NIST SP 800-213 et 8259A: socle cybersecurite IoT americain
Guide · NIST IoT cybersecurity
Entre 2020 et 2021, le National Institute of Standards and Technology publie une famille de documents qui constituent encore aujourd'hui le socle americain de cybersecurite IoT, NISTIR 8259, 8259A, 8259B, SP 800-213 et SP 800-213A. La trajectoire est legislative, l'IoT Cybersecurity Improvement Act de decembre 2020 charge le NIST de produire ces standards pour encadrer l'acquisition federale d'objets connectes. Cinq ans plus tard, le perimetre s'est etendu, l'Executive Order 14028 a renforce l'arriere-plan, et le programme Cyber Trust Mark s'appuie sur la meme architecture pour adresser le marche grand public. Ce guide expose la genealogie des documents, le contenu des six capacites techniques de 8259A et des quatre capacites non techniques de 8259B, la logique de profilage de SP 800-213, et la cartographie avec ETSI EN 303 645 et le Cyber Resilience Act.
Genese : du Mirai au IoT Cybersecurity Improvement Act
Section intitulée « Genese : du Mirai au IoT Cybersecurity Improvement Act »Le contexte americain ressemble a celui qui a porte EN 303 645 en Europe. A partir de 2016, les botnets Mirai demontrent que des millions d'objets connectes livres avec des mots de passe par defaut universels peuvent etre enroles dans des attaques de deni de service distribue de tres large ampleur. Les administrations federales americaines achetent par ailleurs un volume croissant d'objets connectes, cameras IP, capteurs de batiments, dispositifs medicaux, equipements de gestion industrielle, sans cadre commun de cybersecurite.
Le NIST lance des 2017 un programme dedie, "Cybersecurity for IoT", et publie en mai 2020 NISTIR 8259, intitule "Foundational Cybersecurity Activities for IoT Device Manufacturers". Ce document definit six activites que tout fabricant doit conduire pour produire un objet connecte a la cybersecurite defendable. Il prepare le terrain pour le socle technique 8259A, publie en mai 2020, et le socle non technique 8259B, publie en aout 2021.
Cote legislatif, le Congres adopte fin 2020 le H.R. 1668, IoT Cybersecurity Improvement Act, signe le 4 decembre 2020 (Public Law 116-207). Ce texte impose au NIST de publier des standards minimaux de cybersecurite pour les objets connectes acquis par les agences federales, et oblige l'Office of Management and Budget (OMB) a emettre des politiques d'achat alignees. Le NIST repond avec la serie SP 800-213, publiee fin 2021, qui traduit le socle 8259A/B dans la grammaire federale d'acquisition.
L'Executive Order 14028 du 12 mai 2021, "Improving the Nation's Cybersecurity", ajoute un cadre transversal a toute la chaine d'approvisionnement logicielle et materielle de l'administration. Sans cibler exclusivement l'IoT, il renforce l'autorite des publications NIST et accelere leur adoption operationnelle dans les contrats federaux.
Arbre genealogique des documents NIST IoT
Section intitulée « Arbre genealogique des documents NIST IoT »La famille NIST IoT compte aujourd'hui six documents principaux, dont les relations sont les suivantes.
| Document | Date | Public vise | Objet |
|---|---|---|---|
| NISTIR 8259 | mai 2020 | Fabricants | Six activites fondamentales pre et post-mise sur le marche |
| NISTIR 8259A | mai 2020 | Fabricants | Six capacites techniques de base (device capabilities) |
| NISTIR 8259B | aout 2021 | Fabricants | Quatre capacites non techniques (manufacturer activities) |
| NIST SP 800-213 | novembre 2021 | Agences federales | Methodologie de selection des capacites pour un cas d'usage |
| NIST SP 800-213A | novembre 2021 | Agences federales | Catalogue detaille des capacites, techniques et non techniques |
| NISTIR 8425 | mars 2024 | Fabricants grand public | Socle grand public derive de 8259A, base du Cyber Trust Mark |
Le tableau suivant resume les flux de reference entre documents.
| De | Vers | Nature de la reference |
|---|---|---|
| SP 800-213 | 8259A | Cite le socle technique de reference |
| SP 800-213 | 8259B | Cite le socle non technique de reference |
| SP 800-213A | 8259A et 8259B | Etend en catalogue detaille |
| 8259 | 8259A et 8259B | Pre-requis methodologique |
| 8425 | 8259A | Adaptation grand public |
| IoT CIA 2020 | NIST | Mandate legislatif de publication |
Cette architecture distingue trois niveaux. Au-dessus, le mandat legislatif et l'Executive Order. Au centre, la doctrine methodologique (8259) et les socles capacites (8259A, 8259B). En aval, les guides destines aux acheteurs federaux (SP 800-213, 213A) et les specialisations sectorielles, dont 8425 pour le grand public.
NISTIR 8259A : les six capacites techniques de base
Section intitulée « NISTIR 8259A : les six capacites techniques de base »NISTIR 8259A enumere six capacites techniques que tout objet connecte doit pouvoir presenter pour servir un environnement ou la cybersecurite compte. Le document insiste sur le terme "capability" plutot que "requirement", l'idee etant qu'un produit doit fournir le mecanisme necessaire, l'organisation acheteuse etant libre de l'activer et de le configurer selon son contexte.
