NYDFS-Cybersicherheitsavoraussetzungen für Finanzdienstleister: Phase 4 beginnt jetzt

Michael Magrath, 1. März 2019

Das Finanzministerium des Staates New York (NYDFS) reguliert rund 1.500 Finanzinstitute und Banken sowie über 1.400 Versicherungsunternehmen. Mit New York als „Finanzhauptstadt der Welt“ ist die überwiegende Mehrheit der Finanzinstitute in den USA fallen unter die NYDFS-Verordnung. Darüber hinaus sind viele internationale Organisationen in New York tätig und fallen daher auch unter die NYDFS-Verordnung. Alle diese Banken und Finanzdienstleistungsunternehmen müssen ihre Vermögenswerte und Kundenkonten gemäß der NYDFS gegen Cyberangriffe absichern Cybersicherheitsanforderungen für Finanzdienstleistungsunternehmen (23 NYCRR 500). Gemäß der Verordnung müssen Banken und Finanzdienstleister ihre eigenen Systeme sichern und Risikomanagementprogramme von Drittanbietern implementieren.

Als Reaktion auf die weit verbreiteten Cyberangriffe auf die USA Finanzinstitute hat die NYDFS am 1. März 2017 die Cybersicherheitsverordnung erlassen. Die Verordnung schreibt vor, dass Finanzinstitute spezifische Richtlinien und Verfahren implementieren müssen, um Benutzerdaten besser zu schützen. Angesichts der umfassenden Liste der Bestimmungen in der Verordnung sah die NYDFS eine zweijährige Übergangsfrist für die Einhaltung in vier Phasen vor.

Finanzinstitute müssen außerdem jedes Jahr eine Bescheinigung über die Einhaltung der Vorschriften vorlegen. Die zweite jährliche Konformitätsbescheinigung gilt für das Kalenderjahr 2018. Dies war am 15. Februar 2019 fällig, der die Einhaltung der folgenden Phasen 1-3 abdeckt.

Vier Phasen der Cybersicherheitsanforderungen von NYDFS für Finanzdienstleistungsunternehmen

Phase 1 (gültig ab 1. September 2017)

  • Abschnitt 500.02 - Entwicklung und Pflege eines Cybersicherheitsprogramms
  • Abschnitt 500.03 - Implementierung und Pflege schriftlicher Cybersicherheitsrichtlinien
  • Abschnitt 500.04 - Benennung eines Chief Information Security Officer (CISO) zur Durchsetzung der Cybersicherheitsrichtlinien der Organisation und Überwachung der Umsetzung des Cybersicherheitsprogramms
  • Abschnitt 500.07 - Benutzerzugriffsrechte einschränken
  • Abschnitt 500.10 - Personal und Informationen zur Cybersicherheit: Sicherstellung der Schulung und Kenntnis aktueller Cyber-Bedrohungen und Gegenmaßnahmen
  • Abschnitt 500.16 - Erstellen Sie einen schriftlichen Plan zur Reaktion auf Vorfälle
  • Abschnitt 500.17 - Innerhalb von 72 Stunden nach einem Cybersicherheitsereignis müssen Mitteilungen an den Superintendent gesendet werden

Phase 2 (gültig ab 1. März 2018)

  • Abschnitt 500.04 (b) - Der CISO muss der Geschäftsleitung oder dem Verwaltungsrat der Organisation über die wesentlichen Cybersicherheitsrisiken und das Cybersicherheitsprogramm insgesamt Bericht erstatten
  • Abschnitt 500.05 - Durchführung jährlicher Penetrationstests und halbjährlicher Schwachstellenbewertungen
  • Abschnitt 500.09 - Führen Sie eine regelmäßige Risikobewertung durch
  • Abschnitt 500.12 - Multi-Faktor-Authentifizierung (MFA)
    • Basierend auf der Risikobewertung muss jede Organisation wirksame Kontrollen anwenden, die eine risikobasierte Authentifizierung oder eine Multi-Faktor-Authentifizierung umfassen können, um nicht öffentliche Informationen oder Informationssysteme vor unbefugtem Zugriff zu schützen
    • MFA muss für jede Person verwendet werden, die über ein externes Netzwerk auf die internen Netzwerke der Organisation zugreift (die einzige Ausnahme besteht darin, dass der CISO der Organisation die Verwendung gleichwertiger oder sicherer Zugriffskontrollen schriftlich genehmigt hat).
  • Abschnitt 500.14 (b) - Schulung des Bewusstseins für Cybersicherheit für alle Mitarbeiter
Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung

Die umfassende Suite von OneSpan-Authentifizierungslösungen für Hardware und Software gewährleistet die richtige Sicherheit für jeden Anwendungsfall.

