FCC startet freiwilliges IoT-Sicherheitsetikettenprogramm mit Big NPRM: Wiley

In einer neuen Bekanntmachung zur vorgeschlagenen Regelsetzung (NPRM) legt die Federal Communications Commission (FCC) eine kurze Kommentierungsfrist für ein komplexes neues Kennzeichnungsregime zur Cybersicherheit für Geräte des Internets der Dinge (IoT) fest. Das NPRM zeigt auch, dass die Behörde – die im Bereich der Cybersicherheit traditionell keine Regulierungen vorgenommen hat – ihre Befugnisse zur Umsetzung dieses Programms weit gefasst betrachtet.

Auf hoher Ebene schlägt das NPRM vor, dass teilnehmende Unternehmen ein von der Kommission erstelltes „IoT-Cybersicherheitslabel“ auf ihren angeschlossenen Geräten (das US Cyber ​​Trust Mark) anbringen können, das die Konformität mit „allgemein anerkannten Cybersicherheitsstandards“ anzeigt. Obwohl andere Teile der Bundesregierung sich mit IoT-Sicherheits- und Kennzeichnungsfragen befasst haben, wäre dieses Kennzeichnungsprogramm für Cybersicherheit ein Novum für die FCC. Die Komplexität des NPRM wirft wichtige Fragen auf, die die Interessenträger in einem komprimierten Zeitrahmen berücksichtigen müssen: Kommentare sind 30 Tage nach der Veröffentlichung des NPRM im Bundesregister (die noch nicht erfolgt ist) fällig.

Der Vorschlag der FCC ist Teil einer Initiative des Weißen Hauses zur IoT-Sicherheit, die letzten Monat gestartet wurde. Obwohl die gemeinsame Kennzeichnungsinitiative des Weißen Hauses und der FCC neu ist, geht sie auf mehrere Jahre Arbeit in diesem Bereich zurück, einschließlich Leitfäden und Pilotprogrammen des National Institute of Standards and Technology (NIST) gemäß einer Executive Order zur Verbesserung der Cybersicherheit des Landes aus dem Jahr 2021 (14028) und Anweisungen des Kongresses sowie erhebliche Durchsetzung von Datenschutz und Cybersicherheit durch die Federal Trade Commission (FTC) gemäß Abschnitt 5 des FTC Act.

Das NPRM wirft eine Vielzahl offener Fragen zu allen Aspekten des Kennzeichnungsprogramms auf – von der Entwicklung von Standards, der Konformitätsbewertung und der Struktur/Komponenten der Kennzeichnung bis hin zu Durchsetzung, Haftungsschutz und internationaler Harmonisierung. Darüber hinaus schlägt das NPRM vor, dass die Kommission sich ein möglicherweise komplexes und belastendes System vorstellt, das Produkttests durch Dritte und ein IoT-Produktregister umfasst, das in Echtzeit aktualisiert werden muss.

Die Komplexität des NPRM und die Geschwindigkeit, mit der die FCC vorschlägt, zu handeln, bedeuten, dass ein breites Spektrum von Interessengruppen auf dem Spiel steht. Die Beteiligung dieser Interessenträger wird dazu beitragen, dass das letztendliche Kennzeichnungsprogramm den Verbrauchern wertvolle Informationen liefert und den Interessenvertretern der Industrie angemessene Anreize und Schutzmaßnahmen zur Teilnahme bietet.

Das NPRM

Das NPRM bittet um öffentliche Stellungnahmen zu zahlreichen Themen im Zusammenhang mit der Umsetzung des Cybersicherheitskennzeichnungsprogramms, darunter: (i) der Umfang der geeigneten Geräte oder Produkte; (ii) Aufsicht und Management; (iii) Entwicklung von Kriterien und Standards; (iv) Programmverwaltung. Das NPRM befasst sich auch mit Folgendem und bittet um Beiträge zu folgenden Themen: (v) der rechtlichen Befugnis der Kommission, das Programm anzunehmen; und (vi) Förderung digitaler Gerechtigkeit. Auf jeden dieser Bereiche wird im Folgenden näher eingegangen. Während die FCC vorsieht, Vorschriften zur Regelung des Programms zu erlassen und die Teilnehmer zur Einhaltung dieser Vorschriften zu verpflichten, schlägt die NPRM keine vorgeschlagenen Regeln vor.

