A nova lei de IoT exige padrões de segurança e orientação para compras federais de dispositivos de IoT.
Em 4 de dezembro de 2020, o presidente Trump assinou a Lei de Melhoria da Segurança Cibernética da Internet das Coisas (“IoT”) (“Lei da IoT”).
A Lei de IoT americana exige que o Instituto Nacional de Padrões e Tecnologia (“NIST”) desenvolva e publique padrões e diretrizes de linha de base sobre como o governo federal usa e gerencia dispositivos de IoT conectados a sistemas de informação.
O Instituto Nacional de Padrões e Tecnologia (NIST) foi fundado em 1901 e faz parte do Departamento de Comércio dos EUA. O NIST é um dos mais antigos laboratórios de ciências físicas dos EUA.
O NIST – que já abordou a segurança cibernética da IoT – deve promulgar “requisitos mínimos de segurança da informação para gerenciar os riscos de segurança cibernética associados a tais dispositivos”.
A Lei da IoT exige que esses novos padrões e diretrizes sejam consistentes com as orientações atuais do NIST sobre:
- Identificação e gerenciamento de vulnerabilidades;
- Desenvolvimento seguro;
- Gerenciamento de identidade;
- Gerenciamento de patches; e
- Gerenciamento de configurações.
O NIST também tem a tarefa de publicar diretrizes para fornecedores de IoT com relação à divulgação de vulnerabilidades de segurança e disseminação de informações sobre a resolução dessas vulnerabilidades.
Além de exigir o desenvolvimento de padrões e diretrizes do NIST, a Lei da IoT fornece:
- Requisitos para que o Office of Management and Budget (“OMB”) analise as políticas de segurança da informação da agência federal quanto à consistência com os padrões e diretrizes do NIST;
- Atualizações do Regulamento de Aquisição Federal para consistência com os padrões e diretrizes do NIST; e
- Proibições de compras federais de dispositivos IoT que não cumpram os padrões e diretrizes do NIST.
Embora se apliquem tecnicamente apenas às compras governamentais federais, os padrões e diretrizes do NIST têm o potencial de influenciar as leis estaduais e as práticas do setor privado. Por exemplo, muitos dispositivos IoT vendidos ao governo federal que atendem aos padrões baseados no NIST inevitavelmente também serão vendidos ao setor privado. Na prática, os padrões NIST podem ter um impacto mais amplo nas práticas de segurança em todo o setor de IoT.
- Por que a AnaMid é a associação que o mercado digital brasileiro precisa?
- Como a IA e IoT transformam a capacitação de equipes e a competitividade no mercado
- Empresa de cibersegurança lança XDR para fortalecer a defesa corporativa digital com recursos de Inteligência Artificial e Machine Learning
- O impacto ambiental e como podemos garantir a sustentabilidade na indústria de IA
- Ataques Cibernéticos no Brasil: FIESP/CIESP lançam guia completo para proteger seu negócio
- A Ascensão do PKIaaS: Relatório Frost Radar Destaca o Crescimento e a Inovação no Mercado
- Connect Day 2024: Grupo Vivhas reúne parceiros para promover inovação na saúde
- Como a IA Generativa está moldando o futuro da segurança cibernética