Od 1 listopada 2024 r. Departament Usług Finansowych Stanu Nowy Jork (NYDFS) oficjalnie wprowadził zmienione przepisy dotyczące cyberbezpieczeństwa.
Najważniejsze aktualizacje, które musisz znać:
Ład korporacyjny i nadzór
Dyrektor ds. bezpieczeństwa informacji musi teraz zgłaszać zagrożenia i incydenty związane z cyberbezpieczeństwem bezpośrednio zarządowi lub organowi zarządzającemu wyższego szczebla. Gwarantuje to, że cyberbezpieczeństwo zmieni się z kwestii na poziomie IT w podstawowy priorytet biznesowy.
Obowiązkowe szyfrowanie informacji niepublicznych
Szyfrowanie danych nie jest już opcjonalne. Wrażliwe informacje muszą być szyfrowane zarówno podczas przesyłania, jak i przechowywania, a kontrole kompensacyjne są dozwolone tylko wtedy, gdy zostały wyraźnie zatwierdzone przez CISO.
Planowanie reakcji na incydenty
Organizacje muszą posiadać kompleksowy plan reagowania na incydenty, który obejmuje wewnętrzne protokoły reagowania, procesy odzyskiwania kopii zapasowych i analizę przyczyn źródłowych. W celu zapewnienia gotowości wymagane jest coroczne testowanie.
Ciągłość działania i odzyskiwanie danych po awarii
Podmioty muszą ustanowić solidny plan ciągłości działania i odzyskiwania po awarii, aby utrzymać operacje podczas incydentów cybernetycznych i zapewnić szybkie przywrócenie krytycznych systemów.
Szkolenie pracowników w zakresie cyberbezpieczeństwa
Regularne szkolenia dla wszystkich pracowników - zwłaszcza tych zaangażowanych w reagowanie na incydenty i usuwanie skutków awarii - są teraz obowiązkowe, aby stworzyć kulturę bezpieczeństwa.
Kontrola dostępu i zarządzanie tożsamością
Ulepszone uwierzytelnianie wieloskładnikowe i praktyki zarządzania tożsamością są wymagane, aby zapewnić, że tylko upoważniony personel może uzyskać dostęp do wrażliwych systemów i danych.
Firmy klasy A
Większe organizacje wyznaczone jako podmioty klasy A podlegają dodatkowej kontroli, w tym wzmocnionej ocenie ryzyka i bardziej rygorystycznym środkom zarządzania.
Chociaż wiele przepisów już weszło w życie, dodatkowe wymagania zostaną wprowadzone w 2025 roku.
New NYDFS Cybersecurity Regulations Now in Effect
As of November 1, 2024, the New York State Department of Financial Services (NYDFS) has officially rolled out its amended cybersecurity regulations.
Key Updates You Need to Know:
Corporate Governance & Oversight
The Chief Information Security Officer must now report cybersecurity risks and incidents directly to the board or senior governing body. This ensures that cybersecurity moves from an IT-level concern to a core business priority.
Mandatory Encryption of Nonpublic Information
Data encryption is no longer optional. Sensitive information must be encrypted both in transit and at rest, with compensating controls only allowed if explicitly approved by the CISO.
Incident Response Planning
Organizations must have a comprehensive incident response plan that includes internal response protocols, backup recovery processes, and root cause analysis. Annual testing is required to ensure readiness.
Business Continuity & Disaster Recovery
Entities must establish a robust business continuity and disaster recovery plan to maintain operations during cyber incidents and ensure rapid restoration of critical systems.
Employee Cybersecurity Training
Regular training for all employees—especially those involved in incident response and disaster recovery—is now mandatory to create a culture of security.
Access Controls & Identity Management
Enhanced multi-factor authentication and identity management practices are required to ensure that only authorized personnel can access sensitive systems and data.
Class A Companies
Larger organizations designated as Class A entities face additional scrutiny, including enhanced risk assessments and stricter governance measures.
While many provisions are already in effect, additional requirements will roll out throughout 2025.
Autor: Sebastian Burgemejster
Comments