Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonLa FCC lance un programme volontaire d'étiquetage de sécurité IoT avec Big NPRM : Wiley
Dans un nouvel avis de proposition de réglementation (NPRM), la Federal Communications Commission (FCC) impose un court délai de commentaires pour un nouveau régime complexe d'étiquetage de cybersécurité pour les appareils Internet des objets (IoT). Le NPRM révèle également que l’agence – qui n’a traditionnellement pas réglementé le domaine de la cybersécurité – adopte une vision large de son autorité pour mettre en œuvre ce programme.
À un niveau élevé, le NPRM propose que les entités participantes puissent afficher une « étiquette de cybersécurité IoT » créée par la Commission sur leurs appareils connectés (la Cyber Trust Mark américaine), indiquant la conformité aux « normes de cybersécurité largement acceptées ». Bien que d'autres parties du gouvernement fédéral aient examiné les questions de sécurité et d'étiquetage de l'IoT, ce programme d'étiquetage de cybersécurité serait une première pour la FCC. La complexité du NPRM soulève des questions importantes que les parties prenantes doivent examiner, dans un délai serré : les commentaires seront attendus 30 jours après la publication du NPRM par le Federal Register (qui n'a pas encore eu lieu).
La proposition de la FCC fait partie d'une initiative de la Maison Blanche sur la sécurité de l'IoT, lancée le mois dernier. Bien que l'initiative conjointe d'étiquetage Maison Blanche-FCC soit nouvelle, elle fait suite à plusieurs années de travail dans ce domaine, y compris des documents d'orientation et des programmes pilotes du National Institute of Standards and Technology (NIST) conformément à un décret de 2021 sur l'amélioration de la cybersécurité du pays. (14028) et les directives du Congrès, ainsi qu'une application importante de la confidentialité et de la cybersécurité par la Federal Trade Commission (FTC) en vertu de l'article 5 de la loi FTC.
Le NPRM pose une multitude de questions ouvertes sur tous les aspects du programme d'étiquetage, depuis l'élaboration de normes, l'évaluation de la conformité et la structure/composants de l'étiquette, jusqu'à l'application, la protection de la responsabilité et l'harmonisation internationale. En outre, le NPRM suggère que la Commission envisage un régime potentiellement complexe et onéreux impliquant des tests de produits par des tiers et un registre de produits IoT qui serait mis à jour en temps réel.
Ensemble, la complexité du NPRM et la vitesse à laquelle la FCC propose d'évoluer signifient qu'un large éventail d'intérêts de parties prenantes seront en jeu. La participation de ces parties prenantes contribuera à garantir que l’éventuel programme d’étiquetage fournira des informations précieuses aux consommateurs et offrira des incitations et des protections adéquates aux parties prenantes de l’industrie pour qu’elles y participent.
Le NPRM
Le NPRM sollicite les commentaires du public sur de nombreuses questions liées à la mise en œuvre du programme d'étiquetage de cybersécurité, notamment : (i) la portée des appareils ou produits éligibles ; (ii) la surveillance et la gestion ; (iii) l'élaboration de critères et de normes ; (iv) l'administration du programme. Le NPRM aborde également et sollicite des commentaires sur : (v) l'autorité légale de la Commission pour adopter le programme ; et (vi) promouvoir l’équité numérique. Chacun de ces domaines est abordé plus en détail ci-dessous. Notamment, alors que la FCC envisage de promulguer des réglementations pour régir le programme et que les participants seront tenus de respecter ces réglementations, le NPRM ne propose pas de règles proposées.
Appareils ou produits éligibles
La Commission propose de limiter initialement l’éligibilité au programme aux « appareils IoT » qui « émettent intentionnellement de l’énergie radiofréquence (RF) ». ¶ 11. La Commission s'appuie sur la définition du « dispositif IoT » du NIST, définissant le terme comme « (1) un appareil connecté à Internet capable d'émettre intentionnellement de l'énergie RF qui possède au moins un transducteur (capteur ou actionneur) pour interagir directement avec le monde physique, couplé à (2) au moins une interface réseau (par exemple, Wi-Fi, Bluetooth) pour s'interfacer avec le monde numérique. ¶ 11. Le NPRM ne précise pas expressément si cette définition inclut les téléphones, mais la définition du NIST sur laquelle il s'appuie « exclut les équipements informatiques courants à usage général (par exemple, les ordinateurs personnels, les smartphones) ».[1]
La Commission sollicite des commentaires sur la portée des produits éligibles au programme, notamment :