Berechtigte Geräte oder Produkte

Die Kommission schlägt vor, die Programmberechtigung zunächst auf „IoT-Geräte“ zu beschränken, die „absichtlich Hochfrequenzenergie (RF) aussenden“. ¶ 11. Die Kommission baut auf der NIST-Definition von „IoT-Gerät“ auf und definiert den Begriff als „(1) ein mit dem Internet verbundenes Gerät, das absichtlich HF-Energie aussenden kann und über mindestens einen Wandler (Sensor oder Aktor) zur direkten Interaktion mit dem Gerät verfügt.“ physische Welt, gekoppelt mit (2) mindestens einer Netzwerkschnittstelle (z. B. Wi-Fi, Bluetooth) für die Verbindung mit der digitalen Welt.“ ¶ 11. Das NPRM erörtert nicht ausdrücklich, ob diese Definition Telefone einschließt, aber die NIST-Definition, auf der sie aufbaut, „schließt gängige Allzweck-Computergeräte (z. B. Personalcomputer, Smartphones) aus.“[1]

Die Kommission bittet um eine Stellungnahme zum Umfang der Produkte, die für das Programm in Frage kommen, darunter:

Die Kommission schlägt außerdem vor, alle (1) zuvor zugelassenen Geräte aus dem Programm auszuschließen, die auf der Covered List der FCC als „abgedeckte Geräte“ identifiziert wurden (d. h. die Liste der Geräte, die nach Einschätzung der Kommission ein inakzeptables Risiko für die Vereinigten Staaten darstellt). ); (2) Geräte, die jetzt oder in Zukunft auf die abgedeckte Liste gesetzt wurden; (3) jedes IoT-Gerät, das von einem Unternehmen hergestellt wird, das in der abgedeckten Liste als Hersteller „abgedeckter“ Geräte aufgeführt ist; und (4) jedes IoT-Gerät, das von einem Unternehmen hergestellt wird, das auf der Entity List des Handelsministeriums, der Liste chinesischer Militärunternehmen des Verteidigungsministeriums oder ähnlichen Listen aufgeführt ist. ¶¶ 17–18.

Aufsicht und Management des IoT-Kennzeichnungsprogramms

Das NPRM stellt sich ein Programm vor, bei dem die Kommission – als „Inhaber des Kennzeichnungssystems“ – für die Überwachung und Verwaltung des Programms verantwortlich wäre, unter anderem durch „die Schaffung und den Besitz einer neuen unverwechselbaren Marke zur Verwendung in [dem Programm]“ und „geeignete Maßnahmen ergreifen, um die allgemeine Verwendung des Etiketts auf eine Weise zu genehmigen, die die Integrität der Marke und des Etiketts gewährleistet.“ ¶ 21. Darüber hinaus wird vorgeschlagen, „das Fachwissen Dritter zu nutzen“, indem es Unternehmen ermöglicht wird, Anforderungen oder Standards für das Programm zu entwickeln und die Einhaltung der Programmstandards durch andere Parteien zu bewerten. Ausweis.

Um die Einhaltung des IoT-Kennzeichnungsprogramms nachzuweisen, schlägt die Kommission die Einrichtung von Autorisierungsstellen für die Kennzeichnung von Cybersicherheit (CyberLABs) vor. Dabei handelt es sich um Drittstellen mit Fachkenntnissen in Sicherheits- und Konformitätstests, die in etwa den bestehenden Telekommunikationszertifizierungsstellen (TCB) der Kommission entsprechen. ¶¶ 24–25. Die Kommission bittet um eine Stellungnahme dazu, wie die Bewerbungs- und Qualifizierungs-/Akkreditierungsverfahren für CyberLABs strukturiert werden sollen, § 26, und ob es CyberLABs gestattet werden soll, Gebühren für die Bearbeitung von Akkreditierungsanfragen festzulegen und zu bewerten, § 50.

