Tous les hôpitaux généraux de l'État de New York connaissent désormais un changement important dans leurs exigences en matière de cybersécurité. Depuis le 2 octobre 2024, le Département de la santé de l'État de New York a introduit des modifications complètes à la partie 405.3 qui imposent des contrôles de cybersécurité plus stricts pour les 195 hôpitaux généraux de l'État. Les hôpitaux qui sont tenus de se conformer doivent le faire avant le 2 octobre 2025.
Ces nouvelles réglementations imposent à tous les hôpitaux généraux de mettre en œuvre des programmes de cybersécurité avancés et de suivre de nouveaux protocoles de signalement des incidents, notamment une fenêtre de 72 heures pour signaler les incidents de cybersécurité importants. Dans le paysage actuel des soins de santé, où tous les systèmes et services gèrent tout, des dossiers des patients aux équipements de soins intensifs, ces exigences représentent une étape importante vers la protection de l'infrastructure des soins de santé. Explorons ce que ces changements signifient pour les hôpitaux généraux et comment Silverfort peut aider.
Comprendre 10 NYCRR 405.46
Introduite par le Département de la Santé de l'État de New York (DOH) en 1999, la réglementation 10 NYCRR 405.46 visait initialement à protéger les droits des patients en milieu hospitalier, notamment en ce qui concerne le recours à la contention et à l'isolement. En réponse à l'intégration croissante de la technologie dans les opérations de soins de santé, la réglementation a évolué pour répondre au risque croissant de cyberattaques contre les données et les systèmes de santé.
Selon le 10 NYCRR 405.46, les établissements de santé sont tenus de mettre en œuvre des mesures de cybersécurité complètes pour protéger les informations sensibles des patients et les infrastructures hospitalières critiques. Jusqu'en octobre 2024, ces mesures comprenaient le cryptage des données, les contrôles d'accès et la surveillance continue des dossiers médicaux électroniques (DME). Cela garantissait que les hôpitaux maintenaient des normes rigoureuses de protection des données, renforçant à la fois la confidentialité des patients et la résilience du système de santé face aux cybermenaces.
En imposant de telles normes proactives de cybersécurité, l’État de New York a aidé les hôpitaux à respecter à la fois les droits à la vie privée et la sécurité de leurs patients et a souligné leur engagement à adapter les réglementations en matière de santé en réponse aux nouveaux défis en matière de cybersécurité.
Nouvelles exigences de cybersécurité de l'État de New York pour les hôpitaux : 10 NYCRR 405.46
Le ministère de la Santé de l'État de New York a annoncé début octobre 2024 de nouvelles réglementations pour le 10 NYCRR 405.46, imposant des protections de cybersécurité plus renforcées dans les 195 hôpitaux généraux de New York.
La conformité totale est requise d'ici le 2 octobre 2025, bien que les hôpitaux doivent commencer à signaler
incidents de cybersécurité dans les 72 heures à compter du 2 octobre 2024. Ce règlement vise à protéger
pour les informations sur la santé des patients (PHI) et les informations d'identification personnelle (PII) contre la cybercriminalité
des menaces.
Éléments essentiels:
- Programme de cybersécurité : Les hôpitaux doivent mettre en œuvre un programme de cybersécurité robuste qui
comprend la surveillance du réseau, la réponse aux incidents, la formation et l’élaboration de politiques. - Responsable de la sécurité des systèmes d'information (RSSI) : Les hôpitaux sont tenus de nommer un RSSI,
soit en tant qu'employé direct, soit en tant que sous-traitant tiers, pour superviser la cybersécurité
les mesures. - Tests et évaluations de vulnérabilité : Tests réguliers, y compris analyses et pénétration
des évaluations sont nécessaires pour gérer les risques de cybersécurité. - Pistes d'audit et enregistrements : Les hôpitaux doivent conserver des pistes d’audit pour détecter et répondre aux
les cyberincidents et conserver les enregistrements en toute sécurité. - Réponse à l'incident: Un plan d’intervention détaillé est obligatoire, avec signalement des incidents à
le ministère de la Santé dans les 72 heures. - Mesures de contrôle d'accès : Les exigences incluent l’application de mesures multifactorielles protocoles d'authentification
(authentification multi-facteur) pour les systèmes externes, limitation de l'utilisation des comptes privilégiés, révisions annuelles des accès et
formation sur mesure en cybersécurité.
Mandats et soutien de l’État :
- Examen annuel de l'accès : Les hôpitaux doivent examiner et supprimer chaque année les accès utilisateurs inutiles, ce qui pose des problèmes pour les comptes hérités.
- Impact sur le financement et l'assurance : New York a alloué 500 millions de dollars pour soutenir
conformité, avec des impacts potentiels sur cyber assurance termes.
Grâce à ces mandats, New York vise à renforcer la cybersécurité des soins de santé et à soutenir
les hôpitaux dans la protection des données des patients contre les cybermenaces en constante évolution.
Résolvez toutes les exigences de sécurité d'identité NYCRR 10 avec Silverfort
Silverfort équipe les hôpitaux pour répondre aux nouveaux mandats de cybersécurité de New York avec des solutions efficaces et rentables sécurité d'identité des capacités adaptées aux environnements de soins de santé. En intégrant SilverfortEn intégrant les capacités clés de votre programme de cybersécurité, vous pourrez cocher la case correspondant à chaque exigence NYRR 405.46 en :
- Extension de la protection MFA à l'accès en ligne de commande, aux applications héritées, à l'infrastructure informatique et à d'autres ressources critiques qui ne pouvaient pas être protégées auparavant.
- Appliquer des contrôles d’accès de sécurité stricts en appliquant l'authentification multifacteur à toutes les ressources sensibles, garantissant que seuls les utilisateurs autorisés peuvent accéder aux systèmes et données critiques
- Application des politiques MFA ou de blocage d'accès à tous les utilisateurs privilégiés, à la fois administrateurs humains et comptes de service garantir qu'ils n'ont accès qu'en cas de nécessité est un élément clé de la sécurité des accès privilégiés.
- Surveiller en permanence toutes les demandes d'accès pour détecter les anomalies et prévenir les accès malveillants en temps réel.
- Détecter et répondre aux menaces d'identité comme l’escalade des privilèges et mouvements latéraux attaques et répondre automatiquement avec un blocage en temps réel.
Chez SilverfortGrâce à la détection rapide des incidents, les hôpitaux peuvent répondre à l'exigence de déclaration dans les 72 heures en identifiant rapidement les incidents de cybersécurité. Silverfort prend en charge les évaluations complètes des risques et propose des outils précieux qui aident les RSSI nouvellement nommés à gérer des programmes de sécurité complets.
Conçu pour les environnements de soins de santé, Silverfort répond aux menaces spécifiques à l’industrie et prépare les hôpitaux aux réglementations futures en mettant en œuvre des contrôles de sécurité d’identité évolutifs alignés sur les meilleures pratiques de sécurité.
Télécharger notre livre blanc pour en savoir plus sur comment Silverfort peut vous aider à répondre aux exigences de 10 NYCRR 405.46 ou planifier un appel avec l'un de nos experts.