De cyberbeveiligingsregelgeving van het New York DFS (23 NYCRR 500): wat financiële dienstverleners en hun MSP’s moeten weten

De meeste NYDFS-complianceprogramma’s die momenteel actief worden gebruikt, zijn opgezet op basis van de oorspronkelijke versie van 23 NYCRR Part 500 uit 2017. De wijzigingen van november 2023 hebben de vereisten ingrijpend veranderd, en een programma dat niet is aangepast aan de huidige regelgeving, voldoet nu niet meer aan eisen die niet langer gelden.

Dit is van belang omdat het New York Department of Financial Services de regelgeving actief handhaaft, met boetes van een omvang die financiële afdelingen zeker opmerken. Robinhood betaalde in 2022 30 miljoen dollar. EyeMed Vision Care betaalde 4,5 miljoen dollar. OneMain Financial betaalde in 2023 4,25 miljoen dollar. Dit waren geen theoretische risico's. Het waren handhavingsmaatregelen tegen entiteiten die, naar het oordeel van het DFS, de door de regelgeving vereiste controles niet hadden geïmplementeerd.

In deze gids wordt uitgelegd wat 23 NYCRR 500 precies voorschrijft volgens de gewijzigde regelgeving, wie hieraan moet voldoen, hoe de meldingstermijnen van 72 uur en 24 uur in de praktijk werken, welke verplichtingen de regelgeving oplegt aan externe dienstverleners (dat wil zeggen MSP’s), en hoe u een verdedigbare nalevingspositie kunt opbouwen in het kader van een lopend onderzoek. Lees het Kaseya State of the MSP-rapport 2026 voor de bredere context van cyberbeveiliging.

Wat is 23 NYCRR 500?

23 NYCRR Deel 500 is de cyberbeveiligingsverordening van het New York Department of Financial Services (DFS), die op 1 maart 2017 van kracht is geworden en in november 2023 ingrijpend is gewijzigd. De verordening verplicht de betrokken financiële dienstverleners om een gedocumenteerd cyberbeveiligingsprogramma op te zetten, een CISO aan te stellen, een vastomlijnde reeks beveiligingsmaatregelen te handhaven en het DFS binnen strikte termijnen op de hoogte te stellen van specifieke cyberbeveiligingsincidenten.

De wijzigingen van november 2023 (de tweede wijziging van deel 500) hebben eisen toegevoegd die recht doen aan de veranderingen in het dreigingslandschap sinds de oorspronkelijke regelgeving. Uitgebreide versleutelingsvereisten. Aangescherpte voorschriften voor meervoudige authenticatie (MFA), waaronder een verschuiving naar phishingbestendige MFA waar mogelijk. Verhoogde verwachtingen ten aanzien van continue monitoring. Een nieuwe meldingstermijn van 24 uur voor het betalen van losgeld. En een strengere reeks controles die van toepassing zijn op grote onder de regelgeving vallende entiteiten (bedrijven van klasse A).

Voor organisaties waarvan de programma’s voor het laatst vóór november 2023 grondig zijn beoordeeld, betekent dit in de praktijk dat de lacuneanalyse opnieuw moet worden uitgevoerd. Er zijn verschillende vereisten ingrijpend gewijzigd, en gezien de certificeringsformulering die jaarlijks door leidinggevenden wordt gebruikt, heeft de juistheid van de nalevingsverklaring persoonlijke gevolgen.

Wie moet zich hieraan houden

23 NYCRR 500 is van toepassing op iedereen die werkzaam is op basis van een vergunning, registratie, charter, certificaat, toestemming, accreditatie of soortgelijke machtiging krachtens de New York Banking Law, de Insurance Law of de Financial Services Law. In de praktijk betreft dit door de staat erkende banken, verzekeringsmaatschappijen, hypotheekbeheerders, geldtransactiekantoren, cheque-inwisselaars, premiefinancieringsbureaus, erkende kredietverstrekkers en de bredere groep van entiteiten die onder toezicht staan van het DFS.

Kleinere organisaties kunnen in aanmerking komen voor beperkte vrijstellingen van bepaalde dwingende voorschriften. De drempel voor de beperkte vrijstelling van §500.19 omvat drie voorwaarden: minder dan 20 werknemers en zelfstandige contractanten, minder dan 7,5 miljoen dollar aan bruto jaaromzet uit activiteiten in New York, en minder dan 15 miljoen dollar aan totale activa aan het einde van het jaar. Organisaties die aan alle drie de drempels voldoen, maken gebruik van de beperkte vrijstelling, maar blijven onderworpen aan de verplichting om een kernprogramma voor cyberbeveiliging te hebben.

