Thought Leadership
Das US-Institut NIST hat den überarbeiteten Entwurf der IoT-Sicherheitsrichtlinien SP 800-213 zur öffentlichen Kommentierung freigegeben.
Das National Institute of Standards and Technology (NIST) hat am Mittwoch einen aktualisierten Leitfaden für die Sicherheit im Internet der Dinge (IoT) zur öffentlichen Überprüfung bereitgestellt. Der erste öffentliche Entwurf der Publikation SP 800-213 Revision 1 trägt den Titel IoT Product Cybersecurity Guidelines for the Federal Government: Establishing IoT Product Cybersecurity Requirements. Die Frist für öffentliche Kommentare und Rückmeldungen zu diesem Dokument endet am 24. August 2026. Die Richtlinie soll Mindestanforderungen an die Cybersicherheit von IoT-Produkten definieren, die in die Netzwerke von US-Bundesbehörden integriert werden.
Das Dokument baut auf der bestehenden Publikation SP 800-213A auf, die einen Katalog von technischen und nicht-technischen Cybersicherheitsfunktionen für Hersteller und Verbraucher bereitstellt. Das Institut erklärte zu dem Zweck der Anpassung:
„Ebenso wie nicht jedes IT-System der Bundesbehörden jede Kontrolle nutzt, wird nicht jede Fähigkeit aus dem Katalog in jedem IoT-Produkt benötigt. Letztlich ist es das Ziel, Organisationen in die Lage zu versetzen, IoT-Produkte sicher in ihre Systeme zu integrieren und ihre Sicherheitsanforderungen zu erfüllen.“
NIST
NIST: Fokus auf IoT-Produkte statt einzelner Geräte
Die Überarbeitung wurde notwendig, da sich die technologische und betriebliche Risikolandschaft in den vergangenen fünf Jahren verändert hat. Eine wesentliche Neuerung des Entwurfs ist die begriffliche Verschiebung von IoT-Geräten hin zu IoT-Produkten. Diese Unterscheidung soll verdeutlichen, dass Organisationen alle Komponenten eines IoT-Produkts sowie das Gesamtsystem, in dem es bereitgestellt wird, in ihren Risikobewertungen berücksichtigen müssen. Dies soll den Behörden mehr Klarheit und Flexibilität bei der Anwendung von Sicherheitskontrollen bieten.
NIST betont, dass der Entwurf aktuelle Lehren aus der Praxis aufgreift. In der Mitteilung des Instituts heißt es: „Der erste öffentliche Entwurf spiegelt aktuelle Bedürfnisse wider, basierend auf den Lehren von Interessenvertretern, die diese Richtlinien nutzen. Er konzentriert sich insbesondere darauf, eine klarere Anleitung, relevantere Inhalte und eine bessere Abstimmung auf das heutige Umfeld zu bieten.“ Für eine vollständige Risikobewertung empfiehlt die Behörde zudem die parallele Nutzung weiterer Standards wie SP 800-30 Revision 1 für Risikobewertungen und SP 800-53 Revision 5 für Sicherheits- und Datenschutzkontrollen.
(red)
