Die Cybersicherheitsverordnung des NY DFS (23 NYCRR 500): Was Finanzdienstleister und ihre MSPs wissen müssen

Die meisten der heute aktiven NYDFS-Compliance-Programme wurden auf der Grundlage der ursprünglichen Fassung von 23 NYCRR Part 500 aus dem Jahr 2017 entwickelt. Die Änderungen vom November 2023 haben die Anforderungen wesentlich verändert, und ein Programm, das nicht an die aktuelle Regelung angepasst wurde, läuft nun nach Vorgaben, die nicht mehr gelten.

Dies ist von Bedeutung, da das New Yorker Finanzministerium (Department of Financial Services, DFS) die Vorschriften aktiv durchsetzt und dabei Strafen in einer Größenordnung verhängt, die Finanzteams durchaus zur Kenntnis nehmen. Robinhood zahlte im Jahr 2022 30 Millionen Dollar. EyeMed Vision Care zahlte 4,5 Millionen Dollar. OneMain Financial zahlte im Jahr 2023 4,25 Millionen Dollar. Dies waren keine theoretischen Risiken. Es handelte sich um Ergebnisse von Durchsetzungsmaßnahmen gegen Unternehmen, die nach Einschätzung des DFS die von der Verordnung geforderten Kontrollen nicht umgesetzt hatten.

Dieser Leitfaden erläutert, was 23 NYCRR 500 gemäß der geänderten Regelung tatsächlich vorschreibt, wer die Vorschriften einhalten muss, wie die 72-Stunden- und 24-Stunden-Meldefristen in der Praxis funktionieren, welche Anforderungen die Verordnung an Drittanbieter (d. h. MSPs) stellt und wie man im Falle einer aktiven Überprüfung eine vertretbare Compliance-Position aufbaut. Lesen Sie den Kaseya-Bericht „State of the MSP 2026“, um einen umfassenderen Überblick über den Kontext der Cybersicherheit zu erhalten.

Was ist 23 NYCRR 500?

23 NYCRR Teil 500 ist die Cybersicherheitsverordnung des New York Department of Financial Services (DFS), die am 1. März 2017 in Kraft trat und im November 2023 grundlegend geändert wurde. Die Verordnung verpflichtet betroffene Finanzdienstleistungsunternehmen, ein dokumentiertes Cybersicherheitsprogramm einzurichten, einen CISO zu ernennen, ein festgelegtes Bündel von Sicherheitskontrollen aufrechtzuerhalten und das DFS innerhalb enger Fristen über bestimmte Cybersicherheitsvorfälle zu informieren.

Mit den Änderungen vom November 2023 (der zweiten Änderung von Teil 500) wurden Anforderungen hinzugefügt, die den Veränderungen der Bedrohungslage seit Inkrafttreten der ursprünglichen Regelung Rechnung tragen. Ausgeweitete Verschlüsselungsanforderungen. Verschärfte Vorschriften zur Multi-Faktor-Authentifizierung (MFA), einschließlich einer Umstellung auf phishing-resistente MFA, soweit dies möglich ist. Erhöhte Anforderungen an die kontinuierliche Überwachung. Ein neues 24-Stunden-Meldefenster für Lösegeldzahlungen. Und strengere Kontrollmaßnahmen für große betroffene Unternehmen (Unternehmen der Klasse A).

Für Organisationen, deren Programme zuletzt vor November 2023 umfassend bewertet wurden, bedeutet dies in der Praxis, dass die Lückenanalyse erneut durchgeführt werden muss. Da sich mehrere Anforderungen wesentlich geändert haben und die Zertifizierungsformulierung, die von Führungskräften jährlich verwendet wird, hat die Richtigkeit der Konformitätserklärung persönliche Konsequenzen.

Wer muss die Vorschriften einhalten?

23 NYCRR 500 gilt für jede Person, die im Rahmen einer Lizenz, Registrierung, Zulassung, Bescheinigung, Genehmigung, Akkreditierung oder einer ähnlichen Befugnis gemäß dem New Yorker Bankgesetz, dem Versicherungsgesetz oder dem Finanzdienstleistungsgesetz tätig ist. In der Praxis umfasst dies staatlich zugelassene Banken, Versicherungsgesellschaften, Hypothekendienstleister, Geldtransferunternehmen, Scheckeinlösungsstellen, Prämienfinanzierungsagenturen, lizenzierte Kreditgeber sowie die breitere Gruppe der vom DFS regulierten Unternehmen.

