und Klassifizierung auf, um Informationen vor unbefugtem Zugriff, Offenlegung, Veränderung und Zerstörung zu schützen.
• Zugriffskontrollrichtlinie: Definiert, wer auf spezifische nichtöffentliche Informationen und Systeme zugreifen kann, wie Benutzerausweisprivilegien gewährt werden und unter welchen Bedingungen.
• Plan zur Aufrechterhaltung des Geschäftsbetriebs und zur Katastrophenwiederherstellung: Skizziert Verfahren zur Aufrechterhaltung der Geschäftstätigkeit und zur Erholung von Sicherheitseinstellungen mit minimaler Auswirkung.
• Reaktionsplan bei Sicherheitsvorfällen: Beschreibt die Schritte zur Erkennung, Reaktion und Wiederherstellung von Cybersecurity-Vorfällen, um den Schaden zu minimieren. Laut den Änderungen von 2023 müssen Reaktionspläne nun eine Ursachenanalyse und Aktualisierungen der Pläne basierend auf Vorfällen enthalten.
• Richtlinien zur Datenaufbewahrung und -entsorgung: Gibt an, wie lange Daten gespeichert werden und welche sicheren Methoden zur Entsorgung nicht mehr benötigter nicht-öffentlicher Informationen verwendet werden.
• Sicherheitsrichtlinie für Drittanbieter: Legt Sicherheitserwartungen und -anforderungen für Dritte fest, die Zugriff auf die Systeme und Daten des Unternehmens haben. Dazu gehört die Festlegung von Mindestanforderungen an die Cybersicherheit für Anbieter und die Durchführung von Due-Diligence-Prüfungen zur Bewertung der Stärke ihrer Cybersicherheitspraktiken.
• Richtlinie zur Bestandsaufnahme und Verwaltung von IT-Geräten: Umfasst die detaillierte Bestandsaufnahme von IT-Vermögenswerten und die Implementierung von Kontrollen für deren sichere Verwaltung.
• Richtlinie zum Schwachstellenmanagement: Beschreibt, wie eine Organisation Schwachstellen in ihren Systemen und ihrer Software identifiziert, bewertet, priorisiert und adressiert. Definiert auch Prozesse für regelmäßige Schwachstellen-Scans, Risikoanalysen, Patch-Management und Abhilfestrategien.

Qualifizierte Cybersicherheitsführung ernennen

Während NYDFS NYCRR 500 ursprünglich verlangte, dass betroffene Unternehmen die Einhaltung gegenüber dem Vorstand oder leitenden Angestellten melden, verleiht die Änderung von 2023 der für die Aufsicht über die Cybersicherheit zuständigen Person den offiziellen Titel "leitendes Aufsichtsgremium".

Die Änderungen spezifizieren auch die wesentlichen Aufgaben dieses leitenden Aufsichtsgremiums, die Folgendes umfassen:

• Über ausreichende Fachkenntnisse in der Cybersicherheit verfügen, um die erforderliche Aufsicht auszuüben (einschließlich der Nutzung von Beratern)
• Entwicklung, Implementierung und Wartung des Cybersicherheitsprogramms des betroffenen Unternehmens
• Regelmäßige Sammlung und Überprüfung von Managementberichten zur Cybersicherheit
• Überprüfung und Genehmigung der Cybersicherheitsrichtlinien des betroffenen Unternehmens mindestens einmal jährlich
• Sicherstellen, dass das Management ausreichende Ressourcen für die Implementierung und Wartung eines effektiven Cybersicherheitsprogramms bereitstellt

Betroffene Unternehmen müssen auch eine qualifizierte Person benennen, die als CISO (oder eine ähnliche hochrangige Position) dient und für die Überwachung der Implementierung des Cybersicherheitsprogramms und die Durchsetzung seiner Richtlinien verantwortlich ist.

CISOs müssen dem leitenden Aufsichtsgremium regelmäßig über bedeutende Cybersecurity-Vorfälle und Änderungen des Cybersecurity-Programms berichten. Außerdem müssen CISOs gemeinsam mit dem ranghöchsten Geschäftsführer eine jährliche Compliance-Bescheinigung bei der NYDFS einreichen. Diese Bescheinigung bestätigt entweder die wesentliche Einhaltung der Anforderungen von Teil 500 oder erkennt Bereiche der Nicht-Compliance an.

Schließlich müssen betroffene Unternehmen Cybersicherheitspersonal beschäftigen, um die Cyber-Sicherheitsrisiken des Unternehmens zu verwalten und grundlegende Cyber-Sicherheitsfunktionen auszuführen. Cybersicherheitspersonal sollte regelmäßig Schulungen zu den neuesten Cyber-Bedrohungen und Gegenmaßnahmen erhalten, einschließlich Social-Engineering-Angriffen.

