Début 2017, le Département des services financiers de l'État de New York (DFS) a institué une réglementation visant à établir des exigences en matière de cybersécurité pour les sociétés de services financiers. Cette législation, connue sous le nom de 23 NYCRR 500, a été adoptée en réponse aux violations de données et aux menaces cyber qui augmentaient à un rythme alarmant, exposant des données sensibles et coûtant des millions de dollars aux organisations. La loi a été modifiée en novembre 2022 pour tenir compte des risques les plus récents pour les systèmes d'information et les données, les mises à jour devant entrer en vigueur en 2023.
Ce billet examine quelles organisations doivent se conformer à la loi, les principales dispositions relatives à la gestion des risques liés aux tiers dans le 23 NYCRR 500, et les meilleures pratiques pour satisfaire aux exigences.
Selon le règlement, "toute personne opérant ou devant opérer en vertu d'une licence, d'un enregistrement, d'une charte, d'un certificat, d'un permis, d'une accréditation ou d'une autorisation similaire en vertu de la loi bancaire, de la loi sur les assurances ou de la loi sur les services financiers, indépendamment du fait que l'entité couverte soit également réglementée par d'autres agences gouvernementales" est considérée comme une "entité couverte" et doit s'y conformer - même les organisations qui n'ont pas leur siège social à New York.
Cependant, il existe quelques exemptions à la loi. L'amendement de novembre 2022 a mis à jour les critères d'exemption pour exclure les entités couvertes avec :
En outre, les modifications apportées au règlement en novembre 2022 désignent les entreprises de "classe A" afin d'imposer des exigences plus strictes aux organisations de services financiers de plus grande taille. Les entreprises de classe A sont celles dont le revenu annuel brut s'élève à au moins 20 millions de dollars pour chacune des deux dernières années fiscales, provenant des opérations commerciales de l'entité couverte et de ses affiliés dans l'État de New York et de l'État de New York :
Les entreprises de catégorie A doivent satisfaire à des exigences supplémentaires par rapport à toutes les entités couvertes, notamment
Avec les récentes pénalités du NYCRR 500 s'élevant à 4,5 millions de dollars, il est essentiel que les organisations comprennent l'impact de ce règlement sur elles.
Conçue pour protéger la confidentialité, l'intégrité et la disponibilité des informations relatives aux clients ainsi que des systèmes informatiques, cette réglementation sur la cybersécurité impose aux entités concernées de prendre les mesures suivantes :
La gestion des contrôles de sécurité informatique et des politiques de confidentialité des données de vos fournisseurs est un élément clé de la conformité au 23 NYCRR 500. La section 500.11(a) traite directement de la politique de sécurité des fournisseurs de services tiers. Elle exige des entités couvertes qu'elles disposent d'une politique écrite qui traite de la sécurité des systèmes d'information des tiers sur la base d'une évaluation des risques, et elle exige que la politique couvre :
L'article 500.11(b) décrit ensuite les politiques et procédures spécifiques sur lesquelles les entités couvertes doivent faire preuve de diligence raisonnable, telles que les contrôles d'accès, l'authentification multifactorielle (MFA), le cryptage et les rapports de réponse aux incidents. Les autres sections du règlement applicables à la gestion des risques des tiers sont les sections 500.16 (continuité des activités) et 500.17 (réponse aux incidents des tiers).
Quel sera l'impact de 23 NYCRR 500 sur votre programme TPRM ?
Téléchargez ce guide pour découvrir comment se conformer aux mandats d'évaluation des risques et de documentation des tiers, y compris ceux couverts par l'amendement de novembre 2022.
Mettre en œuvre des politiques et des procédures écrites destinées à garantir la sécurité des systèmes d'information et des informations non publiques qui sont accessibles à des prestataires de services tiers ou détenues par ceux-ci.
La mise en œuvre d'une politique de sécurité pour les fournisseurs de services tiers doit comprendre les éléments suivants :
PrevalentLa plateforme de gestion des risques liés aux tierces parties de la Banque mondiale permet aux institutions financières de répondre à ces exigences dans l'ensemble de leur écosystème de fournisseurs. Elle fournit une solution complète pour l'évaluation des risques liés aux fournisseurs, y compris :
La plateforme Prevalent comprend également cyber, une surveillance de l' activité, de la réputation et de l'information financière afin de détecter les menaces potentielles permanentes pesant sur une entité couverte.
Établir des plans écrits contenant des mesures proactives pour étudier et atténuer les événements perturbateurs et assurer la résilience opérationnelle, y compris, mais sans s'y limiter, des plans de réponse aux incidents, de continuité des activités et de reprise après sinistre.
Garantir la résilience de l'entreprise devrait inclure l'automatisation de l'évaluation, de la surveillance continue, de l'analyse et de la correction des pratiques de résilience et de continuité de l'activité des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes NIST, ISO et d'autres cadres de contrôle. Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité. La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises basée sur les pratiques de la norme ISO 22301.
Avis sur les événements liés à la cybersécurité.
Pour satisfaire à l'obligation de notifier le département des services financiers dans les 72 heures à compter du moment où vous avez connaissance d'un événement lié à la cybersécurité, établissez des plans proactifs de réponse aux incidents impliquant des tiers, qui comprennent :
Répondre efficacement aux exigences communiquées dans le 23 NYCRR 500 est une tâche impossible si vous comptez uniquement sur des feuilles de calcul pour collecter, analyser, remédier et rendre compte des contrôles de cybersécurité. La plateforme de gestion des risques des tiersPrevalent permet à votre institution de services financiers de répondre aux exigences du 23 NYCRR 500 dans l'ensemble de son écosystème de fournisseurs. La plateforme fournit :
Pour en savoir plus sur la mise en conformité avec le 23 NY CRR 500, téléchargez notre liste de contrôle de conformité ou contactez-nous pour planifier une démonstration.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024