Met de wijzigingen van november 2023 is ook een categorie A ingevoerd voor de grootste onder de regeling vallende entiteiten, die wordt bepaald aan de hand van drempels voor het aantal werknemers, de omzet en de activa. Voor bedrijven in categorie A gelden aanvullende eisen bovenop de basisregels, waaronder strengere controles op het gebied van monitoring en identiteitsbeheer. Middelgrote en grote financiële dienstverleners die in New York actief zijn, dienen na te gaan of zij onder de definitie van categorie A vallen, aangezien de aanvullende verplichtingen van wezenlijk belang zijn.

Externe dienstverleners, waaronder MSP’s en aanbieders van beheerde beveiligingsdiensten, hebben geen directe vergunning van het DFS, maar vallen wel onder de nalevingsverplichtingen op grond van §500.11. Deze bepaling schrijft voor dat betrokken entiteiten toezicht moeten houden op de cyberbeveiligingspraktijken van dienstverleners die toegang hebben tot hun systemen of niet-openbare informatie.

Belangrijkste vereisten krachtens de gewijzigde verordening

De gewijzigde regel heeft betrekking op een aantal welomschreven controlegebieden. Tot de belangrijkste operationele vereisten behoren de volgende.

Een gedocumenteerd cyberbeveiligingsprogramma, gebaseerd op een risicobeoordeling, dat betrekking heeft op de vertrouwelijkheid, integriteit en beschikbaarheid van de informatiesystemen van de betrokken entiteit. Het programma moet ten minste eenmaal per jaar worden geëvalueerd en worden bijgewerkt wanneer het risicoprofiel verandert.

Een gekwalificeerde CISO, in eigen beheer of uitbesteed, die verantwoordelijk is voor het programma en verplicht is om jaarlijks aan de raad van bestuur (of een vergelijkbaar bestuursorgaan) verslag uit te brengen over de doeltreffendheid van het programma, de wezenlijke risico’s en de incidenten. Het jaarverslag is door de wijzigingen van november 2023 inhoudelijker geworden.

Meervoudige authenticatie bij alle externe toegang tot de informatiesystemen van de betrokken entiteit, alle toegang tot niet-openbare informatie en alle bevoorrechte accounts. De wijziging geeft de voorkeur aan phishingbestendige MFA (meestal op WebAuthn of FIDO2 gebaseerde authenticatie) waar dat haalbaar is, vanuit het besef dat op sms en apps gebaseerde eenmalige wachtwoorden (OTP’s) door moderne phishing-tools kunnen worden omzeild.

Versleuteling van vertrouwelijke informatie tijdens verzending via externe netwerken en in opgeslagen vorm. Alternatieve compenserende maatregelen zijn alleen toegestaan met schriftelijke goedkeuring van de CISO en een aannemelijke reden voor de uitzondering.

Beheer van bedrijfsmiddelen en toegangscontroles. Een bijgehouden inventaris van alle informatiesystemen, gedocumenteerde beleidsregels voor de omgang met vertrouwelijke informatie, het principe van minimale toegangsrechten voor alle gebruikersaccounts, beheer van geprivilegieerde toegang voor verhoogde rechten, en jaarlijkse toegangscontroles.

Voortdurende monitoring van informatiesystemen, ten minste één keer per jaar penetratietests en ten minste om de zes maanden kwetsbaarheidsanalyses. Juist dankzij die voortdurende monitoring is de rapportagetermijn van 72 uur in de praktijk haalbaar en niet louter een streefdoel.

Een gedocumenteerd plan voor incidentrespons dat betrekking heeft op detectie, respons, herstel, communicatie en evaluatie na het incident, en dat ten minste eenmaal per jaar wordt getest. De documentatie van deze tests maakt zelf deel uit van het bewijsmateriaal dat de DFS tijdens een controle verwacht.

Jaarlijkse cybersecuritytraining voor alle medewerkers, met functiespecifieke training voor technisch personeel over actuele bedreigingen. Door de wijzigingen zijn de eisen voor wat als adequate training geldt, aangescherpt.

De verplichting om incidenten binnen 72 uur te melden

Betrokken entiteiten moeten het DFS binnen 72 uur op de hoogte stellen zodra zij vaststellen dat zich een cyberincident heeft voorgedaan dat aan de meldingsdrempel voldoet. Aan de drempel is voldaan wanneer een incident een redelijke kans inhoudt dat de normale bedrijfsvoering van de entiteit wezenlijk wordt geschaad, of wanneer het incident betrekking heeft op niet-openbare informatie.

Met de wijzigingen van november 2023 is een meldingsplicht van 24 uur voor het betalen van losgeld ingevoerd. Betrokken entiteiten die losgeld betalen, moeten het DFS binnen 24 uur na de betaling hiervan op de hoogte stellen en binnen 30 dagen een schriftelijke toelichting geven op het voorval en de redenen voor de betaling.

