Wielka Brytania
Brytyjska ustawa o bezpieczeństwie produktów i infrastrukturze telekomunikacyjnej (PSTI) wchodzi w życie 29 kwietnia 2024 r. Prawo to ma zastosowanie do wszystkich konsumenckich produktów IoT, w tym urządzeń takich, jak domowe systemy alarmowe, inteligentni asystenci, smartfony, kamery i sprzęt AGD. Nakłada ona na producentów urządzeń i sprzedawców obowiązek upewnienia się, że sprzedawane przez nich produkty są zgodne z m.in. następującymi wymaganiami:
- urządzenia nie mogą mieć uniwersalnych domyślnych haseł;
- producenci muszą mieć wdrożone zasady reagowania na ujawnione problemy związane z bezpieczeństwem i harmonogram, w którym będą one rozwiązane;
- aktualizacje oprogramowania mają być tworzone i wydawane przez cały deklarowany okres jego użytkowania.
Unia Europejska
Unijna ustawa o odporności cybernetycznej (CRA) ma szerszy zakres od PSTI i jej celem jest zwiększenie bezpieczeństwa zarówno oprogramowania, jak i podłączanych do sieci urządzeń konsumenckich. Za brak zgodności będą oczywiście kary, przy czym za podmioty odpowiedzialne uznano nie tylko producentów, ale także dystrybutorów i importerów urządzeń.
Obowiązki producentów, to podejście "bezpieczne od samego początku", a więc sprzęt i oprogramowanie spełniające wymagania, potem dostarczanie aktualizacji i poprawek zabezpieczeń, a także obowiązek reagowania w ciągu 24 godzin na incydenty mające wpływ na bezpieczeństwo podłączonych urządzeń. Ustawa przyznaje też konsumentom aktywną rolę w wyborze produktów na podstawie ich poziomu cyberbezpieczeństwa, wymagając od producentów informowania o stosowanych zabezpieczeniach. CRA ma zostać przyjęta przez Parlament i Radę Europejską jeszcze w tym roku. Po wejściu jej w życie producenci, importerzy i dystrybutorzy sprzętu i oprogramowania będą mieli 36 miesięcy na dostosowanie się do nowych wymagań.
USA
Legislacja w Stanach Zjednoczonych to "Cyber Trust Mark", czyli program oznakowania, który umożliwia konsumentom podejmowanie świadomych decyzji dotyczących bezpieczeństwa ich urządzeń. Da on dostęp do historii działań producenta w zakresie cyberbezpieczeństwa, w tym jego zdolności reagowania na incydenty. Pozwoli na zapoznanie się z zastosowanymi środkami, takimi jak protokoły szyfrowania, bezpieczne procesy rozruchu i stała aktualizacja oprogramowania firmware. Producenci będą też przymuszeni do wypracowania zasad kontroli prywatności, w tym praktyk zarządzania danymi i celu ich gromadzenia oraz ujawnienia mechanizmów kontrolowania i udostępniania danych. Kolejnym znakiem będzie ocena strategii producenta w zakresie identyfikowania i rozwiązywania luk, wraz z jego reakcją na wydawanie terminowych i skutecznych poprawek bezpieczeństwa. Na razie oznakowanie CTM jest dobrowolne.
