I maj 2017 släppte New York State Department of Financial Services (NYDFS) 23 NYCRR Part 500, en ny cybersäkerhetsregel. Denna förordning är nu i full effekt, men exakt vad det är är kanske inte klart.

Sedan tillkännagivandet har denna uppsättning krav genomgått några ändringar, och dess juridiska språk kan vara otydligt. Vad är NYDFS cybersäkerhetsförordning och hur påverkar den dig? Låt oss ta en närmare titt.

Vad är NYDFS: s cybersäkerhetsförordning?

NYDFS cybersäkerhetsförordningar säkerhetskrav för finansiella tjänster i New York. Liksom Europas allmänna dataskyddsförordning (GDPR), syftar dessa regler till att skydda medborgarnas data genom att hålla företag enligt en specifik standard. I det här fallet kommer dessa standarder mestadels från NIST Cybersecurity Framework.

Enligt dessa regler måste finansiella företag i New York:

  • Se regelbundet över deras IT-systems säkerhet och datasekretess.
  • Spela in cybersäkerhetshändelser och spara dessa register i fem år.
  • Ha policyer och rutiner för att säkert radera personlig information som de inte längre behöver.
    • instagram viewer
  • Begränsa åtkomsten till personligt identifierbar information (PII) och se regelbundet över dessa privilegier.
  • Ha en detaljerad skriftlig plan om att upptäcka, reagera på och återhämta sig från cybersäkerhetsincidenter.
  • Meddela NYDFS inom 72 timmar efter en cybersäkerhetshändelse.

Till skillnad från vissa liknande lagar innehåller NYDFS cybersäkerhetsförordningen detaljerade anvisningar om vad dessa säkerhets- och rapporteringsplaner ska bestå av. Det kräver också att företag ser till att deras tredje parter är säkra, inte bara att deras interna verksamhet är det.

Dessa krav gör denna förordning till en av de bredaste och strängaste av alla stater. Företag som bryter mot dem kan få rejäla böter, men den fulla omfattningen av påföljderna är fortfarande oklart.

Vem gäller NYDFS Cybersecurity Regulation för?

NYDFS cybersäkerhetsförordning gäller vilken person eller enhet som helst som kräver en licens från NYDFS. Det täcker finans- och försäkringsbolag i New York, inklusive:

  • Banker.
  • Kreditföretag.
  • Investmentbolag.
  • Licensierade långivare.
  • Bolånemäklare.
  • Försäkringsgivare.
  • Spar- och låneföreningar.

Dessa omfattade enheter inkluderar lokala företag och utländska företag som har licens att arbeta i New York. Till exempel, även om Deutsche Bank är ett tyskt företag, måste det följa 23 NYCRR Part 500 sedan det är verksamt i New York City.

Det finns några undantag från denna lista. Företag med färre än 10 anställda, mindre än 5 miljoner USD i årliga intäkter från New York under de senaste tre åren eller mindre än 10 miljoner USD i totala tillgångar vid årets slut är undantagna. Detsamma gäller företag som inte lagrar eller behandlar privat information, men det är osannolikt för ett finansiellt tjänsteföretag.

Vad betyder Cybersäkerhetsförordningen för dig?

Om du bor eller bank i delstaten New York faller din institution förmodligen under dessa regler. Även om du inte gör det kan NYDFS-förordningen om cybersäkerhet fortfarande gälla för din bank. Om den har en filial som är verksam i staten och uppfyller de ekonomiska kraven, måste den följa.

Som kund hos banken behöver du inte vidta några åtgärder enligt dessa krav. Du kan dock se vissa förändringar i hur ditt finansinstitut eller försäkringsbolag fungerar. Du kan behöva använda ytterligare säkerhetssteg som multifaktorautentisering (MFA) eller justera dina behörigheter eftersom dessa företag förbättra sina cybersäkerhetsåtgärder.

NIST Cybersecurity Framework, som inspirerade dessa regler, inkluderar informationsdelning i rätt tid, vilket kan påverka dig. Om det inträffar en incident hos din bank eller försäkringsbolag kan de behöva meddela dig. Du behöver förmodligen inte göra något som svar, men du kan förvänta dig att få den här typen av meddelanden.

Även om du inte har någon juridisk skyldighet enligt 23 NYCRR Part 500, är ​​det bäst att vara försiktig med din ekonomiska information. Använd alltid unika, starka lösenord, aktivera MFA när det är möjligt och ge aldrig bort PII till en okänd källa. De strikta reglerna visar hur viktiga dessa frågor är, så var försiktig.

Regeringar tar cybersäkerhet på större allvar

NYDFS cybersäkerhetsförordning är ett av många nya exempel på lokala myndigheter som utfärdar cybersäkerhetslagar. I takt med att digitala verktyg blir allt vanligare i vardagen kommer dessa regler bara att växa.

Både konsumenter och företag bör hålla sig uppdaterade om dessa regler för att säkerställa att de följer dem. Dessa förändringar kan tyckas komplicera saker till en början, men de är ett nödvändigt steg mot bättre säkerhet.

Hur regeringen spionerar på dig med insamlad data

Dina sociala mediekonton och smartphones samlar in data om dig, och den informationen kan användas av statliga myndigheter. Här är hur och varför.

Läs Nästa

Dela med sigTweetE-post
Relaterade ämnen
  • säkerhet
  • Cybersäkerhet
  • Sekretess online
  • Datasäkerhet
Om författaren
Shannon Flynn (34 artiklar publicerade)

Shannon är en innehållsskapare i Philly, PA. Hon har skrivit inom teknikområdet i cirka 5 år efter examen med IT-examen. Shannon är chefredaktör för ReHack Magazine och tar upp ämnen som cybersäkerhet, spel och affärsteknologi.

Mer från Shannon Flynn

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!

Klicka här för att prenumerera