Le 1er novembre 2023, le gouverneur de l’État de New York, Hochul, a annoncé que le Département des services financiers de l’État de New York (« NYDFS ») avait modifié sa réglementation sur la cybersécurité applicable aux institutions financières couvertes. Notre article de blog précédent couvrait les principales modifications proposées à la cyber-réglementation.
Le NYDFS, qui réglemente les institutions financières, notamment les compagnies d’assurance, les courtiers en prêts hypothécaires et les banques, a adopté le règlement initial sur la cybersécurité en 2017. Les nouveaux amendements renforcent le cadre initial et obligent les entités réglementées par le NYDFS à adhérer à un certain nombre d’exigences prescriptives supplémentaires en matière de sécurité des données, notamment adopter des contrôles pour empêcher tout accès non autorisé aux systèmes d’information, effectuer des évaluations des risques plus régulières, maintenir de solides procédures de planification de réponse aux incidents et adhérer aux exigences de notification mises à jour, telles que la nouvelle exigence de signaler les paiements d’extorsion de ransomware au NYDFS dans les 24 heures suivant le paiement.
Le règlement modifié sur la cybersécurité entrera en vigueur par étapes. Les entités réglementées ont généralement jusqu’au 29 avril 2024 pour se conformer au règlement modifié. Il convient toutefois de noter que les nouvelles exigences de déclaration entreront en vigueur plus tôt, soit le 1er décembre 2023. Pour certaines autres exigences, les entités réglementées auront entre un et deux ans pour se conformer. Les dates de conformité spécifiques peuvent être trouvées sur le site Web du NYDFS Cybersecurity Resource Center.
Dans les semaines à venir, le NYDFS organisera une prochaine série de sessions de formation sur le règlement modifié sur la cybersécurité afin d’aider les entités réglementées à planifier leur conformité.