Technische Sicherheitskontrollen implementieren

Eine starke Cybersicherheitsstrategie erfordert spezifische Maßnahmen zum Schutz der Datensicherheit und Privatsphäre. Unter NYDFS NYCRR 500 umfassen diese Sicherheitskontrollen:

• Mehrstufige Authentifizierung: Um unbefugten Zugriff auf die Informationssysteme des betroffenen Unternehmens zu verhindern, muss eine mehrstufige Authentifizierung oder risikobasierte Authentifizierung aktiviert werden.
• Verschlüsselung nicht-öffentlicher Informationen: Betroffene Unternehmen müssen nicht-öffentliche Informationen sowohl während der Übertragung als auch im Ruhezustand verschlüsseln. Laut den Änderungen von 2023 dürfen Organisationen keine kompensierenden Kontrollen mehr für die Verschlüsselung nicht-öffentlicher Informationen während der Übertragung über externe Netzwerke verwenden.
• System- und Netzwerksicherheit: Unternehmen müssen Schutzmaßnahmen und kontinuierliche Überwachung implementieren, um Bedrohungen für die IT-Infrastruktur zu erkennen und darauf zu reagieren.
• Anwendungssicherheit: Betroffene Unternehmen müssen schriftliche Verfahren, Richtlinien und Standards haben, um die Sicherheit aller intern entwickelten Anwendungen sowie Verfahren zur Bewertung oder Prüfung der Sicherheit extern entwickelter Anwendungen sicherzustellen.
• Physische und umweltbedingte Kontrollen: Betroffene Unternehmen müssen die physischen Räumlichkeiten und die Infrastruktur, die kritische IT-Systeme beherbergen, vor unbefugtem Zugang und Umweltgefahren schützen.
• Datenschutzkontrollen: Betroffene Unternehmen müssen auch Maßnahmen ergreifen, um persönliche Informationen vor unbefugtem Zugriff und Offenlegung zu schützen.
• Schulung zur Sicherheitsbewusstseins: Das Personal muss in Cybersicherheits-Best Practices geschult werden, einschließlich Bedrohungsbewusstsein, Social-Engineering-Taktiken und sicherer Umgang mit sensiblen Informationen.

Cybersicherheitsprogramm kontinuierlich überwachen und testen

Abgedeckte Unternehmen sind verpflichtet, eine kontinuierliche Überwachung ihrer Systeme durchzuführen, um Cybersecurity-Bedrohungen und -Schwachstellen zu erkennen. Abgedeckte Unternehmen müssen außerdem jährliche Penetrationstests und halbjährliche Schwachstellenbewertungen durchführen, um die Effektivität ihrer Cybersecurity-Programme zu testen und einen Abhilfeprozess zu implementieren, der eine zeitnahe Reaktion auf festgestellte Schwachstellen sicherstellt.

Die Änderungen von 2023 schreiben vor, dass die jährlichen Penetrationstests sowohl von innen als auch von außen an den Grenzen der Informationssysteme vorgenommen werden müssen. Es gibt auch neue Anforderungen zur Überwachung privilegierter Zugriffe und zur Implementierung von Lösungen zur Endpunkterkennung und -reaktion.

Erstellen Sie ein Prüfpfad- und Berichtsverfahren

Die NYDFS NYCRR 500 verlangt von abgedeckten Unternehmen, ein Prüfpfadsystem zu unterhalten, das Finanztransaktionen rekonstruieren und den Zugriff auf kritische Systeme für Verantwortlichkeit und Nachvollziehbarkeit protokollieren kann. Dieses System muss so konzipiert sein, dass es Cybersecurity-Ereignisse erkennen und darauf reagieren kann, und Aufzeichnungen müssen mindestens fünf Jahre lang aufbewahrt werden.

Abgedeckte Unternehmen sind außerdem verpflichtet, eine jährliche Compliancz-Zertifizierung einzureichen, und Klasse-A-Unternehmen müssen einen unabhängigen jährlichen Prüfbericht einreichen.

Abgedeckte Unternehmen müssen den NYDFS-Superintendenten der Finanzdienstleistungen innerhalb von 72 Stunden nach Identifizierung des Ereignisses über Cybersecurity-Ereignisse informieren, die mit ausreichender Wahrscheinlichkeit die normalen Abläufe beeinträchtigen können. Die Änderungen von 2023 verlangen auch, dass abgedeckte Unternehmen NYDFS über Vorfälle bei Drittanbietern sowie über Erpressungszahlungen im Zusammenhang mit einem Cybersecurity-Ereignis informieren.

