Um ein optimales Surferlebnis zu gewährleisten, aktivieren Sie bitte JavaScript in Ihrem Webbrowser. Ohne JavaScript sind viele Website-Funktionen nicht verfügbar.


Gesamtzahl der Tests:
485,773,462
737,046
130,956

New York DFS (23 NYCRR 500) Compliance

Die NYDFS-Cybersicherheitsverordnung verpflichtet betroffene Finanzunternehmen zur Durchführung jährlicher Penetrationstests und Schwachstellenanalysen. Erfahren Sie, wie ImmuniWeb Section 500.5 unterstützt.

Lesezeit:8 Min. Aktualisiert:8. Juli 2025
Einhaltung der Cybersicherheitsregelung des New York DFS
Bitte füllen Sie die unten rot markierten Felder aus.

Sprechen Sie mit einem Spezialisten über Compliance mit der Cybersicherheitsverordnung der New York DFS

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.

Einhaltung der Cybersicherheitsregelung des New York DFS

Was ist die NYDFS-Cybersicherheitsverordnung?

Teil 500 verpflichtet jede Covered Entity, ein risikobasiertes Cybersecurity-Programm mit präskriptiven Controls aufrechtzuerhalten: ein Risk Assessment, einen CISO, Multi-Factor Authentication, Encryption, Access Controls, Monitoring und Logging, ein Asset Inventory, ein Incident Notification innerhalb von 72 Stunden sowie ein jährliches Certification, das vom CEO und CISO unterzeichnet wird.

The Second Amendment added board-level oversight, expanded notification, automated vulnerability scanning with manual review, and additional requirements for larger 'Class A' companies. The annual certification creates personal accountability for senior officers.

See how ImmuniWeb supports NYDFS Section 500.5 penetration testing and vulnerability assessments- for the financial applications you run. Request a demo· or run a free Community Edition test.

Who Must Comply with NYDFS Part 500?

Teil 500 gilt für Covered Entities:

  • Banks and lenders licensed or authorized by NYDFS.
  • Versicherungsunternehmen, die unter NYDFS-Zulassung tätig sind.
  • Andere Finanzdienstleister (einschließlich Hypothekenanbieter); größere Unternehmen der „Klasse A“ unterliegen zusätzlichen Anforderungen.

Die von diesen Einrichtungen betriebenen Web-, Mobil- und API-Anwendungen unterliegen den Testanforderungen von Part 500.

Key NYDFS Requirements for Application Security

Die Anwendungssicherheit wird durch Abschnitt 500.5 vorgegeben:

  • 500.5(a) - Penetration testing: annual penetration testing of information systems based on the risk assessment.
  • 5(b) – Schwachstellenbewertungen: halbjährliche Schwachstellenbewertungen, einschließlich automatisierter Scans und manueller Prüfung der Systeme.
  • Überwachung und Behebung: Auf Schwachstellen überwachen und diese zeitnah beheben.

Die Anforderungen von NYDFS Teil 500 im Detail

Abschnitt 500.5 – Penetrationstests und Schwachstellenanalysen

Section 500.5 requires annual penetration testing of information systems based on the risk assessment, plus bi-annual vulnerability assessments including automated scans and manual review of systems not otherwise covered. Penetration testing and scanning of web and mobile applications and APIs satisfy these requirements directly.

Anwendungssicherheit im Programm

Zusätzlich zu 500.5 betreffen die Anforderungen des Programms an Überwachung, Zugriffskontrolle und Risikobewertung alle die Anwendungssicherheit. Kontinuierliche Scans und regelmäßige Penetrationstests mit dokumentierter Behebung halten das Programm wirksam und audit-fähig.

Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind

The vulnerabilities Section 500.5 expects you to find map closely to the OWASP Top 10:

  • Broken Access Control — Nutzer erreichen Daten oder Aktionen, auf die sie keinen Zugriff haben sollten.
  • Kryptografische Fehler – schwache oder fehlende Verschlüsselung, die sensible Daten offenlegt.
  • Injection — SQL-, Befehls- oder andere Injections durch nicht validierte Eingaben.
  • Insecure Design — missing security controls by design, not just by bug.
  • Sicherheitsmiskonfiguration — Standard-, unvollständige oder unsichere Konfiguration.
  • Vulnerable & Outdated Components — unpatched libraries and frameworks.
  • Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
  • Software- und Datenintegritätsfehler — unvertrauenswürdige Updates, unsichere CI/CD-Pipelines.
  • Security Logging & Monitoring Failures — attacks going undetected.
  • Server-Side Request Forgery (SSRF) – Der Server wird dazu verleitet, bösartige Anfragen zu stellen.

Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.

How to Support NYDFS Part 500 with ImmuniWeb

  1. 1. Kartieren Sie Ihre Systeme. Erfassen Sie mit ImmuniWeb Discovery alle internetexponierten Finanz-Apps und APIs.
  2. 2. Jährlicher Penetrationstest (500.5(a)) mit On-Demand und MobileSuite.
  3. 3. Führen Sie halbjährlich Schwachstellenanalysen (500.5(b)) mit Neuron durch.
  4. 4. Remediate and retest with actionable, zero-false-positive reports.
  5. 5. Kontinuierlich testen mit Continuous in CI/CD.
  6. 6. Prepare evidence for the annual certification and NYDFS reviews.