Entwicklung von IoT-Cybersicherheitskriterien und -standards

Die Kommission hat keine genauen Kriterien für die Einhaltung festgelegt, abgesehen von einem allgemeinen Vorschlag, die von NIST empfohlenen IoT-Kriterien aus dem Weißbuch dieser Agentur zur Cybersicherheitskennzeichnung von 2022 zu verwenden.[2] ¶ 27. Die FCC stellt fest, dass es zehn NIST-Kriterien gibt: (1) Identifizierung von Vermögenswerten; (2) Produktkonfiguration; (3) Datenschutz; (4) Schnittstellenzugriffskontrolle; (5) Software-Update; (6) staatliches Bewusstsein für Cybersicherheit; (7) Dokumentation; (8) Empfang von Informationen und Anfragen; (9) Informationsverbreitung; und (10) Produktschulung und -bewusstsein. Ausweis. Die FCC bittet um eine Stellungnahme dazu, wie diese Kriterien verwendet werden könnten, um Mindestsicherheitsanforderungen und -standards für das Internet der Dinge für Konformitätsbewertungen oder Selbstbescheinigungen festzulegen. Ausweis. Die Kommission bittet um eine Stellungnahme dazu, ob andere Kriterien berücksichtigt werden sollten und ob für Geräte mit höherem Risiko separate Kriterien verwendet werden sollten. Ausweis.

Die Kommission schlägt vor, dass Standards gemeinsam mit der Industrie und anderen Interessenträgern entwickelt werden. ¶ 28. Die Kommission fragt, ob die FCC oder eine externe Einrichtung Interessenvertreter zusammenbringen sollte, um Standards zu entwickeln. Ausweis. Die Kommission schlägt vor, dass der Prozess die folgenden Schritte umfasst: (1) Sammlung von Informationen, (2) Festlegung von Anforderungen, (3) Entwicklung des Standards, (4) Überprüfung und Verbesserung und (5) Umsetzung. ¶ 29. Die Kommission bittet um Stellungnahme zu weiteren Faktoren, die in diesem Prozess berücksichtigt werden sollten, sowie zur Dauer, die der Abschluss des Prozesses in Anspruch nehmen würde. Ausweis. Das NPRM bittet auch um eine Stellungnahme dazu, ob die Kommission die Übernahme bestehender IoT-Sicherheitsstandards, einschließlich Standards für bestimmte Geräte oder Geräteklassen, in Betracht ziehen sollte. Ausweis.

Während die Teilnahme am IoT-Kennzeichnungsprogramm freiwillig wäre, schlägt die Kommission vor, von den Teilnehmern die Einhaltung der von ihr festgelegten Standards zu verlangen. ¶ 30. Darüber hinaus bittet das NPRM um eine Stellungnahme zum Verfahren zur Genehmigung von Standards, einschließlich der Frage, ob das Public Safety and Homeland Security Bureau (PSHSB) anstelle der gesamten Kommission Standards nach Benachrichtigung und Stellungnahme genehmigen sollte. ¶ 31.

Die Kommission bittet um eine Stellungnahme zum Verfahren der Konformitätsbewertung. Während sich das NPRM auf die Bewertung durch Dritte, ähnlich der TCB-Zertifizierung, konzentriert, fragt es auch, ob andere Verfahren, wie etwa die Konformitätserklärung des Lieferanten (SDoC) im Gerätezulassungssystem, ebenfalls angemessen sein könnten. ¶ 32.

Verwaltung des IoT-Kennzeichnungsprogramms

Das NPRM bittet um Kommentare zu mehreren Fragen im Zusammenhang mit der Programmverwaltung, einschließlich der Komponenten des Labels selbst, der Erstellung eines IoT-Registers, Aktualisierungen dieses Registers und Erneuerungsanforderungen, um die fortlaufende Nutzung des Labels zu ermöglichen, Durchsetzung der Labeling-Regeln und Einschränkungen Haftung und Vorkaufsrecht für Programmteilnehmer, Verbraucheraufklärung und Gewährleistung der internationalen Integrität des Labels.

