A nova lei de IoT exige padrões de segurança e orientação para compras federais de dispositivos de IoT.
Em 4 de dezembro de 2020, o presidente Trump assinou a Lei de Melhoria da Segurança Cibernética da Internet das Coisas (“IoT”) (“Lei da IoT”).
A Lei de IoT americana exige que o Instituto Nacional de Padrões e Tecnologia (“NIST”) desenvolva e publique padrões e diretrizes de linha de base sobre como o governo federal usa e gerencia dispositivos de IoT conectados a sistemas de informação.
O Instituto Nacional de Padrões e Tecnologia (NIST) foi fundado em 1901 e faz parte do Departamento de Comércio dos EUA. O NIST é um dos mais antigos laboratórios de ciências físicas dos EUA.
O NIST – que já abordou a segurança cibernética da IoT – deve promulgar “requisitos mínimos de segurança da informação para gerenciar os riscos de segurança cibernética associados a tais dispositivos”.
A Lei da IoT exige que esses novos padrões e diretrizes sejam consistentes com as orientações atuais do NIST sobre:
- Identificação e gerenciamento de vulnerabilidades;
- Desenvolvimento seguro;
- Gerenciamento de identidade;
- Gerenciamento de patches; e
- Gerenciamento de configurações.
O NIST também tem a tarefa de publicar diretrizes para fornecedores de IoT com relação à divulgação de vulnerabilidades de segurança e disseminação de informações sobre a resolução dessas vulnerabilidades.
Além de exigir o desenvolvimento de padrões e diretrizes do NIST, a Lei da IoT fornece:
- Requisitos para que o Office of Management and Budget (“OMB”) analise as políticas de segurança da informação da agência federal quanto à consistência com os padrões e diretrizes do NIST;
- Atualizações do Regulamento de Aquisição Federal para consistência com os padrões e diretrizes do NIST; e
- Proibições de compras federais de dispositivos IoT que não cumpram os padrões e diretrizes do NIST.
Embora se apliquem tecnicamente apenas às compras governamentais federais, os padrões e diretrizes do NIST têm o potencial de influenciar as leis estaduais e as práticas do setor privado. Por exemplo, muitos dispositivos IoT vendidos ao governo federal que atendem aos padrões baseados no NIST inevitavelmente também serão vendidos ao setor privado. Na prática, os padrões NIST podem ter um impacto mais amplo nas práticas de segurança em todo o setor de IoT.
- Garanta seu e-CNPJ A1 em dezembro, economize e comece 2026 com tudo em dia!
- Retrospectiva 2025: os avanços que moldaram a segurança digital no Brasil e o papel das soluções da Bry nesse cenário
- Relatório da Sophos revela queda nas tentativas de ransomware e aumento em roubo de dados na indústria
- Hospital Sírio-Libanês integra inteligência artificial para agilizar resultados laboratoriais
- CrowdStrike anuncia Falcon AI Detection and Response, ampliando a defesa contra riscos emergentes de IA
- Elytron Cybersecurity confirma expertise brasileira no combate ao cibercrime em evento da INTERPOL
- Empresas pressionam Congresso pela aprovação do REDATA
- A Voz das IAs: Mais da metade dos brasileiros aceitam sugestões de compra de chatbots
