In mei 2017 bracht het New York State Department of Financial Services (NYDFS) 23 NYCRR Part 500 uit, een nieuwe regel voor cyberbeveiliging. Deze verordening is nu volledig van kracht, maar wat het precies is, is misschien niet duidelijk.
Sinds de aankondiging heeft deze reeks vereisten enkele wijzigingen ondergaan en kan de juridische taal onduidelijk zijn. Wat is de cyberbeveiligingsregelgeving van NYDFS en welke invloed heeft deze op u? Laten we dat eens van dichterbij bekijken.
Wat is de cyberbeveiligingsverordening van NYDFS?
De NYDFS cybersecurity regelgeving lijsten beveiligingsvereisten voor financiële diensten in New-York. Net als de Europese Algemene Verordening Gegevensbescherming (AVG), zijn deze regels bedoeld om de gegevens van burgers te beschermen door bedrijven aan een specifieke norm te houden. In dit geval komen deze normen meestal uit: het NIST Cybersecurity Framework.
Volgens deze regelgeving moeten financiële bedrijven in New York:
- Controleer regelmatig de beveiliging en gegevensprivacy van hun IT-systemen.
- Registreer cyberbeveiligingsgebeurtenissen en bewaar deze gegevens vijf jaar.
- Beschikken over beleid en procedures voor het veilig verwijderen van persoonlijke informatie die ze niet langer nodig hebben.
- Beperk de toegang tot persoonlijk identificeerbare informatie (PII) en bekijk deze privileges regelmatig.
- Heb een gedetailleerd schriftelijk plan over het ontdekken, reageren op en herstellen van cyberbeveiligingsincidenten.
- Breng NYDFS binnen 72 uur op de hoogte van een cyberbeveiligingsgebeurtenis.
In tegenstelling tot sommige vergelijkbare wetten, bevat de NYDFS-cyberbeveiligingsverordening gedetailleerde aanwijzingen over waaruit deze beveiligings- en rapportageplannen moeten bestaan. Het vereist ook dat bedrijven ervoor zorgen dat hun derde partijen veilig zijn, niet alleen dat hun interne activiteiten dat ook zijn.
Deze vereisten maken deze verordening tot een van de ruimste en strengste van alle staten. Bedrijven die ze overtreden, kunnen hoge boetes krijgen, maar de volledige omvang van de straffen is nog onduidelijk.
Op wie is de NYDFS Cybersecurity-verordening van toepassing?
De cyberbeveiligingsregelgeving van NYDFS geldt voor elke persoon of entiteit waarvoor een licentie van de NYDFS nodig is. Dat dekt financiële en verzekeringsmaatschappijen in New York, waaronder:
- banken.
- Kredietverenigingen.
- Investeringsmaatschappijen.
- Erkende kredietverstrekkers.
- Hypotheek makelaars.
- Verzekeraars.
- Spaar- en leenverenigingen.
Deze gedekte entiteiten omvatten lokale bedrijven en buitenlandse bedrijven die een vergunning hebben om in New York te werken. Hoewel Deutsche Bank bijvoorbeeld een Duits bedrijf is, moet het voldoen aan 23 NYCRR Part 500 sinds het is actief in New York City.
Er zijn een paar uitzonderingen op deze lijst. Bedrijven met minder dan 10 werknemers, minder dan $ 5 miljoen aan jaarlijkse inkomsten uit New York in de afgelopen drie jaar, of minder dan $ 10 miljoen aan totale activa aan het einde van het jaar, zijn vrijgesteld. Dat geldt ook voor bedrijven die geen privé-informatie opslaan of verwerken, maar dat is onwaarschijnlijk voor een financiële dienstverlener.
Wat betekent de Cybersecurityverordening voor u?
Woont of bankiert u in de staat New York, dan valt uw instelling waarschijnlijk onder deze regeling. Zelfs als u dat niet doet, kan de NYDFS-cyberbeveiligingsverordening nog steeds van toepassing zijn op uw bank. Als het een filiaal heeft dat in de staat actief is en aan de financiële vereisten voldoet, moet het hieraan voldoen.
U hoeft als klant van de bank geen stappen te ondernemen op grond van deze eisen. Mogelijk ziet u echter enkele veranderingen in de manier waarop uw financiële instelling of verzekeraar werkt. Mogelijk moet u aanvullende beveiligingsstappen gebruiken, zoals multifactor-authenticatie (MFA) of uw machtigingen aanpassen als deze bedrijven hun cyberbeveiligingsmaatregelen verbeteren.
Het NIST Cybersecurity Framework, dat de inspiratie vormde voor deze regels, omvat het tijdig delen van informatie, die van invloed kunnen zijn op u. Als er een incident is bij uw bank of verzekeraar, kan het zijn dat zij u hiervan op de hoogte moeten stellen. U hoeft waarschijnlijk niets te doen als reactie, maar u kunt dit soort berichten verwachten.
Zelfs als u geen wettelijke verplichting hebt onder 23 NYCRR Part 500, kunt u het beste voorzichtig zijn met uw financiële informatie. Gebruik altijd unieke, sterke wachtwoorden, schakel waar mogelijk MFA in en geef nooit PII weg aan een onbekende bron. De striktheid van deze voorschriften laat zien hoe belangrijk deze kwesties zijn, dus wees voorzichtig.
Overheden nemen cyberbeveiliging serieuzer
De cyberbeveiligingsverordening van de NYDFS is een van de vele recente voorbeelden van lokale overheden die cyberbeveiligingswetten uitvaardigen. Naarmate digitale tools steeds gebruikelijker worden in het dagelijks leven, zullen deze regels alleen maar toenemen.
Zowel consumenten als bedrijven moeten op de hoogte blijven van deze regelgeving om ervoor te zorgen dat ze voldoen. Deze wijzigingen lijken in eerste instantie misschien ingewikkeld, maar ze zijn een noodzakelijke stap naar een betere beveiliging.
Uw sociale media-accounts en smartphones verzamelen gegevens over u en die informatie kan worden gebruikt door overheidsinstanties. Hier is hoe en waarom.
Lees volgende
- Veiligheid
- Cyberbeveiliging
- Onlineprivacy
- Dataveiligheid
Shannon is een maker van inhoud in Philly, PA. Ze schrijft al ongeveer 5 jaar in het technische veld na haar afstuderen met een graad in IT. Shannon is de hoofdredacteur van ReHack Magazine en behandelt onderwerpen als cyberbeveiliging, gaming en bedrijfstechnologie.
Abonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Klik hier om je te abonneren