Kleinere Unternehmen können unter Umständen Anspruch auf eine begrenzte Befreiung von bestimmten verbindlichen Anforderungen haben. Die Schwelle für die begrenzte Befreiung gemäß § 500.19 setzt drei Bedingungen voraus: weniger als 20 Mitarbeiter und unabhängige Auftragnehmer, ein Bruttojahresumsatz aus der Geschäftstätigkeit in New York von weniger als 7,5 Millionen US-Dollar und eine Bilanzsumme zum Jahresende von weniger als 15 Millionen US-Dollar. Unternehmen, die alle drei Schwellenwerte erfüllen, können die begrenzte Befreiung in Anspruch nehmen, unterliegen jedoch weiterhin der Anforderung, ein Kernprogramm zur Cybersicherheit zu unterhalten.

Mit den Änderungen vom November 2023 wurde zudem eine Kategorie „Klasse A“ für die größten betroffenen Unternehmen eingeführt, die anhand von Schwellenwerten für Mitarbeiterzahl, Umsatz und Vermögenswerte definiert wird. Unternehmen der Klasse A unterliegen über die Grundregel hinaus zusätzlichen Anforderungen, darunter strengere Überwachungs- und Identitätsmanagementkontrollen. Mittelständische und große Finanzdienstleistungsunternehmen, die in New York tätig sind, sollten prüfen, ob sie unter die Definition der Klasse A fallen, da die zusätzlichen Verpflichtungen erheblich sind.

Drittanbieter, darunter MSPs und Anbieter von Managed Security Services, sind nicht direkt vom DFS lizenziert, fallen jedoch gemäß § 500.11 in den Geltungsbereich der Vorschriften, wonach betroffene Unternehmen verpflichtet sind, die Cybersicherheitspraktiken von Anbietern zu überwachen, die Zugriff auf ihre Systeme oder nicht öffentliche Informationen haben.

Wesentliche Anforderungen gemäß der geänderten Verordnung

Die geänderte Vorschrift umfasst eine Reihe festgelegter Kontrollbereiche. Zu den betrieblich wichtigsten Anforderungen gehören die folgenden.

Ein dokumentiertes Cybersicherheitsprogramm, das auf einer Risikobewertung basiert und die Vertraulichkeit, Integrität und Verfügbarkeit der Informationssysteme der betroffenen Einrichtung abdeckt. Das Programm muss mindestens einmal jährlich überprüft und aktualisiert werden, wenn sich das Risikobild ändert.

Ein qualifizierter CISO – ob intern oder extern – ist für das Programm verantwortlich und verpflichtet, dem Vorstand (oder einem gleichwertigen Leitungsgremium) jährlich über die Wirksamkeit des Programms, wesentliche Risiken und Vorfälle Bericht zu erstatten. Der Jahresbericht wurde durch die Änderungen vom November 2023 inhaltlich erweitert.

Mehrstufige Authentifizierung bei jedem Fernzugriff auf die Informationssysteme der betroffenen Einrichtung, bei jedem Zugriff auf nicht öffentliche Informationen sowie bei allen privilegierten Konten. Mit der Änderung wurde festgelegt, dass nach Möglichkeit eine phishing-resistente MFA (in der Regel eine auf WebAuthn oder FIDO2 basierende Authentifizierung) bevorzugt werden soll, da SMS-basierte und App-basierte Einmalpasswörter mit modernen Phishing-Tools umgangen werden können.

Verschlüsselung nicht öffentlicher Daten während der Übertragung über externe Netzwerke sowie im Ruhezustand. Alternative Ausgleichsmaßnahmen sind nur mit dokumentierter Genehmigung des CISO und einer stichhaltigen Begründung für die Ausnahme zulässig.

Asset-Management und Zugriffskontrollen. Ein aktuelles Verzeichnis aller Informationssysteme, dokumentierte Richtlinien für den Umgang mit nicht öffentlichen Informationen, das Prinzip der geringsten Berechtigungen für alle Benutzerkonten, die Verwaltung privilegierter Zugriffe für erweiterte Berechtigungen sowie jährliche Zugriffsprüfungen.