Zeigen Sie mir MFA-Optionen

Phase 3 (gültig ab 1. September 2018)

  • Abschnitt 500.06 - Audit-Trails müssen implementiert werden, um Cybersicherheitsereignisse zu erkennen und darauf zu reagieren. Die Organisation muss Aufzeichnungen über Transaktionen mindestens fünf Jahre und Aufzeichnungen über Cybersicherheitsereignisse mindestens drei Jahre lang führen
  • Abschnitt 500.08 - Anwendungssicherheit: Das Cybersicherheitsprogramm der Organisation muss dokumentierte Standards, Verfahren und Richtlinien enthalten, mit denen sichergestellt werden soll, dass sichere Entwicklungspraktiken für interne Anwendungen und Verfahren angewendet werden, um die Sicherheit von Anwendungen zu bewerten, die von Dritten entwickelt wurden
  • Abschnitt 500.13 - Implementieren Sie Einschränkungen für die Datenaufbewahrung
  • Abschnitt 500.14 (a) - Die Organisation muss risikobasierte Verfahren, Richtlinien und Kontrollen entwickeln, um die Aktivitäten autorisierter Benutzer zu überwachen und den nicht autorisierten Zugriff auf nicht öffentliche Informationen zu identifizieren
  • Abschnitt 500.15 - Sicherstellung der Verschlüsselung nicht öffentlicher Informationen

Phase 4 (gültig ab 1. März 2019): Ende der zweijährigen Übergangsfrist

Gemäß der Verordnung in Abschnitt 500.11 zur Sicherheitsrichtlinie für Drittanbieter müssen „die Organisation schriftliche Verfahren und Richtlinien dokumentieren, um sicherzustellen, dass Risikomanagementprogramme von Drittanbietern Informationssysteme und nicht öffentliche Informationen schützen.“

Die wichtigsten Bestimmungen dieser Richtlinien gelten für die eigenen Systeme des Finanzinstituts, darunter:

  • Schriftliche Richtlinien und Verfahren zum Schutz der Benutzer vor Risiken durch Drittanbieter
  • Identifizierung und Risikobewertung von Drittanbietern
  • Von Dritten geforderte Mindestpraktiken für die Cybersicherheit
  • Die Bewertung von Cybersicherheitspraktiken Dritter durch Due Diligence
  • Regelmäßige risikobasierte Bewertungen

Darüber hinaus müssen Richtlinien und Verfahren für Drittanbieter relevante Richtlinien für die Due Diligence sowie vertragliche Schutzmaßnahmen enthalten, die Folgendes betreffen:

  • Zugriffskontrollen, einschließlich Multi-Faktor-Authentifizierung
  • Verschlüsselung
  • Benachrichtigungen an die primäre Organisation als Reaktion auf ein Cybersicherheitsereignis
  • Zusicherungen und Gewährleistungen für die Cybersicherheitsrichtlinien und -verfahren Dritter

Implementierung von Phase 4 der NYDFS-Anforderungen an die Cybersicherheit für Finanzdienstleistungsunternehmen

Obwohl Phase 4 in diesem Jahr durchgeführt werden muss, ist es wichtig darauf hinzuweisen, dass Banken und Finanzinstitute erst am 15. Februar 2020 bescheinigen müssen, dass sie die Risikomanagementbestimmungen für Drittanbieter der Verordnung einhalten.

Als Kunde mehrerer in New York ansässiger Finanzinstitute fühle ich mich viel besser, wenn ich weiß, dass meine Kontoinformationen durch diese strenge Regelung gesichert werden. Die NYDFS-Anforderungen an die Cybersicherheit für Finanzdienstleistungsunternehmen werden einen großen Beitrag zum Schutz der Benutzerdaten vor böswilligen Angriffen leisten.

Michael Magrath ist dafür verantwortlich, die Roadmap für die OneSpan-Lösung weltweit an Standards und behördlichen Anforderungen auszurichten. Er ist Vorsitzender der Government Deployment Working Group der FIDO Alliance und Mitglied des Board of Directors der Electronic Signature and Records