How ImmuniWeb Helps You Achieve NYDFS Part 500 Compliance

ImmuniWeb supports Section 500.5 with the penetration testing and vulnerability assessments NYDFS requires, with audit-ready evidence.

Anforderung Was erforderlich ist ImmuniWeb-Produkte
500.5(a) Jährliche Penetrationstests. On-Demand, MobileSuite
500.5(b) Bi-annual vulnerability assessments (scans + review). Neuron, Discovery
Programm & Behebung Überwachen und beheben; sichere Entwicklung. Kontinuierlich, On-Demand

ImmuniWeb On-Demand and MobileSuite deliver web and mobile penetration testing; Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps the attack surface - producing evidence for the annual NYDFS certification.

NYDFS Part 500 vs International Frameworks

Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:

Framework Aspekt der Anwendungssicherheit Wie ImmuniWeb abbildet
NYDFS Part 500 500.5 Penetrationstests + Schwachstellenanalysen Web-/Mobil-Penetrationstests + Scans + ASM
FTC Safeguards Rule 314.4(d)-Tests Dieselben Tests decken beide ab
EU-DORA Resilienztests Dieselben Tests decken beide ab
NIST CSF 2.0 Schutz-/Erkennungsfunktionen Applikationstests und Monitoring

Penetrationstests vs. Security Scanning

Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.

Compliance-Checkliste (Anwendungssicherheit)

  • Inventar der internetexponierten Finanz-Apps und APIs
  • Jährliche Penetrationstests durchgeführt (500.5(a))
  • Bi-annual vulnerability assessments performed (500.5(b))
  • Automatisierte Scans und manuelle Prüfung vorhanden
  • Findings remediated and re-tested; evidence retained
  • Incident notification process ready (72 hours)
  • Nachweise für die jährliche CEO-/CISO-Bescheinigung

Why NYDFS Part 500 Compliance Matters

Das NYDFS setzt Teil 500 streng durch, mit Consent Orders und Geldbußen von bis zu 30 Millionen USD, und die jährliche Bestätigung durch CEO und CISO schafft persönliche Verantwortlichkeit. Penetrationstests und Schwachstellenbewertungen sind explizite, wiederkehrende Verpflichtungen gemäß Abschnitt 500.5.

Da Web-, Mobile- und API-Anwendungen eine primäre Angriffsfläche für Finanzinstitute darstellen, sind nachweisbare Tests einer der direktesten Wege, Part 500 zu erfüllen und Durchsetzungsmaßnahmen zu vermeiden.

Häufig gestellte Fragen

  • Q
    Was ist 23 NYCRR 500?
    A
    The NYDFS Cybersecurity Regulation, a prescriptive cybersecurity mandate for financial institutions licensed or authorized by the New York Department of Financial Services, effective since 2017.
  • Q
    Wer muss die NYDFS Part 500 einhalten?
    A
    Covered Entities - banks, insurers, mortgage providers and other entities licensed or authorized by NYDFS; larger 'Class A' companies face additional requirements.
  • Q
    What does Section 500.5 require?
    A
    Annual penetration testing based on the risk assessment and bi-annual vulnerability assessments, including automated scans and manual review.
  • Q
    Was hat sich mit der zweiten Novelle geändert?
    A
    Die Zweite Novelle von 2023 (stufenweise bis November 2025 eingeführt) führte die Aufsicht durch den Vorstand, automatisierte Scans mit manueller Prüfung, erweiterte Meldepflichten und Anforderungen für Klasse A ein, einschließlich der Zertifizierung durch den CEO/CISO.
  • Q
    How does ImmuniWeb help with NYDFS Part 500?
    A
    Durch die jährlichen Penetrationstests und halbjährlichen Vulnerability Assessments gemäß Section 500.5 für Web- und Mobile-Anwendungen sowie APIs.
  • Q
    Welche Sanktionen sieht Teil 500 vor?
    A
    Das NYDFS hat Consent Orders und Geldbußen in Höhe von bis zu 30 Millionen USD verhängt, wobei Führungskräfte durch die jährliche Zertifizierung persönlich zur Verantwortung gezogen werden.
Bitte füllen Sie die unten rot markierten Felder aus.

Sprechen Sie mit einem Spezialisten über Compliance mit der Cybersicherheitsverordnung der New York DFS

  • Starten Sie Ihre kostenlose Testversion von ImmuniWeb-Produkten
  • Erhalten Sie personalisierte Produktpreise
  • Sprechen Sie mit unseren technischen Experten
Gartner Cool Vendor
SC Media
IDC-Innovator
*
*
Vertraulich und privatIhre Daten bleiben privat und vertraulich.
Sprechen Sie mit einem Experten