Kontinuierliche Überwachung der Informationssysteme, mindestens einmal jährlich durchgeführte Penetrationstests und mindestens alle sechs Monate durchgeführte Schwachstellenanalysen. Gerade diese kontinuierliche Überwachung macht die 72-Stunden-Meldefrist operativ umsetzbar und nicht nur ein Wunschziel.

Ein dokumentierter Plan zur Reaktion auf Vorfälle, der die Erkennung, Reaktion, Wiederherstellung, Kommunikation und Nachbetrachtung abdeckt und mindestens einmal jährlich getestet wird. Die Dokumentation dieser Tests ist selbst Teil der Nachweise, die das DFS im Rahmen einer Prüfung erwartet.

Jährliche Cybersicherheitsschulungen für alle Mitarbeiter, einschließlich rollenspezifischer Schulungen für das technische Personal zu aktuellen Bedrohungen. Durch die Änderungen wurden die Anforderungen an eine angemessene Schulung verschärft.

Die Meldepflicht für Vorfälle innerhalb von 72 Stunden

Betroffene Unternehmen müssen das DFS innerhalb von 72 Stunden benachrichtigen, nachdem sie festgestellt haben, dass ein Cybersicherheitsvorfall eingetreten ist, der die Meldeschwelle erreicht. Die Schwelle ist erreicht, wenn ein Vorfall mit hinreichender Wahrscheinlichkeit den normalen Geschäftsbetrieb des Unternehmens erheblich beeinträchtigen könnte oder wenn der Vorfall nicht öffentliche Informationen betrifft.

Mit den Änderungen vom November 2023 wurde eine 24-Stunden-Meldepflicht für Lösegeldzahlungen eingeführt. Betroffene Unternehmen, die eine Lösegeldzahlung leisten, müssen das DFS innerhalb von 24 Stunden nach der Zahlung benachrichtigen und innerhalb von 30 Tagen eine schriftliche Beschreibung des Vorfalls sowie die Gründe für die Zahlung vorlegen.

Die jährliche Bestätigung der Einhaltung der Vorschriften muss von einem leitenden Angestellten oder einem Vorstandsmitglied abgegeben werden, wobei der Wortlaut der Bestätigung eine persönliche Haftung für die Richtigkeit der Compliance-Erklärung begründet. Die Einreichung einer Bestätigung, die den tatsächlichen Stand des Programms falsch darstellt, ist eine Handlung, die nicht nur zivilrechtliche, sondern auch potenzielle persönliche Haftung nach sich zieht.

Die operative Herausforderung bei der 72-Stunden-Frist liegt nicht in der Zeitspanne selbst. Es ist vielmehr die Anforderung, Ereignisse schnell genug zu erkennen, um zu wissen, dass eines eingetreten ist. Ein Vorfall, der am Dienstagmorgen entdeckt wird, der aber bereits am vergangenen Samstag begann, hat den Großteil des 72-Stunden-Fensters bereits aufgebraucht, bevor das Unternehmen überhaupt bemerkt, dass es im Gange ist. Eine kontinuierliche Überwachung – sei es intern oder durch einen MDR-Anbieter – ist entscheidend dafür, dass die Meldepflicht erfüllt und nicht verpasst wird.

Anforderungen an externe Dienstleister

Gemäß Abschnitt 500.11 sind betroffene Unternehmen verpflichtet, Richtlinien und Verfahren zur Sicherheit von Drittanbietern zu implementieren. Zu den Anforderungen gehören die Identifizierung und Risikobewertung aller Drittanbieter, die Zugriff auf nicht öffentliche Informationen oder die Systeme der betroffenen Unternehmen haben, Mindestanforderungen an die Cybersicherheitspraktiken dieser Anbieter (einschließlich Verschlüsselung, Zugriffskontrollen, MFA und Reaktion auf Vorfälle), die regelmäßige Bewertung der Sicherheitspraktiken der Anbieter sowie die Aufnahme von Sicherheitsanforderungen in die Verträge, die die Geschäftsbeziehung regeln.

