Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
LarFCC dá início ao programa voluntário de etiqueta de segurança de IoT com grande NPRM: Wiley
Num novo Aviso de Proposta de Regulamentação (NPRM), a Comissão Federal de Comunicações (FCC) impõe um prazo curto para comentários sobre um novo e complexo regime de rotulagem de segurança cibernética para dispositivos da Internet das Coisas (IoT). O NPRM também revela que a agência – que tradicionalmente não regulamenta a área da segurança cibernética – está a adoptar uma visão ampla da sua autoridade para implementar este programa.
Em alto nível, o NPRM propõe que as entidades participantes possam exibir um “rótulo de cibersegurança IoT” criado pela Comissão nos seus dispositivos conectados (o US Cyber Trust Mark), indicando a conformidade com “padrões de cibersegurança amplamente aceites”. Embora outras partes do governo federal tenham considerado questões de segurança e rotulagem de IoT, este programa de rotulagem de segurança cibernética seria a primeira vez para a FCC. A complexidade do NPRM levanta questões importantes que as partes interessadas devem considerar, num prazo reduzido: os comentários serão entregues 30 dias após a publicação do NPRM no Registo Federal (o que ainda não ocorreu).
A proposta da FCC faz parte de uma iniciativa da Casa Branca sobre segurança de IoT, que começou no mês passado. Embora a iniciativa conjunta de rotulagem da Casa Branca-FCC seja nova, ela segue vários anos de trabalho nesta área, incluindo documentos de orientação e programas piloto do Instituto Nacional de Padrões e Tecnologia (NIST) de acordo com uma Ordem Executiva de 2021 sobre a Melhoria da Segurança Cibernética da Nação (14028) e orientação do Congresso, bem como aplicação significativa de privacidade e segurança cibernética pela Federal Trade Commission (FTC) sob a Seção 5 da Lei FTC.
O NPRM coloca uma série de questões em aberto sobre todos os aspectos do programa de rotulagem – desde o desenvolvimento de normas, avaliação de conformidade e estrutura/componentes de rótulos, até à aplicação, protecção de responsabilidades e harmonização internacional. Além disso, o NPRM sugere que a Comissão está a prever um regime potencialmente complexo e oneroso que envolve testes de produtos de terceiros e um registo de produtos IoT a ser atualizado em tempo real.
Em conjunto, a complexidade do NPRM e a velocidade a que a FCC se propõe avançar significam que uma vasta gama de interesses das partes interessadas estará em jogo. A participação destas partes interessadas ajudará a garantir que o eventual programa de rotulagem forneça informações valiosas aos consumidores e ofereça incentivos e proteções adequados para a participação das partes interessadas da indústria.
O NPRM
A NPRM procura comentários públicos sobre inúmeras questões relacionadas com a implementação do programa de rotulagem de segurança cibernética, incluindo: (i) o âmbito dos dispositivos ou produtos elegíveis; (ii) fiscalização e gestão; (iii) desenvolvimento de critérios e padrões; (iv) administração do programa. O NPRM também aborda e procura informações sobre: (v) a autoridade legal da Comissão para adoptar o programa; e (vi) promoção da equidade digital. Cada uma dessas áreas é abordada com mais detalhes abaixo. Notavelmente, embora a FCC preveja que irá promulgar regulamentos para reger o programa, e os participantes serão obrigados a aderir a esses regulamentos, o NPRM não oferece regras propostas.
Dispositivos ou produtos elegíveis
A Comissão propõe limitar inicialmente a elegibilidade do programa a “dispositivos IoT” que “emitem intencionalmente energia de radiofrequência (RF)”. ¶ 11. A Comissão baseia-se na definição do NIST de “dispositivo IoT”, definindo o termo como “(1) um dispositivo conectado à Internet capaz de emitir intencionalmente energia de RF que possui pelo menos um transdutor (sensor ou atuador) para interagir diretamente com o mundo físico, juntamente com (2) pelo menos uma interface de rede (por exemplo, Wi-Fi, Bluetooth) para interface com o mundo digital.” ¶ 11. O NPRM não discute expressamente se esta definição inclui telefones, mas a definição do NIST sobre a qual se baseia “exclui equipamentos de computação de uso geral comum (por exemplo, computadores pessoais, smartphones).”[1]
A Comissão solicita comentários sobre o âmbito dos produtos elegíveis para o programa, incluindo: