A nova lei de IoT exige padrões de segurança e orientação para compras federais de dispositivos de IoT.
Em 4 de dezembro de 2020, o presidente Trump assinou a Lei de Melhoria da Segurança Cibernética da Internet das Coisas (“IoT”) (“Lei da IoT”).
A Lei de IoT americana exige que o Instituto Nacional de Padrões e Tecnologia (“NIST”) desenvolva e publique padrões e diretrizes de linha de base sobre como o governo federal usa e gerencia dispositivos de IoT conectados a sistemas de informação.
O Instituto Nacional de Padrões e Tecnologia (NIST) foi fundado em 1901 e faz parte do Departamento de Comércio dos EUA. O NIST é um dos mais antigos laboratórios de ciências físicas dos EUA.
O NIST – que já abordou a segurança cibernética da IoT – deve promulgar “requisitos mínimos de segurança da informação para gerenciar os riscos de segurança cibernética associados a tais dispositivos”.
A Lei da IoT exige que esses novos padrões e diretrizes sejam consistentes com as orientações atuais do NIST sobre:
- Identificação e gerenciamento de vulnerabilidades;
- Desenvolvimento seguro;
- Gerenciamento de identidade;
- Gerenciamento de patches; e
- Gerenciamento de configurações.
O NIST também tem a tarefa de publicar diretrizes para fornecedores de IoT com relação à divulgação de vulnerabilidades de segurança e disseminação de informações sobre a resolução dessas vulnerabilidades.
Além de exigir o desenvolvimento de padrões e diretrizes do NIST, a Lei da IoT fornece:
- Requisitos para que o Office of Management and Budget (“OMB”) analise as políticas de segurança da informação da agência federal quanto à consistência com os padrões e diretrizes do NIST;
- Atualizações do Regulamento de Aquisição Federal para consistência com os padrões e diretrizes do NIST; e
- Proibições de compras federais de dispositivos IoT que não cumpram os padrões e diretrizes do NIST.
Embora se apliquem tecnicamente apenas às compras governamentais federais, os padrões e diretrizes do NIST têm o potencial de influenciar as leis estaduais e as práticas do setor privado. Por exemplo, muitos dispositivos IoT vendidos ao governo federal que atendem aos padrões baseados no NIST inevitavelmente também serão vendidos ao setor privado. Na prática, os padrões NIST podem ter um impacto mais amplo nas práticas de segurança em todo o setor de IoT.
- Segurança cibernética ganha protagonismo na gestão pública após recentes vazamentos de dados
- Comunicação crítica entra em nova era no mercado financeiro: por que segurança virou a nova métrica de desempenho?
- Nizan Guanaes fala sobre IA e criatividade no Festival Mundial de Cinema com Inteligência Artificial
- Portabilidade de crédito via Open Finance coloca arquiteturas de TI à prova no setor financeiro
- Case: IA deixa de ser promessa e passa a gerar vendas no varejo físico brasileiro
- Riscos de Terceiros e a Nova Superfície de Ataque: por que 2026 exige outra postura de cibersegurança
- A Nova Arquitetura da Resiliência Digital no Sistema Financeiro Brasileiro: o que muda com as Resoluções BCB 538/2025 e CMN 5.274/2025?
- Oracle lança novos agentes de IA para transformar marketing, vendas e atendimento ao cliente