Für MSPs, die betroffene Finanzdienstleistungskunden in New York betreuen, hat dies unmittelbare operative Auswirkungen. Der MSP muss die Cybersicherheitsstandards erfüllen, zu deren Einhaltung das betroffene Unternehmen vertraglich verpflichtet ist. Dies ist für keine der beiden Seiten optional. Das betroffene Unternehmen kann die Compliance-Anforderungen nicht einhalten, ohne diese Anforderungen an seinen MSP weiterzugeben. Der MSP kann für das betroffene Unternehmen kein tragfähiger Anbieter bleiben, ohne diese Anforderungen nachweislich zu erfüllen.

Betrachten wir ein typisches Szenario: Ein MSP betreut einen mittelgroßen Hypothekenkreditgeber in New York als primären IT- und Sicherheitsanbieter. Der Kreditgeber steht vor einer Prüfung durch das DFS. Der Prüfer verlangt Nachweise für die Durchsetzung der MFA bei allen privilegierten Zugriffen auf die Informationssysteme des Kreditgebers, einschließlich der Zugriffe durch Techniker des MSP. Die Standard-Tools des MSP unterstützen zwar MFA, doch die Durchsetzung wurde seit Monaten nicht mehr überprüft, und drei Technikerkonten von Mitarbeitern, die das Unternehmen im letzten Quartal verlassen haben, wurden verspätet deaktiviert. Der MSP wird zu einer Schwachstelle in der Compliance-Situation des Kreditgebers, und der Kreditgeber wird zu einer Schwachstelle in der geschäftlichen Position des MSP. Beide Probleme lassen sich darauf zurückführen, dass der MSP sein eigenes Programm nicht gemäß dem Standard betreibt, den die Vorschriften von seinem Kunden erwarten.

Die praktische Grundlage für MSPs, die Finanzdienstleistungskunden in New York betreuen, ist klar und einfach: Dokumentieren Sie das Cybersicherheitsprogramm. Setzen Sie eine Phishing-resistente MFA für jedes Konto durch, das mit der Kundenumgebung in Berührung kommt. Halten Sie einen erprobten Plan zur Reaktion auf Vorfälle bereit. Führen Sie eine kontinuierliche Überwachung durch. Und bewahren Sie die Nachweise dafür auf, dass all dies tatsächlich geschieht – in einem Format, das einer Kundenprüfung standhält, denn diese Prüfung steht bevor.

Durchsetzung: Was das DFS unternommen hat

Die Durchsetzungsbilanz des DFS zeigt, dass es sich hierbei nicht um eine reine Papiervorschrift handelt. Die veröffentlichten Vergleichsvereinbarungen weisen ein einheitliches Muster auf: Mängel in den Bereichen MFA, Zugriffskontrollen, Verwaltung von Drittanbietern und Fähigkeiten zur Reaktion auf Vorfälle sind die Hauptziele der Durchsetzungsmaßnahmen.

Die First American Financial Corp. einigte sich 2021 auf einen Vergleich in Höhe von 500.000 US-Dollar wegen Verstößen, darunter das Versäumnis, angemessene Risikobewertungen durchzuführen, sowie das Versäumnis, bekannte Schwachstellen zu beheben. Robinhood Crypto schloss 2022 einen Vergleich in Höhe von 30 Millionen US-Dollar wegen Mängeln im Cybersicherheitsprogramm ab. EyeMed Vision Care einigte sich 2022 auf einen Vergleich in Höhe von 4,5 Millionen US-Dollar nach einer Datenschutzverletzung, von der etwa 2,1 Millionen Personen betroffen waren; in der Einigung wurden Mängel im Zugriffsmanagement und bei der MFA angeführt. OneMain Financial einigte sich 2023 auf einen Vergleich in Höhe von 4,25 Millionen US-Dollar wegen festgestellter Programm-Lücken.

In jedem dieser Vergleichsvereinbarungen werden konkrete Kontrollmängel benannt, anstatt allgemeine Compliance-Verstöße zu ahnden. Dies gibt ein klares Signal dafür, worauf sich die künftige Durchsetzung voraussichtlich konzentrieren wird. MFA-Abdeckung. Disziplin bei der Zugriffsverwaltung. Behebung von Schwachstellen. Überwachung von Drittanbietern. Fähigkeit zur Reaktion auf Vorfälle.

Compliance-Leitfaden für betroffene Unternehmen und ihre MSPs

Die Arbeit gliedert sich in fünf Phasen.

Führen Sie eine neue Lückenanalyse anhand der geänderten Verordnung durch. Falls bei der letzten umfassenden Bewertung die Fassung der Verordnung aus dem Jahr 2017 zugrunde gelegt wurde, wiederholen Sie diese anhand der Änderungen vom November 2023. In mehreren Kontrollbereichen gelten neue oder verschärfte Anforderungen, und Annahmen, die in Programmen aus der Zeit vor 2023 zugrunde gelegt wurden, sind nicht mehr zuverlässig.

Legen Sie den Schwerpunkt auf MFA und Zugriffskontrollen. Dies sind die am häufigsten genannten Mängel in den veröffentlichten Durchsetzungsmaßnahmen. Eine Phishing-resistente MFA für alle privilegierten Zugriffe, alle Zugriffe auf nicht öffentliche Informationen und alle Fernzugriffe ist die unverzichtbare Grundvoraussetzung. Darüber hinaus sollten Sie die Häufigkeit der Zugriffsprüfungen sowie den Offboarding-Workflow dokumentieren, der sicherstellt, dass gesperrte Konten tatsächlich gesperrt werden.

Richten Sie eine kontinuierliche Überwachungslösung ein oder beauftragen Sie einen entsprechenden Dienstleister damit. Die 72-Stunden-Meldefrist erfordert Erkennungsfunktionen, die schnell genug sind, um meldepflichtige Vorfälle umgehend zu identifizieren. Eine Rund-um-die-Uhr-Überwachung durch ein internes SOC, einen Managed-SIEM-Dienst oder einen MDR-Anbieter ist die praktische Lösung.

Überprüfen und testen Sie den Plan zur Reaktion auf Vorfälle. Führen Sie die Übung mindestens einmal jährlich durch. Dokumentieren Sie die Tests und die nach der Übung vorgenommenen Verbesserungen. Nehmen Sie den Benachrichtigungsworkflow für das DFS als eigenständiges Runbook in den Plan auf, einschließlich namentlich genannter Verantwortlicher und eines vorformulierten Entwurfs für die frühzeitige Benachrichtigung.

Die Sicherheit von Drittanbietern bewerten und dokumentieren. Betroffene Unternehmen sollten eine Bestandsaufnahme ihrer MSPs und anderer betroffener Anbieter vornehmen, deren Sicherheitspraktiken in festgelegten Abständen bewerten und ihre Verträge an die Anforderungen von §500.11 anpassen. MSPs sollten die Nachweisdokumente proaktiv vorbereiten, da das Warten auf das Audit des Kunden zu lange dauert.

Compliance Manager GRC die Bewertung gemäß 23 NYCRR 500 im Rahmen seiner Framework-Bibliothek. Damit können betroffene Unternehmen und ihre IT-Teams den Compliance-Status im Hinblick auf die geänderte Vorschrift nachverfolgen, Kontrollmaßnahmen dokumentieren, Bewertungen durch Dritte verwalten und die Nachweise erstellen, die das DFS bei einer Prüfung erwartet. Entdecken Sie Compliance Manager GRC für den operativen Betrieb eines NYDFS-Programms im Dauerbetrieb, anstatt es unter dem Druck einer Prüfung neu aufbauen zu müssen.

Die Finanzdienstleistungsunternehmen und MSPs, die die Prüfungen des DFS ohne Beanstandungen bestehen, sind nicht unbedingt diejenigen mit den teuersten Sicherheitslösungen. Es sind vielmehr jene, deren Programmdokumentation der betrieblichen Realität entspricht, deren Nachweise aktuell und nicht nachträglich erstellt sind und deren jährliche Zertifizierung der Zertifizierungsbeauftragte ohne vorherige eingehende Rücksprache mit der Rechtsabteilung unterzeichnen kann. Die geänderte Vorschrift 23 NYCRR 500 ist eine bedeutende Regelung, die von einer aktiven Aufsichtsbehörde mit nachweislicher Erfolgsbilanz durchgesetzt wird. Der Ausgangspunkt für die Einhaltung dieser Vorschrift besteht darin, sie als fortlaufende Verpflichtung zu betrachten und nicht als ein Projekt, das irgendwann endet.