IoT-Label. Die Kommission schlägt vor, ein einziges binäres Etikett mit Schichtung zu verwenden, das einen QR-Code verwendet. ¶ 35. Produkte oder Geräte sind für das Label entweder qualifiziert oder nicht, und ein scannbarer QR-Code leitet Verbraucher zu detaillierteren Informationen weiter. Ausweis. Die Kommission bittet um eine Stellungnahme dazu, wie das Etikett angebracht werden soll (z. B. auf dem Gerät oder seiner Verpackung angebracht). ¶ 36. In Bezug auf mehrschichtige Informationen bittet das NPRM um Kommentare zur Verwendung eines QR-Codes oder einer URL, um Verbrauchern den Zugriff auf Informationen über das Gerät/Produkt zu ermöglichen, „einschließlich spezifischer Sicherheitsinformationen, wie z. B. den Support-Level des Geräteherstellers und den Software-Update-Verlauf.“ , Datenschutzbestimmungen und ähnliche Informationen.“ ¶ 37. Die FCC stellt mehrere Fragen dazu, was der QR-Code enthalten sollte, z. B. ob der QR-Code Informationen bereitstellt, die nicht aktualisiert werden müssen, oder ob der QR-Code auf die IoT-Registrierungsseite verweisen sollte (siehe nächster Absatz). ) für das Produkt. ¶¶ 38–40. Die Kommission bittet außerdem um Stellungnahme zur Gewährleistung der Integrität des Etiketts und zu den Funktionen, die es zur Verbesserung des Verbraucherbewusstseins bieten kann. ¶ 55. Darüber hinaus bittet die FCC um eine Stellungnahme dazu, wie die Zugänglichkeit ihres Etiketts sichergestellt werden kann. ¶ 56.

IoT-Registrierung. Die Kommission schlägt die Einrichtung eines IoT-Registers vor, in dem die Öffentlichkeit auf Informationen über im Rahmen des Programms zugelassene Geräte zugreifen kann. ¶ 41. Die Kommission bittet um eine Stellungnahme dazu, ob es ähnliche Register gibt und ob sie einen externen Registerverwalter für das Register auswählen und beaufsichtigen sollte. Ausweis. Das NPRM fragt, welche Informationen in das IoT-Register aufgenommen werden sollten und wie die Informationen organisiert werden sollten. ¶¶ 42–43.

Updates und Erneuerung. Die Kommission bittet um eine Stellungnahme dazu, wie die relevanten Sicherheitsinformationen auf dem neuesten Stand gehalten werden können, und weist darauf hin, dass sich die Cybersicherheitsrisiken ständig ändern und eine ständige Aktualisierung erfordern. ¶ 45. Die Kommission schlägt vor, Schwachstellen und Updates über das IoT-Register bereitzustellen. Ausweis. Insbesondere bittet die Kommission um eine Stellungnahme dazu, ob Hersteller oder Importeure von IoT-Geräten und -Produkten verpflichtet werden sollten, „den IoT-Registrierungsbetreiber zu benachrichtigen, wenn ihnen eine nicht behobene Schwachstelle bekannt wird, die ein Sicherheitsrisiko für ihre IoT-Geräte und -Produkte darstellt“. Ausweis. Das NPRM schlägt außerdem eine jährliche Erneuerungspflicht für Label-Antragsteller vor. ¶ 47.

Durchsetzung. Das NPRM stellt mehrere Fragen dazu, wie die Einhaltung der strengen Vorgaben des Kennzeichnungsprogramms durchgesetzt werden soll, einschließlich der Frage, welche Agenturen oder Einrichtungen die Anforderungen des Kennzeichnungsprogramms durchsetzen sollen, welche Rolle die Kommission und andere Einrichtungen bei Audits und Aufsicht spielen und ob die Kommission dies zulassen sollte Beschwerden von Verbrauchern oder Dritten. ¶ 51.

Haftungsbeschränkungen. Die Kommission bittet auch um eine Stellungnahme dazu, ob die Genehmigung zur Verwendung des Labels und die Einhaltung der entsprechenden Sicherheitsmaßnahmen „einen Hinweis auf Angemessenheit darstellen könnten, der als Verteidigung oder Schutz gegen die Haftung für Schäden infolge eines Cyber-Vorfalls, z. B. einer Datenschutzverletzung, dienen könnte. Denial-of-Service, Malware.“ ¶ 52. Die Kommission stellt fest, dass sie „zum jetzigen Zeitpunkt nicht beabsichtigt, dass das Kennzeichnungsprogramm an und für sich ansonsten geltendes Recht außer Kraft setzt“. Ausweis.

