Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
CasaFCC avvia il programma volontario di etichettatura di sicurezza IoT con Big NPRM: Wiley
In una nuova Notice of Proposed Rulemaking (NPRM), la Federal Communications Commission (FCC) impone un breve termine per i commenti per un nuovo e complesso regime di etichettatura della sicurezza informatica per i dispositivi Internet of Things (IoT). L’NPRM rivela inoltre che l’agenzia, che tradizionalmente non si occupa di regolamentazione nel settore della sicurezza informatica, sta adottando una visione ampia della sua autorità per attuare questo programma.
Ad alto livello, l’NPRM propone che le entità partecipanti siano in grado di esporre una “etichetta di sicurezza informatica IoT” creata dalla Commissione sui loro dispositivi connessi (il Cyber Trust Mark degli Stati Uniti), indicando la conformità con “standard di sicurezza informatica ampiamente accettati”. Sebbene altre parti del governo federale abbiano considerato la sicurezza dell’IoT e le questioni di etichettatura, questo programma di etichettatura della sicurezza informatica sarebbe il primo per la FCC. La complessità della NPRM solleva questioni importanti che le parti interessate devono considerare, in tempi ridotti: i commenti saranno dovuti 30 giorni dopo la pubblicazione della NPRM nel Registro federale (che non è ancora avvenuta).
La proposta della FCC fa parte di un'iniziativa della Casa Bianca sulla sicurezza dell'IoT, avviata il mese scorso. Sebbene l'iniziativa congiunta di etichettatura Casa Bianca-FCC sia nuova, fa seguito a diversi anni di lavoro in questo settore, inclusi documenti guida e programmi pilota del National Institute of Standards and Technology (NIST) ai sensi dell'ordine esecutivo del 2021 sul miglioramento della sicurezza informatica nazionale (14028) e le indicazioni del Congresso, nonché un'importante applicazione della privacy e della sicurezza informatica da parte della Federal Trade Commission (FTC) ai sensi della Sezione 5 della legge FTC.
L’NPRM pone una moltitudine di domande aperte su tutti gli aspetti del programma di etichettatura: dallo sviluppo degli standard, alla valutazione della conformità e alla struttura/componenti dell’etichetta, all’applicazione, alla protezione della responsabilità e all’armonizzazione internazionale. Inoltre, l’NPRM suggerisce che la Commissione stia prevedendo un regime potenzialmente complesso e oneroso che prevede test sui prodotti di terze parti e un registro dei prodotti IoT da aggiornare in tempo reale.
Insieme, la complessità dell’NPRM e la velocità con cui la FCC propone di muoversi significa che sarà in gioco un’ampia gamma di interessi delle parti interessate. La partecipazione di queste parti interessate contribuirà a garantire che l’eventuale programma di etichettatura fornisca informazioni preziose ai consumatori e offra incentivi e tutele adeguati per la partecipazione delle parti interessate del settore.
Il NPRM
L'NPRM richiede commenti pubblici su numerose questioni relative all'implementazione del programma di etichettatura della sicurezza informatica, tra cui: (i) l'ambito dei dispositivi o prodotti idonei; (ii) supervisione e gestione; (iii) sviluppo di criteri e standard; (iv) amministrazione del programma. L'NPRM affronta e chiede input anche su: (v) l'autorità legale della Commissione per adottare il programma; e (vi) promuovere l’equità digitale. Ognuna di queste aree viene affrontata più dettagliatamente di seguito. In particolare, mentre la FCC prevede di promulgare regolamenti per governare il programma e ai partecipanti sarà richiesto di aderire a tali regolamenti, l’NPRM non offre regole proposte.
Dispositivi o prodotti idonei
La Commissione propone di limitare inizialmente l’ammissibilità del programma ai “dispositivi IoT” che “emettono intenzionalmente energia a radiofrequenza (RF)”. ¶ 11. La Commissione si basa sulla definizione del NIST di "dispositivo IoT", definendo il termine come "(1) un dispositivo connesso a Internet in grado di emettere intenzionalmente energia RF che ha almeno un trasduttore (sensore o attuatore) per interagire direttamente con il mondo fisico, accoppiato con (2) almeno un'interfaccia di rete (ad esempio, Wi-Fi, Bluetooth) per l'interfacciamento con il mondo digitale. ¶ 11. L'NPRM non discute espressamente se questa definizione includa i telefoni, ma la definizione NIST su cui si basa "esclude apparecchiature informatiche comuni per uso generale (ad esempio, personal computer, smartphone)."[1]
La Commissione chiede commenti sulla portata dei prodotti ammissibili al programma, tra cui: