2017년 5월, 뉴욕주 금융 서비스국(NYDFS)은 새로운 사이버 보안 규칙인 23 NYCRR Part 500을 발표했습니다. 이 규정은 이제 완전한 효력을 가지지만 정확히 무엇인지 명확하지 않을 수 있습니다.
발표 이후 이 요구 사항 집합이 몇 가지 변경되었으며 법적 언어가 불분명할 수 있습니다. NYDFS 사이버 보안 규정은 무엇이며 귀하에게 어떤 영향을 미칩니까? 자세히 살펴보겠습니다.
NYDFS의 사이버 보안 규정이란 무엇입니까?
NYDFS 사이버 보안 규정은 뉴욕의 금융 서비스에 대한 보안 요구 사항을 나열합니다. 유럽의 GDPR(일반 데이터 보호 규정)과 마찬가지로 이러한 규칙은 회사에 특정 표준을 적용하여 시민 데이터를 보호하는 것을 목표로 합니다. 이 경우 이러한 표준은 대부분 NIST 사이버 보안 프레임워크에서 가져옵니다.
이 규정에 따라 뉴욕 금융 회사는 다음을 수행해야 합니다.
- IT 시스템의 보안 및 데이터 개인정보 보호를 주기적으로 검토합니다.
- 사이버 보안 이벤트를 기록하고 이러한 기록을 5년 동안 보관합니다.
- 더 이상 필요하지 않은 개인 정보를 안전하게 삭제하기 위한 정책 및 절차가 있습니다.
- 개인 식별 정보(PII)에 대한 액세스를 제한하고 이러한 권한을 정기적으로 검토하십시오.
- 사이버 보안 사고의 발견, 대응 및 복구에 대한 자세한 서면 계획이 있어야 합니다.
- 사이버 보안 이벤트 발생 후 72시간 이내에 NYDFS에 알립니다.
일부 유사한 법률과 달리 NYDFS 사이버 보안 규정에는 이러한 보안 및 보고 계획이 무엇으로 구성되어야 하는지에 대한 자세한 지침이 포함되어 있습니다. 또한 기업은 내부 운영뿐만 아니라 제3자의 보안도 보장해야 합니다.
이러한 요구 사항으로 인해 이 규정은 모든 주에서 가장 광범위하고 엄격한 규정 중 하나가 되었습니다. 이를 위반하는 기업은 막대한 벌금에 처할 수 있지만 처벌의 정도는 아직 명확하지 않습니다.
NYDFS 사이버 보안 규정은 누구에게 적용됩니까?
NYDFS 사이버 보안 규정은 NYDFS의 라이선스가 필요한 모든 개인 또는 단체에 적용됩니다. 여기에는 다음을 포함한 뉴욕의 금융 및 보험 회사가 포함됩니다.
- 은행.
- 신용협동조합.
- 투자 회사.
- 허가를 받은 대출 기관.
- 모기지 브로커.
- 보험 제공자.
- 저축 및 대출 협회.
이러한 적용 대상에는 뉴욕에서 일할 수 있는 허가를 받은 현지 기업과 외국 기업이 포함됩니다. 예를 들어 Deutsche Bank는 독일 기업이지만 뉴욕시에서 운영되기 때문에 23 NYCRR Part 500을 준수해야 합니다.
이 목록에는 몇 가지 예외가 있습니다. 직원이 10명 미만인 회사, 지난 3년 동안 뉴욕에서 발생한 연간 매출이 5백만 달러 미만 또는 총 연말 자산이 천만 달러 미만인 회사는 면제됩니다. 개인 정보를 저장하거나 처리하지 않는 기업도 마찬가지지만 금융 서비스 회사에서는 그럴 가능성이 거의 없습니다.
사이버 보안 규정이 귀하에게 의미하는 바는 무엇입니까?
귀하가 뉴욕주에 거주하거나 은행을 운영하는 경우 귀하의 기관은 이 규정에 해당될 것입니다. 그렇지 않더라도 NYDFS 사이버 보안 규정이 은행에 계속 적용될 수 있습니다. 주에서 운영하는 지점이 있고 재정 요구 사항을 충족하는 경우 준수해야 합니다.
은행 고객은 이러한 요구 사항에 따라 조치를 취하지 않아도 됩니다. 하지만 금융 기관이나 보험사가 운영하는 방식에 약간의 변화가 있을 수 있습니다. 이러한 회사가 사이버 보안 조치를 개선함에 따라 다단계 인증(MFA)과 같은 추가 보안 단계를 사용하거나 권한을 조정해야 할 수 있습니다.
이러한 규칙에 영감을 준 NIST 사이버 보안 프레임워크에는 귀하에게 영향을 줄 수 있는 시기적절한 정보 공유가 포함되어 있습니다. 은행이나 보험사에 사고가 발생하면 알려야 할 수도 있습니다. 응답으로 아무 조치도 취하지 않아도 되지만 이러한 유형의 메시지를 받을 것으로 예상할 수 있습니다.
23 NYCRR Part 500에 따른 법적 의무가 없더라도 재무 정보에 주의하는 것이 가장 좋습니다. 항상 고유하고 강력한 암호를 사용하고, 가능한 경우 MFA를 활성화하고, PII를 알 수 없는 출처에 절대 제공하지 마십시오. 이러한 규정의 엄격함은 이러한 문제가 얼마나 중요한지를 강조하므로 주의하십시오.
정부는 사이버 보안을 더욱 심각하게 생각하고 있습니다.
NYDFS 사이버 보안 규정은 최근 지방 정부가 사이버 보안 법률을 발표한 많은 사례 중 하나입니다. 디지털 도구가 일상 생활에서 점점 더 보편화됨에 따라 이러한 규칙은 더욱 커질 것입니다.
소비자와 기업 모두 이러한 규정을 준수하는지 확인하기 위해 최신 상태를 유지해야 합니다. 이러한 변경 사항은 처음에는 복잡해 보일 수 있지만 더 나은 보안을 위해 필요한 단계입니다.