Wie zertifizieren Organisationen die NYDFS NYCRR 500-Konformität?

Organisationen sind verpflichtet, die Konformität mit NYDFS NYCRR 500 jährlich nachzuweisen. Abhängig von der Art des abgedeckten Unternehmens bedeutet dies entweder die Einreichung eines Konformitätszertifikats beim NYDFS-Superintendenten oder das Abschließen einer unabhängigen Prüfung.

Abgedeckte Unternehmen: Jährliches Konformitätszertifikat

Abgedeckte Unternehmen müssen ihre Konformität jährlich im April zertifizieren. Dieser Prozess beinhaltet die Einreichung einer Erklärung bei der NYDFS, die bestätigt, dass das Unternehmen die geltenden Bestimmungen des Reglements einhält.

So funktioniert der Zertifizierungsprozess in der Regel:

Schritt 1: Überprüfung und Bewertung: Der erste Schritt für ein abgedecktes Unternehmen ist es, eine gründliche Überprüfung und Bewertung seines Cybersecurity-Programms und seiner Praktiken durchzuführen, um sicherzustellen, dass sie die Anforderungen von NYDFS NYCRR 500 erfüllen. Dies kann eine interne Sicherheitsprüfung oder die Einbindung externer Cybersecurity-Experten umfassen, um Lücken oder Verbesserungsbereiche zu identifizieren.

Schritt 2: Genehmigung des leitenden Führungsgremiums: Die Ergebnisse der Überprüfung und alle Maßnahmen zur Behebung von Lücken sollten dokumentiert und dem leitenden Führungsgremium des Unternehmens zur Überprüfung und Genehmigung vorgelegt werden.

Schritt 3: Einreichung bei NYDFS: Sobald das leitende Führungsgremium die Maßnahmen genehmigt hat, muss das Unternehmen ein Konformitätszertifikat vorbereiten, das seine Einhaltung der regulatorischen Anforderungen für das abgedeckte Kalenderjahr bescheinigt.

Das ausgefüllte Zertifikat der Compliance muss über das NYDFS-Portal bis zu dem angegebenen Stichtag eingereicht werden, der normalerweise der 15. April des folgenden Jahres ist. In diesem Jahr wurde die Frist auf den 29. April 2024 verschoben aufgrund der jüngsten Aktualisierungen. Ein Compliance-Zertifikat für 2023 muss bis zum 29. April 2024 eingereicht werden.

Schritt 4: Aufzeichnungen: Betroffene Unternehmen sind verpflichtet, alle Dokumente, Zeitpläne und Daten, die das Zertifikat stützen, für fünf Jahre aufzubewahren. Diese Dokumentation sollte auf Anfrage der NYDFS zur Inspektion zur Verfügung stehen und könnte im Falle einer behördlichen Prüfung oder eines Audits erforderlich sein.

Klasse A Unternehmen: Externes Compliance-Audit

Klasse A betroffene Unternehmen sind verpflichtet, jährlich ein unabhängiges Compliance-Audit durchzuführen. Dieses unabhängige Audit kann entweder von einem internen oder externen Auditor durchgeführt werden, solange dieser eine wirklich neutrale dritte Partei ist. Das bedeutet, dass er in der Lage sein muss, Entscheidungen zu treffen, ohne von dem betroffenen Unternehmen, seinen Eigentümern, Managern oder Mitarbeitern beeinflusst zu werden. Das Audit wird auf der Grundlage der Risikobewertung des Unternehmens durchgeführt und überprüft die Einhaltung der NYDFS NYCRR 500 Anforderungen.

Der endgültige Compliance-Audit-Bericht wird über das Onlineportal an die NYDFS übermittelt.

Wie wird NYDFS NYCRR 500 durchgesetzt?

Die Compliance wird durch eine Kombination aus Selbstzertifizierung, behördlichen Audits und verpflichtenden Berichterstattungen überwacht und durchgesetzt. Beispielsweise können betroffene Unternehmen, die kein Compliance-Zertifikat einreichen oder Cybersecurity-Ereignisse nicht der NYDFS melden, mit Verstoßstrafen belegt werden.

Die NYDFS hat auch die Befugnis, betroffene Unternehmen zu prüfen, um die Compliance zu bewerten, aber im Allgemeinen sind Audits nur für Klasse-A-Unternehmen erforderlich. Diese Audits können eine Überprüfung von Richtlinien und Verfahren, eine Inspektion der Cybersecurity-Praxis und eine Bewertung der Gesamteffektivität des Cybersecurity-Programms umfassen.