Verbraucherbildung. Die Kommission stellt fest, dass das Programm eine Verbraucheraufklärungskampagne nutzen wird. ¶ 53. Das NPRM bittet um eine Stellungnahme dazu, ob die Kampagne auf empfohlene NIST-Materialien beschränkt werden sollte und wie eine Outreach-Kampagne finanziert werden kann, einschließlich der Frage, ob „öffentliche oder private Partnerschaften“ genutzt werden sollen. ¶ 54.

Internationale Integrität. Abschließend bittet das NPRM um eine Stellungnahme dazu, wie die Kommission „andere internationale Gremien, die Kennzeichnungsprogramme unterhalten, koordinieren und mit ihnen zusammenarbeiten sollte, um die Anerkennung des IoT-Gütesiegels der Kommission und gegebenenfalls die gegenseitige Anerkennung dieser internationalen Gütezeichen zu entwickeln“. ¶ 55. Außerdem wird gefragt, welche Schritte die Behörde unternehmen sollte, um „sicherzustellen, dass das FCC-Label nicht mit der Einhaltung von IoT-Sicherheits- oder HF-Emissionsstandards in anderen Ländern verwechselt wird“. Ausweis.

Gesetzliche Befugnis zur Verkündung der vorgeschlagenen Regeln

Die Kommission behauptet weitreichende rechtliche Befugnisse zur Cybersicherheit gemäß Abschnitt 302(a)(1) des Kommunikationsgesetzes. Gemäß dieser Bestimmung kann die „Kommission im Einklang mit dem öffentlichen Interesse, der Zweckmäßigkeit und der Notwendigkeit angemessene Vorschriften (1) zur Regelung des Störpotenzials von Geräten erlassen, die bei ihrem Betrieb Funkfrequenzen aussenden können.“ . . in ausreichendem Maße, um schädliche Störungen der Funkkommunikation zu verursachen.“ Die Kommission argumentiert damit, dass „ihre vorgeschlagenen Kennzeichnungsprogrammregeln sicherstellen sollen, dass IoT-Geräte bestimmte Mindest-Cybersicherheitsprotokolle implementiert haben, um zu verhindern, dass sie von böswilligen Akteuren gehackt werden, die dazu führen könnten, dass die Geräte schädliche Störungen verursachen.“ ¶ 59.

Die Kommission bittet auch um eine Stellungnahme dazu, ob sie gemäß anderen Bestimmungen des Kommunikationsgesetzes befugt ist, darunter:

Die Kommission bittet außerdem um eine Stellungnahme zu ihrer Befugnis, die Einhaltung des Kennzeichnungssystems durch freiwillige Teilnehmer durchzusetzen. ¶ 65. Insbesondere wird unter anderem gefragt, ob „Teilnehmer des Kennzeichnungsprogramms bereits Inhaber von Genehmigungen im Sinne von Abschnitt 503(b)(5) des Gesetzes wären“, so dass die Kommission dies tun könnte die Programmregeln gegen einen Teilnehmer durchsetzen, ohne vorher eine Vorladung auszusprechen. Ausweis.

Digitales Eigenkapital

Abschließend weist die Kommission auf ihre „kontinuierlichen Bemühungen hin, die digitale Gerechtigkeit für alle voranzutreiben“ und bittet um Stellungnahme zu gleichstellungsbezogenen Überlegungen im Zusammenhang mit den durch das NPRM und das Kennzeichnungsprogramm aufgeworfenen Fragen. ¶ 66.

Nächste Schritte

Kommentare zur NPRM-Kennzeichnung sind 30 Tage nach der Veröffentlichung des Artikels im Bundesregister einzureichen. Antwortkommentare sind 45 Tage nach der Veröffentlichung im Federal Register einzureichen.

* * *

Für weitere Informationen zu NPRM- oder IoT-Cybersicherheitsproblemen oder für Unterstützung bei der Teilnahme am Verfahren wenden Sie sich bitte an die Autoren.

[1] NIST, Empfohlene Kriterien für die Cybersicherheitskennzeichnung für Verbraucher-IoT-Produkte unter 3 Nr. 3 (4. Februar 2022),

https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.02042022-2.pdf.

[2] Siehe NIST, Empfohlene Kriterien für die Cybersicherheitskennzeichnung für Verbraucher-IoT-Produkte (4. Februar 2022),

https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.02042022-2.pdf.