NYDFS Cybersecurity Regulation

What is the Goal of the NYDFS Cybersecurity Regulation?

The NYDFS issued the final Cybersecurity Regulation (23 NYCRR Part 500) 为了应对日益复杂的网络犯罪和日益不稳定的局面 网络安全 climate facing US financial institutions. 该法规的目标是确保敏感客户数据的保护，并促进受监管实体的信息技术系统的完整性.

该法规要求受监管实体评估其网络安全风险概况，并实施一项识别和减轻风险的综合计划. 已经制定了某些最低监管标准，以帮助组织防止数据泄露, 包括:

• 基于风险的信息技术系统最低标准，包括数据保护和 data encryption, access controls, 和 penetration testing.
• Requirements that a program is adequately funded, 由首席信息安全官(可以包括第三方服务提供商)监督, 和 implemented by qualified 网络安全 personnel.
• 有效的 incident response plans 这包括保存数据以应对数据泄露，并及时向NYDFS通知重大事件.
• 通过识别和记录缺陷提供责任, remediation plans, 和 certifications of compliance on an annual basis.

Changes to the Final Regulation

你可能已经熟悉了最初提出的监管规则, 但重要的是要注意，最终的规定包括一些重要的变化, 包括:

• 审计跟踪-数据保留要求从5年减少到3年.
• 请注意-受保实体关于第三方服务提供商提供的通知的政策和程序仅影响受保实体由该第三方服务提供商持有的非公开信息.
• 报告-澄清受保实体何时必须向NYDFS提供网络安全事件通知.
• 豁免-有限豁免现在包括承保实体在纽约的附属公司的年总收入和雇员人数.
• 保险-澄清受纽约保险法管制的公司的豁免规则.

Who is Affected Under the NYDFS Cybersecurity Regulation?

NYDFS网络安全条例涵盖了由金融服务部监管的任何组织. This includes:

• Licensed lenders
• 状态-chartered 银行
• 信任 companies
• Service contract providers
• Private bankers
• Mortgage companies
• 保险 companies doing business in New York
• 班.S. 银行 licensed to operate in New York

该规例为下列组织提供豁免:

• Fewer than 10 employees
• 三年的年总收入低于500万美元，或者
• Less than $10 million in year-end total assets

How Do Businesses Become Compliant?

The clock started ticking when the NYDFS Cybersecurity Regulation 23 NYCRR Part 500 took effect on 2017年3月1日. 仅在第一年就有多个里程碑和最后期限要达到, 希望变得合规的组织将需要密切关注日历.

受保护的实体必须在8月28日之前符合该法规的某些部分, 2017, 并且必须在2月15日之前向NYDFS主管办公室提交第一份合规证明, 2018.  

下文根据最后期限概述了实现合规的重要步骤.

Important Dates

2017年3月1日 – 有效的 date of final 23 NYCRR Part 500. August 28, 2017 - 180天标志:除非另有说明，否则受监管实体必须符合23 NYCRR第500部分.

为达到并保持合规性，在此日期之前，承保实体必须:

• Establish an 有效的 Cybersecurity Program—Section 500.02
• 创建并维护书面网络安全政策——第500部分.03
• 指定一名首席信息安全官(CISO)——第500条.04
• 雇用合格的网络安全人员或利用第三方提供商-第500条.10
• Establish an Incident Response Plan— Section 500.16

February 15, 2018 -承保实体必须根据23 NYCRR 500提交其第一份合规证明.17(b) on or before this date. 2018年3月1日 – One-year mark. To maintain compliance, by this date organizations must:

• Report: CISO Must File Cybersecurity Report— Section 500.04(b)
• 定期进行渗透测试及漏洞管理-第500条.05
• Conduct Bi-annual Risk Assessments— Section 500.09

September 3, 2018 – 1.5年马克. By this date, Covered Entities must prove they’ve:

• Maintained an Audit Trail—500.06
• Implemented Application Security Protocols—500.08

Achieving 和 maintaining 网络安全 compliance 这是一个复杂的过程，但并不一定是一个困难或有压力的过程. 有一些资源可以帮助你采取积极主动的行动, 数据驱动的全面网络安全方法可以帮助您的组织完全遵守法规，保护您的业务有价值的数据并保护客户的敏感信息.

Read More About Regulations & 合规

合规: Latest 新闻 from the 博客