Wenn die NYDFS während einer Prüfung oder eines Audits Bereiche der Nicht-Compliance identifiziert, kann sie das betroffene Unternehmen auffordern, Korrekturmaßnahmen zu ergreifen, wie z.B. die Überarbeitung von Richtlinien, die Verbesserung von Sicherheitsmaßnahmen oder die Implementierung zusätzlicher Kontrollen.

Wenn ein betroffenes Unternehmen keine Korrekturmaßnahmen umsetzt, kann die NYDFS Strafen verhängen, einschließlich Geldbußen. Die Schwere dieser Strafen kann je nach Umfang der Nicht-Compliance und dem potenziellen Risiko für Verbraucher und das Finanzsystem variieren.

Historisch gesehen hat die NYDFS erhebliche Verstoßstrafen verhängt, darunter:

• Robinhood Crypto: 30 Millionen Dollar
• OneMain Financial Group: 4,25 Millionen Dollar
• Residential Mortgage Services: 1,5 Millionen Dollar
• SA Stone Wealth Management: 1,35 Millionen Dollar
• First American Title Insurance Company: 1 Million Dollar

In seiner Änderung von 2023 an NYCRR 500 hat die NYDFS seine Befugnis zur Durchsetzung von regulatorischen Anforderungen bestätigt und betont, dass selbst ein einziger Verstoß ein Verstoß darstellen kann.

Vereinfachen Sie die NYDFS NYCRR 500 Compliance mit Automatisierung.

Compliance-Automatisierungssoftware kann den Prozess der Einhaltung von NYDFS 500 rationalisieren, indem sie Systeme und Kontrollen kontinuierlich überwacht, manuelle Compliance-Aufgaben automatisiert und Risikobewertungs- und Berichterstattungsprozesse vereinfacht.

Plattformen wie Secureframe erleichtern es Organisationen, Compliance aufrechtzuerhalten und sich auf ihre Kernaktivitäten zu konzentrieren:

• End-to-End-Risikomanagement: Sparen Sie Zeit und Ressourcen bei periodischen NYDFS 500-Risikobewertungen, indem Sie den Prozess mit Künstlicher Intelligenz automatisieren. Comply AI for Risk erstellt eine inhärente Risiko-Score, einen Behandlungsplan und einen Rest-Risiko-Score, um Ihr Risikobewusstsein und Ihre Reaktion zu verbessern.
• Richtlinienerstellung: Nutzen Sie generative KI, um Stunden beim Schreiben und Verfeinern Ihrer NYDFS NYCRR 500-Richtlinien zu sparen. Bearbeiten und überarbeiten Sie Richtlinien ganz einfach mit dem KI-gestützten Texteditor, um konforme Richtlinien zu erstellen, die dem Ton und der Stimme Ihrer Organisation entsprechen.
• Kontinuierliche Überwachung und Beweissammlung: Hunderte von vorgefertigten Integrationen überwachen Ihr Technologie-Stack und Ihre IT-Infrastruktur, um fehlgeschlagene Kontrollen zu kennzeichnen und automatisch Nachweise der Compliance zu sammeln.
• Lieferanten- und Asset-Management: Reduzieren Sie das Drittparteirisiko, indem Sie die Sicherheitslage Ihrer Lieferanten verfolgen. Speichern Sie Lieferantenbewertungen und Sicherheitsfragebögen, führen Sie Lieferanten-Risikobewertungen durch und erhalten Sie Empfehlungen zur Reduzierung Ihres Risikopotenzials.
• Kreuzzuordnung von Kontrollen: Vereinfachen und beschleunigen Sie die Compliance mit anderen gefragten Rahmenwerken wie SOC 2, ISO 27001 und PCI DSS, indem Sie die überlappenden Kontrollen, die Sie für NYDFS NYCRR 500 implementiert haben, auf mehrere Sicherheitsstandards anwenden.
• Regulatorisches Änderungsmanagement: Unser Team von Compliance-Experten überwacht Veränderungen im regulatorischen Umfeld, um unsere Plattform auf dem neuesten Stand zu halten, Organisationen durch Übergangsphasen zu unterstützen und die kontinuierliche Compliance mit aktualisierten Vorschriften sicherzustellen.
• Sicherheitstraining: Unser in-house, inkludiertes Training erfüllt die Schulungsanforderungen von NYDFS NYCRR 500.

Um mehr über die Fähigkeiten von Secureframe zu erfahren, vereinbaren Sie eine personalisierte Demo mit einem Produktexperten.