NYDFS verschärft Kontrolle von Cybersicherheit bei Banken

Die New Yorker Finanzaufsicht NYDFS startet mit verschärften Kontrollen ins Jahr 2026. Im Fokus steht die lückenlose Umsetzung der Cybersecurity-Regeln – besonders bei der Zwei-Faktor-Authentifizierung.

Neue Schärfe bei Prüfungen und Strafen

Die New York State Department of Financial Services (NYDFS) tritt in eine neue Phase der Durchsetzung ein. Nach einer Webinar-Reihe in dieser Woche signalisiert die Behörde deutlich: Die seit 2017 geltenden Cybersicherheits-Regeln werden jetzt rigoros überprüft. Besonders die Multi-Faktor-Authentifizierung (MFA) steht im Zentrum der Prüfungen. Für alle betroffenen Finanzinstitute – darunter auch deutsche Banken mit US-Geschäft – bedeutet das erhöhten Druck. Die Ära reiner Absichtserklärungen ist vorbei, jetzt zählt die nachweisbare Umsetzung.

Angesichts verschärfter Kontrollen und neuer Gesetze stehen viele Unternehmen vor der Herausforderung, ihre IT-Infrastruktur kurzfristig abzusichern. Dieser Experten-Report enthüllt effektive Strategien, wie mittelständische Betriebe ihre Abwehr stärken, ohne dass die Budgets explodieren. Effektive Strategien gegen Cyberkriminelle entdecken

Zwei-Faktor-Authentifizierung wird Pflicht für alle Zugänge

Unter der aktualisierten Verordnung 23 NYCRR Part 500 gelten verschärfte MFA-Anforderungen. Die Regelung verlangt den Einsatz der Zwei-Faktor-Authentifizierung für jeden Zugriff auf die Informationssysteme des Unternehmens. Das ist eine deutliche Ausweitung gegenüber der früheren Fassung, die sich vor allem auf externe Zugriffe beschränkte.

„Die NYDFS macht mit ihrem Webinar ‚Let‘s Talk MFA‘ klar, worauf es ankommt“, analysiert eine Compliance-Expertin. Finanzinstitute müssen MFA jetzt auf einer viel breiteren Basis einführen – von internen Systemen bis zu Kundenportalen. Ausnahmen sind nur mit schriftlicher Genehmigung des Chief Information Security Officer (CISO) möglich. Wer hier Lücken aufweist, riskiert hohe Strafen.

72-Stunden-Meldepflicht und Risikoanalysen als Kern

Neben MFA definiert die NYDFS-Verordnung weitere zentrale Säulen. Die vielleicht wichtigste: die 72-Stunden-Meldepflicht bei Sicherheitsvorfällen. Betroffene Unternehmen müssen den Superintendenten der NYDFS spätestens 72 Stunden nach Feststellung eines Vorfalls informieren. Das gilt auch, wenn andere Behörden benachrichtigt werden müssen oder der Vorfall die normalen Geschäftsabläufe erheblich beeinträchtigen könnte.

Zudem verlangt die Regelung ein umfassendes Cybersicherheitsprogramm auf Basis regelmäßiger Risikobewertungen. Dazu gehören schriftliche Richtlinien, Notfallpläne und verpflichtende Sicherheitsschulungen für alle Mitarbeiter. Größere Unternehmen – als „Class A Companies“ eingestuft – müssen noch strengere Auflagen erfüllen.

Millionenstrafen zeigen neue Härte

Die NYDFS setzt ihre Ankündigungen in die Tat um. Ende 2025 verhängte die Behörde Strafen in Höhe von insgesamt 19 Millionen US-Dollar gegen acht Autoversicherer. Der Grund: Verstöße gegen die Cybersicherheits-Regeln, die zur Preisgabe von Kundendaten führten. Die Untersuchungen deckten Versäumnisse bei Sicherheitsprogrammen, Risikobewertungen und teils verspätete Meldungen auf.

„Diese Strafen senden ein klares Signal“, kommentiert ein Branchenkenner. „Die Aufseher bewerten nicht mehr nur den konkreten Vorfall, sondern die Reife des gesamten Sicherheitsprogramms.“ Seit 2026 sind die letzten Phasen der jüngsten Änderungen in Kraft. Unternehmen müssen daher mit noch intensiverer Prüfung rechnen – und mit geringerer Toleranz für Compliance-Lücken.

Da Aufsichtsbehörden zunehmend die gesamte Reife von Sicherheitsprogrammen prüfen, wird der Schutz vor gezielten Angriffen wie Phishing immer kritischer. Dieser Experten-Guide zeigt in vier Schritten, wie Sie Ihr Unternehmen mit wirksamen Maßnahmen vor aktuellen Hacker-Methoden schützen. Kostenlosen Anti-Phishing-Guide herunterladen

Cybersicherheit wird Chefsache

Der verschärfte Kurs der NYDFS ist eine Antwort auf die wachsende Bedrohungslage. Angriffe wie Ransomware werden immer häufiger und schädlicher. Die Regulierungsmaßnahmen sollen das Mindestniveau in der New Yorker Finanzbranche – einem globalen Drehkreuz – anheben.

Die Konsequenz für die Institute: Cybersicherheit ist kein reines IT-Thema mehr, sondern muss Chefsache werden. Die Verordnung verpflichtet CISO und Geschäftsführung zu aktiverer Mitwirkung, einschließlich der jährlichen Billigung der Sicherheitsrichtlinie. Diese Verlagerung der Verantwortung auf die oberste Ebene soll sicherstellen, dass das Thema die nötigen Ressourcen und strategische Aufmerksamkeit erhält. Firmen sind gezwungen, erhebliche Investitionen in Technologie, Personal und Schulungen zu tätigen.

Kontinuierliche Wachsamkeit gefordert

Die Webinar-Reihe zur MFA ist wahrscheinlich nur der Anfang. Experten erwarten, dass die NYDFS künftig noch gezielter einzelne Aspekte der Part-500-Verordnung prüfen wird. Neben der Authentifizierung stehen Zugriffsverwaltung, vollständige Asset-Inventare und das Risikomanagement für Drittanbieter ganz oben auf der Agenda.

Für Finanzunternehmen bleibt nur ein Weg: eine proaktive und anpassungsfähige Sicherheitsstrategie. Dazu gehört nicht nur das Schließen verbleibender Lücken, sondern auch die regelmäßige Überprüfung und Aktualisierung der Programme angesichts neuer Bedrohungen. Die Botschaft der NYDFS ist unmissverständlich. In der aktuellen Risikolandschaft ist ein robustes, dokumentiertes und wirksam umgesetztes Cybersicherheitsprogramm keine Frage der Compliance mehr. Es ist eine Grundvoraussetzung für das Geschäft in New York.

boerse | 68621814 |