Im Mai 2017 veröffentlichte das New York State Department of Financial Services (NYDFS) 23 NYCRR Part 500, eine neue Cybersicherheitsregel. Diese Verordnung ist jetzt in vollem Umfang in Kraft, aber was genau sie ist, ist möglicherweise nicht klar.
Seit seiner Bekanntgabe hat sich dieser Anforderungskatalog einigen Änderungen unterzogen, und seine Rechtssprache kann unklar sein. Was ist die Cybersicherheitsverordnung der NYDFS und wie wirkt sie sich auf Sie aus? Lasst uns genauer hinschauen.
Was ist die Cybersicherheitsverordnung der NYDFS?
Die NYDFS-Cybersicherheitsverordnung listet Sicherheitsanforderungen für Finanzdienstleistungen in New York. Wie die europäische Datenschutz-Grundverordnung (DSGVO) zielen diese Regeln darauf ab, die Daten der Bürger zu schützen, indem Unternehmen nach einem bestimmten Standard gehalten werden. In diesem Fall stammen diese Standards meist von das NIST Cybersecurity Framework.
Gemäß diesen Vorschriften müssen New Yorker Finanzunternehmen:
- Überprüfen Sie regelmäßig die Sicherheit und den Datenschutz ihrer IT-Systeme.
- Zeichnen Sie Cybersicherheitsereignisse auf und bewahren Sie diese Aufzeichnungen fünf Jahre lang auf.
- Verfügen Sie über Richtlinien und Verfahren zum sicheren Löschen nicht mehr benötigter personenbezogener Daten.
- Beschränken Sie den Zugriff auf personenbezogene Daten (PII) und überprüfen Sie diese Berechtigungen regelmäßig.
- Haben Sie einen detaillierten schriftlichen Plan Informationen zum Erkennen, Beantworten und Beheben von Cybersicherheitsvorfällen.
- Benachrichtigen Sie NYDFS innerhalb von 72 Stunden nach einem Cybersicherheitsereignis.
Im Gegensatz zu einigen ähnlichen Gesetzen enthält die NYDFS-Cybersicherheitsverordnung detaillierte Anweisungen dazu, woraus diese Sicherheits- und Berichtspläne bestehen sollten. Außerdem müssen Unternehmen sicherstellen, dass ihre Drittparteien sicher sind, nicht nur ihre internen Abläufe.
Diese Anforderungen machen diese Verordnung zu einer der umfassendsten und strengsten aller Staaten. Unternehmen, die gegen sie verstoßen, könnten mit hohen Geldstrafen rechnen, aber das volle Ausmaß der Strafen ist noch unklar.
Für wen gilt die Cybersicherheitsverordnung der NYDFS?
Die NYDFS-Cybersicherheitsverordnung gilt für jede natürliche oder juristische Person das benötigt eine Lizenz von der NYDFS. Das deckt Finanz- und Versicherungsunternehmen in New York ab, darunter:
- Banken.
- Kreditgenossenschaften.
- Investmentgesellschaften.
- Lizenzierte Kreditgeber.
- Hypothekenmakler.
- Versicherungsanbieter.
- Sparkassen und Kreditgenossenschaften.
Zu diesen abgedeckten Unternehmen gehören lokale Unternehmen und ausländische Unternehmen, die für die Arbeit in New York zugelassen sind. Obwohl die Deutsche Bank beispielsweise ein deutsches Unternehmen ist, muss sie 23 NYCRR Part 500 einhalten, da es operiert in New York City.
Von dieser Liste gibt es einige Ausnahmen. Ausgenommen sind Unternehmen mit weniger als 10 Mitarbeitern, weniger als 5 Millionen US-Dollar Jahresumsatz aus New York in den letzten drei Jahren oder weniger als 10 Millionen US-Dollar Gesamtvermögen zum Jahresende. Das gilt auch für Unternehmen, die keine privaten Informationen speichern oder verarbeiten, aber das ist für ein Finanzdienstleistungsunternehmen unwahrscheinlich.
Was bedeutet die Cybersicherheitsverordnung für Sie?
Wenn Sie im Bundesstaat New York leben oder eine Bank haben, fällt Ihr Institut wahrscheinlich unter diese Vorschriften. Selbst wenn Sie dies nicht tun, könnte die NYDFS-Cybersicherheitsverordnung dennoch für Ihre Bank gelten. Wenn es eine Niederlassung im Bundesstaat hat und die finanziellen Anforderungen erfüllt, muss es diese erfüllen.
Als Kunde der Bank müssen Sie im Rahmen dieser Vorgaben keine Schritte unternehmen. Sie können jedoch einige Änderungen in der Arbeitsweise Ihres Finanzinstituts oder Versicherers feststellen. Möglicherweise müssen Sie zusätzliche Sicherheitsschritte wie die Multifaktor-Authentifizierung (MFA) verwenden oder Ihre Berechtigungen anpassen, da diese Unternehmen ihre Cybersicherheitsmaßnahmen verbessern.
Das NIST Cybersecurity Framework, das diese Regeln inspiriert hat, beinhaltet den rechtzeitigen Informationsaustausch, die Sie betreffen können. Wenn es bei Ihrer Bank oder Ihrem Versicherer zu einem Vorfall kommt, müssen diese Sie möglicherweise benachrichtigen. Sie müssen wahrscheinlich nichts tun, aber Sie können damit rechnen, diese Art von Nachrichten zu erhalten.
Auch wenn Sie gemäß 23 NYCRR Part 500 keine rechtliche Verpflichtung haben, sollten Sie mit Ihren Finanzinformationen am besten vorsichtig sein. Verwenden Sie immer eindeutige, starke Passwörter, aktivieren Sie MFA, wenn möglich, und geben Sie niemals PII an eine unbekannte Quelle weiter. Die Strenge dieser Vorschriften unterstreicht, wie wichtig diese Themen sind, also seien Sie vorsichtig.
Regierungen nehmen Cybersicherheit ernster
Die NYDFS-Cybersicherheitsverordnung ist eines von vielen aktuellen Beispielen für lokale Regierungen, die Cybersicherheitsgesetze erlassen. Da digitale Tools im Alltag immer häufiger werden, werden diese Regeln nur zunehmen.
Verbraucher und Unternehmen sollten sich über diese Vorschriften auf dem Laufenden halten, um sicherzustellen, dass sie konform sind. Diese Änderungen scheinen die Dinge zunächst zu komplizieren, sind aber ein notwendiger Schritt zu mehr Sicherheit.
Ihre Social-Media-Konten und Smartphones sammeln Daten über Sie, und diese Informationen können von Regierungsbehörden verwendet werden. Hier ist wie und warum.
Weiter lesen
- Sicherheit
- Onlinesicherheit
- Online-Datenschutz
- Datensicherheit
Shannon ist ein Content Creator mit Sitz in Philadelphia, PA. Sie schreibt seit etwa 5 Jahren im technischen Bereich, nachdem sie ihren Abschluss in IT gemacht hat. Shannon ist Managing Editor des ReHack Magazine und behandelt Themen wie Cybersicherheit, Gaming und Business-Technologie.
Abonniere unseren Newsletter
Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!
Klicken Sie hier, um zu abonnieren