I mai 2017 ga New York State Department of Financial Services (NYDFS) ut 23 NYCRR Part 500, en ny cybersikkerhetsregel. Denne forskriften er nå i full effekt, men nøyaktig hva den er, er kanskje ikke klart.

Siden kunngjøringen har dette settet med krav gjennomgått noen få endringer, og det juridiske språket kan være uklart. Hva er NYDFS cybersikkerhetsforskriften, og hvordan påvirker den deg? La oss ta en nærmere titt.

Hva er NYDFSs Cybersecurity Regulation?

NYDFS cybersikkerhetsforskriften viser sikkerhetskrav for finansielle tjenester i New York. I likhet med Europas generelle databeskyttelsesforordning (GDPR), har disse reglene som mål å beskytte innbyggernes data ved å holde selskaper til en spesifikk standard. I dette tilfellet kommer disse standardene for det meste fra NIST Cybersecurity Framework.

I henhold til disse forskriftene må finansselskaper i New York:

  • Gjennomgå IT-systemenes sikkerhet og personvern med jevne mellomrom.
  • Registrer cybersikkerhetshendelser og oppbevar disse postene i fem år.
    • instagram viewer
  • Ha retningslinjer og prosedyrer for sikker sletting av personlig informasjon de ikke lenger trenger.
  • Begrens tilgangen til personlig identifiserbar informasjon (PII) og gjennomgå disse rettighetene regelmessig.
  • Ha en detaljert skriftlig plan om å oppdage, svare på og komme seg etter cybersikkerhetshendelser.
  • Varsle NYDFS innen 72 timer etter en cybersikkerhetshendelse.

I motsetning til noen lignende lover, inkluderer NYDFS-cybersikkerhetsforskriften detaljerte instruksjoner om hva disse sikkerhets- og rapporteringsplanene skal bestå av. Det krever også at selskaper sørger for at deres tredjeparter er sikre, ikke bare at deres interne operasjoner er det.

Disse kravene gjør denne forskriften til en av de bredeste og strengeste i enhver stat. Bedrifter som bryter dem kan få store bøter, men det fulle omfanget av straffene er fortsatt uklart.

Hvem gjelder NYDFS Cybersecurity Regulation for?

NYDFS cybersikkerhetsforskriften gjelder enhver person eller enhet som trenger en lisens fra NYDFS. Det dekker finans- og forsikringsselskaper i New York, inkludert:

  • Banker.
  • Kredittforeninger.
  • Investeringsselskaper.
  • Lisensierte långivere.
  • Pantemeglere.
  • Forsikringsleverandører.
  • Spare- og låneforeninger.

Disse dekkede enhetene inkluderer lokale virksomheter og utenlandske selskaper med lisens til å jobbe i New York. For eksempel, selv om Deutsche Bank er et tysk selskap, må den overholde 23 NYCRR Part 500 siden den opererer i New York City.

Det er noen få unntak fra denne listen. Selskaper med færre enn 10 ansatte, mindre enn 5 millioner dollar i årlige inntekter fra New York de siste tre årene, eller mindre enn 10 millioner dollar i totale eiendeler ved årsskiftet, er unntatt. Det samme er virksomheter som ikke lagrer eller behandler privat informasjon, men det er usannsynlig for et finansselskap.

Hva betyr cybersikkerhetsforordningen for deg?

Hvis du bor eller bank i staten New York, faller institusjonen din sannsynligvis inn under disse forskriftene. Selv om du ikke gjør det, kan NYDFS cybersikkerhetsforskriften fortsatt gjelde for banken din. Hvis den har en filial som opererer i staten og oppfyller de økonomiske kravene, må den overholde.

Som kunde i banken trenger du ikke ta noen skritt under disse kravene. Du kan imidlertid se noen endringer i hvordan finansinstitusjonen eller forsikringsselskapet ditt opererer. Du må kanskje bruke ekstra sikkerhetstrinn som multifaktorautentisering (MFA) eller justere tillatelsene dine som disse selskapene forbedre sine cybersikkerhetstiltak.

NIST Cybersecurity Framework, som inspirerte disse reglene, inkluderer rettidig informasjonsdeling, som kan påvirke deg. Hvis det er en hendelse i banken eller forsikringsselskapet ditt, må de kanskje varsle deg. Du trenger sannsynligvis ikke å gjøre noe som svar, men du kan forvente å motta denne typen meldinger.

Selv om du ikke har noen juridisk forpliktelse i henhold til 23 NYCRR Part 500, er det best å være forsiktig med din økonomiske informasjon. Bruk alltid unike, sterke passord, aktiver MFA når det er mulig, og gi aldri PII bort til en ukjent kilde. Strengen av disse forskriftene fremhever hvor viktige disse problemene er, så utvis forsiktighet.

Myndigheter tar cybersikkerhet mer seriøst

NYDFS-forordningen om nettsikkerhet er et av mange nyere eksempler på at lokale myndigheter har utstedt lover om nettsikkerhet. Etter hvert som digitale verktøy blir stadig mer vanlig i hverdagen, vil disse reglene bare vokse.

Både forbrukere og bedrifter bør holde seg oppdatert om disse reglene for å sikre at de overholder kravene. Disse endringene kan synes å komplisere ting i begynnelsen, men de er et nødvendig skritt mot bedre sikkerhet.

Hvordan regjeringen spionerer på deg med innsamlede data

Dine sosiale mediekontoer og smarttelefoner samler inn data om deg, og denne informasjonen kan brukes av offentlige etater. Her er hvordan og hvorfor.

Les Neste

DelekvitringE-post
Relaterte temaer
  • Sikkerhet
  • Cybersikkerhet
  • Personvern på nett
  • Datasikkerhet
Om forfatteren
Shannon Flynn (34 artikler publisert)

Shannon er en innholdsskaper lokalisert i Philly, PA. Hun har skrevet i tech-feltet i ca 5 år etter endt utdanning med en grad i IT. Shannon er administrerende redaktør for ReHack Magazine og dekker emner som cybersikkerhet, spill og forretningsteknologi.

Mer fra Shannon Flynn

Abonner på vårt nyhetsbrev

Bli med i vårt nyhetsbrev for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!

Klikk her for å abonnere