Die Federal Communications Commission (FCC) führt ein Kennzeichnungsprogramm für IoT-Verbraucherprodukte ein, um den Verbrauchern Gewissheit hinsichtlich ihrer grundlegenden Cybersicherheit zu geben. Die endgültige Regel und die Entscheidung der Federal Communications Commission (FCC) ist vom 30.07.2024 (PSHSB: PS Docket Nr. 23-239; FR ID 210726).
In einigen Tagen erwarten wir die Aktualisierung der online verfügbaren Bundesvorschriften (ecfr) in den USA. Konkret wird es einen neuen Unterabschnitt des „Part 8—SAFEGUARDING AND SECURING THE OPEN INTERNET” im Telekommunikationsgesetz (Title 47) geben. Im Telekommunikationsgesetz werden u.a. auch die Funk-, EMF- und EMV-Anforderungen beschrieben:
In dem Zusammenhang mit Funk-, EMF- und EMV-Anforderungen ist die Federal Communications Commission (FCC) im Zuge des Marktzugangs vielen Herstellern bereits geläufig.
Der neue Unterabschnitt trägt den Namen: „Subpart B—Cybersecurity Labeling Program for IoT Products“ (47 CFR Part 8).
Runtergebrochen können wir die betroffenen Produkttypen als IoT-Produkte für Verbraucher bezeichnen, welche aus einem IoT-Gerät und zusätzlichen Produktkomponenten bestehen. Das IoT-Gerät ist ein „mit dem Internet verbundenes Gerät“ (IoT). Dessen zusätzliche Produktkomponenten umfassen möglicherweise ein Backend, ein Gateway, und eine mobile App.
Das Programm für IoT-Verbraucherprodukte ist freiwillig und ermöglicht es konformen IoT-Verbraucherprodukten ein FCC-IoT-Label zu tragen.
Das IoT-Gerät muss neben der Internetverbindung zusätzlich Hochfrequenzenergie aussenden und über mindestens einen Wandler (Sensor oder Aktuator) zur direkten Interaktion mit der physischen Welt verfügen. Es muss mindestens eine Schnittstelle zur digitalen Welt geben z.B. Wi-Fi, Bluetooth.
Als Grundlage für das IoT-Kennzeichnungsprogramm dient die Norm: NIST IR 8425. Hier werden nicht nur produktbezogene Anforderungen, sondern auch prozessbezogene Anforderungen definiert:
Produktbezogene Anforderungen:
2.2.1. IoT-Produktfunktionen (NIST IR 8425:2022)
– Anlagenidentifikation
– Produktkonfiguration
– Datenschutz
– Schnittstellenzugriffskontrolle
– Software-Update
– Bewusstsein für den Stand der Cybersicherheit
Prozessbezogene Anforderungen:
2.2.2. Nicht-technische Unterstützungsfunktionen für IoT-Produkte (NIST IR 8425:2022)
- Dokumentation
- Empfang von Informationen und Anfragen
- Informationsverbreitung
- Produktschulung und -bewusstsein
Für die Konformitätsbewertung wird ein entsprechendes CyberLAB eingebunden. Zudem wird ein Onlineregister etabliert, welches die Öffentlichkeit über konforme Produkte unterrichtet. Über eine Schnittstelle des Onlineregisters werden alle einzureichenden Unterlagen abgefragt, u.a. die Angabe, ob der Hersteller eine Hardware-Stückliste (HBOM) und/oder eine Software-Stückliste (SBOM) führt.
Für weitere Unterstützung und Fragen stehen wir Ihnen gern zur Verfügung.
Autor
Benjamin Kerger (B. Eng.)
Product Compliance Consultant