Een leidinggevende of bestuurder is verplicht jaarlijks een verklaring van naleving af te geven, en de bewoordingen van deze verklaring leggen de persoonlijke verantwoordelijkheid voor de juistheid van de nalevingsverklaring bij de ondertekenaar. Het indienen van een verklaring die een verkeerd beeld geeft van de stand van zaken van het programma is een handeling die niet alleen tot civielrechtelijke aansprakelijkheid, maar mogelijk ook tot persoonlijke aansprakelijkheid kan leiden.

De operationele uitdaging bij de 72-uurstermijn ligt niet in de tijdslimiet zelf. Het gaat erom dat gebeurtenissen snel genoeg moeten worden gedetecteerd om te weten dat ze zich hebben voorgedaan. Een incident dat dinsdagochtend wordt ontdekt, maar in werkelijkheid al de afgelopen zaterdag is begonnen, heeft het grootste deel van de 72-uurstermijn al opgebruikt voordat de organisatie doorheeft dat er iets aan de hand is. Dankzij continue monitoring – of die nu intern plaatsvindt of via een MDR-provider wordt geleverd – kan aan de rapportageverplichting worden voldaan in plaats van dat deze wordt gemist.

Vereisten voor externe dienstverleners

Artikel 500.11 verplicht betrokken entiteiten om beleid en procedures in te voeren met betrekking tot de beveiliging van externe dienstverleners. De vereisten omvatten onder meer de identificatie en risicobeoordeling van alle externe dienstverleners die toegang hebben tot niet-openbare informatie of tot de systemen van de betrokken entiteit, de minimale cyberbeveiligingsmaatregelen die van deze dienstverleners worden verlangd (waaronder versleuteling, toegangscontroles, meervoudige authenticatie en incidentrespons), periodieke beoordeling van de beveiligingsmaatregelen van de dienstverleners, en het opnemen van beveiligingsvereisten in de contracten die de relatie regelen.

Voor MSP’s die financiële dienstverleners in New York bedienen die onder de regelgeving vallen, zijn de operationele gevolgen direct. De MSP moet voldoen aan de cyberbeveiligingsnormen die de onder de regelgeving vallende entiteit contractueel verplicht is op te leggen. Dit is voor geen van beide partijen optioneel. De onder de regelgeving vallende entiteit kan niet aan de voorschriften blijven voldoen zonder deze eisen aan haar MSP op te leggen. De MSP kan geen levensvatbare leverancier voor de onder de regelgeving vallende entiteit blijven zonder aantoonbaar aan deze eisen te voldoen.

Laten we eens kijken naar een veelvoorkomend scenario. Een MSP fungeert als de belangrijkste IT- en beveiligingsleverancier voor een middelgrote hypotheekverstrekker in New York. De hypotheekverstrekker moet een inspectie van het DFS ondergaan. De inspecteur vraagt om bewijs dat er voor alle bevoorrechte toegang tot de informatiesystemen van de hypotheekverstrekker, inclusief toegang door technici van de MSP, meervoudige authenticatie (MFA) wordt afgedwongen. De standaardtools van de MSP ondersteunen weliswaar MFA, maar de naleving is al maanden niet gecontroleerd en drie accounts van technici die het bedrijf in het afgelopen kwartaal hebben verlaten, zijn te laat gedeactiveerd. De MSP vormt een zwakke schakel in de compliancepositie van de hypotheekverstrekker, en de hypotheekverstrekker vormt een zwakke schakel in de commerciële positie van de MSP. Beide problemen zijn terug te voeren op het feit dat de MSP zijn eigen programma niet uitvoert volgens de norm die de regelgeving van zijn klant verwacht.

De praktische basis voor MSP’s die financiële dienstverleners in New York bedienen, is duidelijk. Leg het cyberbeveiligingsprogramma vast. Zorg ervoor dat elke account die in contact komt met de omgeving van een klant is beveiligd met phishingbestendige meervoudige authenticatie (MFA). Zorg voor een beproefd plan voor incidentrespons. Voer continue monitoring uit. En bewaar het bewijs dat dit alles daadwerkelijk gebeurt, in een vorm die een klantcontrole doorstaat, want die controle komt eraan.

Handhaving: wat het DFS heeft gedaan

Uit de handhavingspraktijk van de DFS blijkt dat dit geen regelgeving op papier is. De gepubliceerde schikkingen vertonen een consistent patroon: tekortkomingen op het gebied van MFA, toegangscontroles, het beheer van externe partijen en de capaciteit voor incidentrespons vormen de belangrijkste aandachtspunten bij de handhaving.

