A nova lei de IoT exige padrões de segurança e orientação para compras federais de dispositivos de IoT.
Em 4 de dezembro de 2020, o presidente Trump assinou a Lei de Melhoria da Segurança Cibernética da Internet das Coisas (“IoT”) (“Lei da IoT”).
A Lei de IoT americana exige que o Instituto Nacional de Padrões e Tecnologia (“NIST”) desenvolva e publique padrões e diretrizes de linha de base sobre como o governo federal usa e gerencia dispositivos de IoT conectados a sistemas de informação.
O Instituto Nacional de Padrões e Tecnologia (NIST) foi fundado em 1901 e faz parte do Departamento de Comércio dos EUA. O NIST é um dos mais antigos laboratórios de ciências físicas dos EUA.
O NIST – que já abordou a segurança cibernética da IoT – deve promulgar “requisitos mínimos de segurança da informação para gerenciar os riscos de segurança cibernética associados a tais dispositivos”.
A Lei da IoT exige que esses novos padrões e diretrizes sejam consistentes com as orientações atuais do NIST sobre:
- Identificação e gerenciamento de vulnerabilidades;
- Desenvolvimento seguro;
- Gerenciamento de identidade;
- Gerenciamento de patches; e
- Gerenciamento de configurações.
O NIST também tem a tarefa de publicar diretrizes para fornecedores de IoT com relação à divulgação de vulnerabilidades de segurança e disseminação de informações sobre a resolução dessas vulnerabilidades.
Além de exigir o desenvolvimento de padrões e diretrizes do NIST, a Lei da IoT fornece:
- Requisitos para que o Office of Management and Budget (“OMB”) analise as políticas de segurança da informação da agência federal quanto à consistência com os padrões e diretrizes do NIST;
- Atualizações do Regulamento de Aquisição Federal para consistência com os padrões e diretrizes do NIST; e
- Proibições de compras federais de dispositivos IoT que não cumpram os padrões e diretrizes do NIST.
Embora se apliquem tecnicamente apenas às compras governamentais federais, os padrões e diretrizes do NIST têm o potencial de influenciar as leis estaduais e as práticas do setor privado. Por exemplo, muitos dispositivos IoT vendidos ao governo federal que atendem aos padrões baseados no NIST inevitavelmente também serão vendidos ao setor privado. Na prática, os padrões NIST podem ter um impacto mais amplo nas práticas de segurança em todo o setor de IoT.
- Bancos usam Open Finance e IA agêntica para ganhar principalidade e acelerar disputa por clientes
- ID Talk | Luiz Claudio, CEO da LC SEC sobre Rastreabilidade no mercado financeiro
- ANPD abre consulta pública sobre verificação de idade: Brasil constrói uma das regulações mais maduras do mundo
- IA facilitou a criação de negócios digitais, mas infraestrutura virou o novo risco
- Caso Dígitro expõe risco para empresas, com ataques a fornecedores representando 30% das violações globais
- Aplicação de governança uniforme aos agentes de Inteligência Artificial levará ao fracasso desses agentes nas empresas
- Multicloud híbrida: desempenho, segurança e flexibilidade na era da nuvem distribuída
- Binance se associa à ABcripto em momento de amadurecimento do mercado brasileiro de ativos virtuais
