Dans mon précédent article, j’avais déjà parlé de la confidentialité des données et de son importance. Dans mon message d’aujourd’hui, je souhaite aborder les lois relatives à la protection des données, concernant notamment le NYCRR 23 du Département des services financiers de l’État de New York (NYDFS) 23.
Le NYCRR 500 du Département des services financiers de l’État de New York (NYDFS) 23 est un ensemble de réglementations qui imposent des exigences en matière de cybersécurité à toutes les institutions financières couvertes. La loi est entrée en vigueur le 1er mars 2017 et définit les exigences relatives à l'élaboration et à la mise en œuvre d'un programme de cybersécurité efficace, obligeant les institutions couvertes à évaluer leurs risques en matière de cybersécurité et à élaborer des plans pour les gérer de manière proactive.
Qui est concerné?
La réglementation NYSDFS sur la cybersécurité s’applique à toutes les entités qui exercent ou doivent opérer sous licence, enregistrement ou charte DFS, ou qui sont autrement réglementées par DFS, ainsi que, par extension, des fournisseurs de services tiers non réglementés à des entités réglementées.
Exemples d'entités visées:
- Banques publiques
- Prêteurs agréés
- Banquiers privés
- Banques étrangères agréées pour exercer leurs activités à New York
- Sociétés de crédit immobilier
- Sociétés d'assurances
- Fournisseurs de services
Il existe peu d'exemptions à la réglementation sur la cybersécurité du NYDFS. Les organisations qui emploient moins de 10 personnes, ont généré moins de 5 millions de dollars de recettes annuelles brutes provenant des opérations à New York au cours de chacune des trois dernières années, ou détiennent moins de 10 millions de dollars d'actifs en fin d'année sont exemptées de certaines exigences du règlement.
Pour plus d'informations sur les lois et réglementations NYDFS 500 et GDPR sur le secteur des services financiers, veuillez télécharger notre guide ici ou cliquer ci-dessous.