Definition und Zweck

Erlassen, um die zunehmende Bedrohungslage im Finanzsektor zu bewältigen, legt der NYDFS NYCRR 500 Standards zum Schutz sensibler Informationen und zur Wahrung der Integrität von Finanzsystemen fest.

Zweck dieser Cybersicherheitsverordnung ist es, den Schutz von Kundeninformationen sowie der Informationssysteme von regulierten Unternehmen zu fördern.

Regulierungsbehörde

Das New York State Department of Financial Services (NYDFS) ist die zuständige Regulierungsbehörde für die Überwachung und Durchsetzung des NYCRR 500. Der Superintendent of Financial Services spielt eine Schlüsselrolle bei der Implementierung und Aufrechterhaltung der Verordnung.

Zuletzt aktualisiert

Seit seiner Einführung im Jahr 2017 wurde der NYDFS NYCRR 500 zweimal geändert, einmal im April 2020 und zuletzt im November 2023.

Gilt für

Die Verordnung gilt für eine breite Palette von Finanzinstituten, die im Bundesstaat New York tätig sind, einschließlich Banken, Versicherungsunternehmen und anderen Finanzdienstleistern.

Genauer gesagt gilt sie für Partnerschaften, Unternehmen, Niederlassungen, Agenturen und Verbände, die unter einer Lizenz, Registrierung, Satzung, Bescheinigung, Genehmigung, Akkreditierung oder ähnlichen Genehmigung gemäß dem Bankengesetz, dem Versicherungsgesetz oder dem Finanzdienstleistungsgesetz tätig sind oder tätig sein müssen.

Kontrollen und Anforderungen

Der NYDFS NYCRR 500 umfasst eine umfassende Reihe von Kontrollen und Anforderungen, die Bereiche wie die folgenden abdecken:

• Cybersicherheitspolitik: Implementierung einer schriftlichen Richtlinie oder Richtlinien zum Schutz der Informationssysteme der Organisation und der darauf gespeicherten nichtöffentlichen Informationen.
• Schwachstellenmanagement: Implementierung schriftlicher Richtlinien und Verfahren für das Schwachstellenmanagement, die darauf abzielen, die Wirksamkeit des Cybersicherheitsprogramms zu bewerten und aufrechtzuerhalten.
• Zugriffsrechte und -management: Beschränkung der Zugriffsrechte nach dem Prinzip der geringsten Privilegien und Überwachung von privilegierten Zugriffsaktivitäten.
• Risikobewertung: Durchführung einer periodischen Risikobewertung der Informationssysteme der betroffenen Organisation.

Bitte beziehen Sie sich auf die offizielle Dokumentation für eine detaillierte Liste der Kontrollen und Anforderungen.

Audit-Typ, Häufigkeit und Dauer

Die Verordnung verlangt regelmäßige Audits, um die Einhaltung der Anforderungen an die Cybersicherheit zu bewerten. Frühere Versionen der Verordnung erforderten externe Parteien, um ein unabhängiges Audit durchzuführen. Jetzt können die meisten betroffenen Unternehmen durch externe oder interne Audit-Teams geprüft werden. Die Häufigkeit der Audits kann variieren, aber sie werden oft mindestens jährlich durchgeführt. Das höhere Management, das für das Cybersicherheitsprogramm der Organisation verantwortlich ist, muss eine jährliche Zertifizierung abgeben, die die Einhaltung der NYDFS-Cybersicherheitsverordnung bestätigt.

Die Dauer des Auditprozesses hängt von der Größe und Komplexität der Finanzinstitution ab, dauert jedoch in der Regel mehrere Wochen, um eine gründliche Untersuchung der Cybersicherheitskontrollen und -praktiken sicherzustellen.