米国 ニューヨーク州 金融サービス局 意見募集：サイバーセキュリティ規則更新案：取締役会およびCXOレベルにおけるサイバーセキュリティの説明責任を強化等 (2022.11.09)

こんにちは、丸山満彦です。

米国ニューヨーク州金融サービス局が、「金融サービス局がサイバーセキュリティ規則の更新案」を公表し、意見募集をしていますね。。。

主な変更点

・規制の多くの部分が免除される中小企業の規模基準の引き上げ

・取締役会およびCXOレベルにおけるサイバーセキュリティの説明責任の強化

・技術システムへの最初の不正アクセスを防止し、攻撃の拡大を防止または軽減するための管理を追加

・リスクと脆弱性の定期的評価を実施し、インシデント対応、事業継続、災害復旧計画等をより強固にすることの義務付け

他...

 

● New York State - Department of Financial Services

・2022.11.09 DFS SUPERINTENDENT ADRIENNE A. HARRIS ANNOUNCES UPDATED CYBERSECURITY REGULATION  

DFS SUPERINTENDENT ADRIENNE A. HARRIS ANNOUNCES UPDATED CYBERSECURITY REGULATION	DFS管理者Adrienne A. Harris、サイバーセキュリティ規制の更新を発表
Amends First-In-The-Nation Cybersecurity Regulation Created in 2017 in Response to Increasingly Sophisticated Technologies and Threats	高度化する技術や脅威に対応するため、2017年に策定された国内初のサイバーセキュリティ規制を改正
The Department Seeks Comments on the Proposed Regulation During the Next 60 Days	同局は今後60日間、規制案に関するコメントを募集中
Superintendent of Financial Services Adrienne A. Harris announced today that the New York State Department of Financial Services (DFS) proposed an updated cybersecurity regulation. DFS’s original regulation, which DFS promulgated in 2017, established a regulatory model that is now used by both federal and state financial regulators. DFS has taken a data-driven approach to amending the regulation to ensure that regulated entities address new and increasing cybersecurity threats with the most effective controls and best practices to protect consumers and businesses.	金融サービス監督官Adrienne A. Harrisは、ニューヨーク州金融サービス局（DFS）がサイバーセキュリティ規制の更新を提案したことを発表した。DFSが2017年に公布したオリジナルの規制は、現在、連邦および州の金融規制当局で使用されている規制モデルを確立した。DFSは、規制対象事業者が消費者と企業を保護するために最も効果的なコントロールとベストプラクティスで、新たに増加するサイバーセキュリティの脅威に対処できるよう、データ駆動型のアプローチで規制の改正に取り組んだ。
With cyber-attacks on the rise, it is critical that our regulation keeps pace with new threats and technology purpose-built to steal data or inflict harm,” said Superintendent Harris. “Cyber criminals go after all types of companies, big and small, across industries, which is why all of our regulated entities must comply with these standards – whether a bank, virtual currency company, or a health insurance company.”	ハリス監督官は以下のように述べている。「サイバー攻撃は増加傾向にあり、我々の規制が、データを盗んだり損害を与えたりする目的で作られた新しい脅威や技術に対応していくことは非常に重要である。サイバー犯罪者は、業界の大小を問わず、あらゆる企業を狙っている。だからこそ、銀行、仮想通貨会社、健康保険会社など、規制対象となるすべての企業がこれらの基準を遵守しなければならないのである」。
The proposed amended regulation strengthens the DFS risk-based approach to ensure cybersecurity risk is integrated into business planning, decision-making, and ongoing risk management. The changes include:	提案された改正規則は、サイバーセキュリティのリスクが事業計画、意思決定、継続的なリスク管理に統合されるよう、DFSのリスクベースのアプローチを強化するものである。変更点は以下の通りである。
・The creation of three tiers of companies, further tailoring the regulation to a diverse set of businesses with different defensive needs. Furthermore, based on feedback from the industry and in recognition of the realities of operating a small business, the proposed amendment increases the size threshold of smaller companies that are exempt from many parts of the regulation;	・3つの階層を設け、防御のニーズが異なる多様な企業に合わせて規制をさらに調整する。さらに、業界からのフィードバックに基づき、また、中小企業経営の現実を認識し、修正案では、規制の多くの部分が免除される中小企業の規模基準を引き上げる。
・Enhanced governance requirements, thereby increasing accountability for cybersecurity at the Board and C-Suite levels;	・ガバナンス要件の強化により、取締役会およびCXOレベルにおけるサイバーセキュリティの説明責任を強化する。
・Additional controls to prevent initial unauthorized access to technology systems and to prevent or mitigate the spread of an attack;	・技術システムへの最初の不正アクセスを防止し、攻撃の拡大を防止または軽減するための管理を追加する。
・Requiring more regular risk and vulnerability assessments, as well as more robust incident response, business continuity and disaster recovery planning; and	・リスクと脆弱性の評価をより定期的に行い、インシデント対応、事業継続、災害復旧計画をより強固にすることを義務付ける。
・Directing companies to invest in regular training and cybersecurity awareness programs that are relevant to their business model and personnel.	・企業に対して、自社のビジネスモデルや人材に適した定期的なトレーニングやサイバーセキュリティの意識向上プログラムに投資するよう指示する。
Over the course of the past few months, DFS has solicited feedback on proposed amendments from other regulators, industry groups, and regulated entities through the recent Cybersecurity Symposium, industry conferences, and meetings.	過去数ヶ月間、DFSは、最近のサイバーセキュリティ・シンポジウム、業界会議、会合を通じて、他の規制当局、業界団体、規制対象事業者から改正案に関する意見を募集してきた。
The proposed amended regulation is subject to a 60-day comment period beginning today upon publication in the State Register. DFS looks forward to and appreciates receiving feedback on the proposed amended regulation during the comment period. As the comment period ends, DFS will then review all received comments and either repropose a revised version or adopt the final regulation.	本改正案は、本日、州政府官報に掲載された後、60日間の意見公募期間が設けられる。DFSは、意見募集期間中に提案された改正規則に対する意見を待っている。コメント期間終了後、DFSは受領した全てのコメントを検討し、修正版を再提出するか、最終規則を採択する予定である。
A copy of the proposed amended regulation is available on the DFS website.	本規制案は、DFS のウェブサイトにて公開されている。

 

・[PDF] NEW YORK STATE DEPARTMENT OF FINANCIAL SERVICES PROPOSED SECOND AMENDMENT TO 23 NYCRR 500 - CYBERSECURITY REQUIREMENTS FOR FINANCIAL SERVICES COMPANIES

 

現在のレギュレーション...

・Part 500 Cybersecurity Requirements for Financial Services Companies