First American Financial Corp sloot in 2021 een schikking van 500.000 dollar wegens overtredingen, waaronder het nalaten van adequate risicobeoordelingen en het niet verhelpen van bekende kwetsbaarheden. Robinhood Crypto bereikte in 2022 een schikking van 30 miljoen dollar vanwege tekortkomingen in het cyberbeveiligingsprogramma. EyeMed Vision Care schikte in 2022 voor 4,5 miljoen dollar na een inbreuk die ongeveer 2,1 miljoen personen trof, waarbij in de schikking werd verwezen naar tekortkomingen in toegangsbeheer en MFA. OneMain Financial schikte in 2023 voor 4,25 miljoen dollar vanwege vastgestelde tekortkomingen in het programma.

In elk van deze schikkingen worden specifieke tekortkomingen in de controle genoemd, in plaats van een algemene overtreding te bestraffen. Dit geeft een duidelijk signaal af over waar de handhaving zich in de toekomst waarschijnlijk op zal richten. MFA-dekking. Discipline op het gebied van toegangsbeheer. Het verhelpen van kwetsbaarheden. Toezicht op derde partijen. Capaciteit voor incidentrespons.

Stappenplan voor naleving voor betrokken entiteiten en hun MSP’s

Het werk bestaat uit vijf fasen.

Voer een nieuwe lacuneanalyse uit aan de hand van de gewijzigde regelgeving. Als bij de laatste uitgebreide analyse de versie van de regel uit 2017 is gebruikt, herhaal deze dan aan de hand van de wijzigingen van november 2023. Voor verschillende controlegebieden gelden nieuwe of aangescherpte eisen, en aannames die in programma’s van vóór 2023 zijn verwerkt, zijn niet langer betrouwbaar.

Geef prioriteit aan MFA en toegangscontroles. Dit zijn de tekortkomingen die het vaakst worden genoemd in de gepubliceerde handhavingsmaatregelen. Phishingbestendige MFA voor alle bevoorrechte toegang, alle toegang tot niet-openbare informatie en alle toegang op afstand is het absolute uitgangspunt. Leg daar bovendien vast hoe vaak de toegangscontroles plaatsvinden en zorg voor een offboarding-workflow die garandeert dat ingetrokken accounts ook daadwerkelijk worden ingetrokken.

Zorg voor continue monitoring of besteed dit uit. De meldingstermijn van 72 uur vereist detectiecapaciteit die snel genoeg is om meldingsplichtige incidenten onmiddellijk te signaleren. 24/7-monitoring via een intern SOC, een beheerde SIEM-dienst of een MDR-aanbieder is de praktische oplossing.

Evalueer en test het incidentresponsplan. Voer de oefening minstens één keer per jaar uit. Leg de testresultaten en de verbeteringen na afloop van de oefening vast. Neem de meldingsprocedure voor de DFS op als een apart runbook in het plan, met duidelijk aangewezen verantwoordelijken en een vooraf opgesteld conceptformulier voor vroegtijdige melding.

Beoordeel en documenteer de beveiliging van derde partijen. Betrokken entiteiten dienen een inventaris op te maken van hun MSP’s en andere betrokken dienstverleners, hun beveiligingspraktijken met regelmatige tussenpozen te beoordelen en contracten aan te passen aan de vereisten van §500.11. MSP’s dienen proactief het bewijsmateriaalpakket samen te stellen, want wachten op de audit van de klant is te lang wachten.

Compliance Manager GRC de beoordeling op basis van 23 NYCRR 500 binnen zijn raamwerkbibliotheek, waardoor betrokken entiteiten en hun IT-teams de nalevingsstatus ten opzichte van de gewijzigde regel kunnen bijhouden, beheersmaatregelen kunnen documenteren, beoordelingen door derden kunnen beheren en het bewijsmateriaal kunnen genereren dat het DFS tijdens een inspectie verwacht. Ontdek Compliance Manager GRC voor de operationele kant van het continu beheren van een NYDFS-programma, in plaats van het onder druk van een inspectie opnieuw op te bouwen.

De financiële dienstverleners en MSP’s die de DFS-controles zonder problemen doorstaan, zijn niet per se degenen met de duurste beveiligingsoplossingen. Het zijn degenen waarvan de programmadocumentatie overeenkomt met de operationele praktijk, waarvan het bewijsmateriaal actueel is in plaats van achteraf gereconstrueerd, en waarvan de jaarlijkse certificering door de certificerende functionaris kan worden ondertekend zonder dat er eerst een uitgebreid overleg met de juridische afdeling nodig is. De gewijzigde 23 NYCRR 500 is een zinvolle regelgeving die wordt gehandhaafd door een actieve toezichthouder met een bewezen staat van dienst. Het uitgangspunt voor naleving is het behandelen van de regel als een voortdurende discipline, niet als een project dat eindigt.