Identification de l'equipement
Section intitulée « Identification de l'equipement »Le produit doit pouvoir s'identifier de maniere unique sur le reseau et aupres de ses applications associees. L'identifiant doit etre stable, verifiable et distinct de toute autre instance du meme modele. Les options acceptables incluent les identifiants materiels ancres en hardware, les certificats X.509 provisionnes en usine, ou les identifiants attribues lors d'un enrolement initial securise. Cette capacite prepare la tracabilite, la revocation et l'inventaire de flotte.
Configuration de l'equipement
Section intitulée « Configuration de l'equipement »Le produit doit permettre a un utilisateur autorise de configurer ses parametres de securite, mots de passe, certificats, politiques de mise a jour, services actives. La configuration doit etre protegee en integrite, tracable, et accessible aussi bien a un utilisateur final qu'a un systeme d'administration de flotte. La capacite couvre egalement la restauration d'une configuration par defaut securisee, a ne pas confondre avec la restauration d'une configuration usine non securisee.
Protection des donnees
Section intitulée « Protection des donnees »Toutes les donnees stockees sur l'equipement, traitees par lui ou transmises vers l'exterieur doivent pouvoir etre protegees en confidentialite et en integrite par des mecanismes cryptographiques reconnus. NISTIR 8259A renvoie aux suites cryptographiques recommandees par NIST SP 800-175B et FIPS 140-3 pour les modules cryptographiques certifiables. Les secrets durables, cles privees, certificats racine de confiance, doivent etre stockes dans un element securise materiel ou une enclave d'execution.
Acces logique aux interfaces
Section intitulée « Acces logique aux interfaces »Toute interface logique du produit, locale ou reseau, doit imposer un controle d'acces. L'authentification doit reposer sur un facteur fort ou sur une combinaison de facteurs, et les sessions doivent expirer apres une periode d'inactivite documentee. Les interfaces de debogage materiel (UART, JTAG, SWD) doivent etre desactivees ou protegees en production, faute de quoi elles annulent les autres mesures.
Mise a jour logicielle
Section intitulée « Mise a jour logicielle »Le produit doit pouvoir recevoir des mises a jour logicielles ou firmware, verifier leur integrite et leur authenticite, et les appliquer sans rendre l'equipement inoperant. Le mecanisme doit prevoir un retour arriere en cas d'echec, des journaux d'application, et une indication claire de la version courante. NISTIR 8259A insiste sur l'authenticite, une signature cryptographique du firmware avec verification de chaine par le bootloader, et sur la disponibilite, un fabricant qui ne publie pas de mises a jour ne respecte pas la capacite.
Conscience de l'etat de cybersecurite
Section intitulée « Conscience de l'etat de cybersecurite »Le produit doit pouvoir signaler son etat de securite courant, configuration active, version logicielle, evenements de securite significatifs. Cette capacite alimente les systemes de supervision et d'audit, et permet de detecter qu'un equipement a quitte son etat nominal. Les journaux peuvent etre locaux, transmis a un serveur de gestion, ou exposes via une interface d'inspection securisee.
Synthese tabulaire des six capacites 8259A
Section intitulée « Synthese tabulaire des six capacites 8259A »| Capacite | Objet | Exemple de mecanisme |
|---|---|---|
| Identification | Identifier l'equipement de facon unique et verifiable | Certificat X.509 provisionne en usine |
| Configuration | Permettre la configuration securisee par utilisateur autorise | Interface admin TLS + authentification forte |
| Protection des donnees | Proteger donnees stockees et en transit | TLS 1.3, AES-256-GCM, Secure Element |
| Acces logique | Controler l'acces aux interfaces du produit | RBAC, sessions limitees, debug desactive |
| Mise a jour | Mettre a jour de facon securisee et reversible | Firmware signe, A/B partitions, rollback |
| Conscience d'etat | Exposer l'etat de securite courant | Journaux structures, signalement a un MDM |
NISTIR 8259B : les quatre capacites non techniques
Section intitulée « NISTIR 8259B : les quatre capacites non techniques »La ou 8259A decrit le produit, 8259B decrit ce que le fabricant doit fournir autour du produit pour qu'il vive de maniere securisee dans le temps. Le document est court, mais structurant. Quatre familles de capacites sont enumerees.
Documentation
Section intitulée « Documentation »Le fabricant doit produire et maintenir une documentation expliquant les fonctions de securite du produit, son architecture pertinente, ses interfaces, ses configurations par defaut et les options accessibles a l'utilisateur ou a l'administrateur. La documentation inclut explicitement les hypotheses de securite (par exemple "le produit suppose un environnement reseau protege") et les limites connues.
Dissemination de l'information
Section intitulée « Dissemination de l'information »Les informations relatives a la securite, periodes de support, alertes, correctifs, doivent etre publiees de maniere proactive et accessible. Cette capacite prolonge la documentation vers la communication active. NIST recommande un canal perenne, page web stable, fil RSS, listes de diffusion, et non un simple message marketing ponctuel.
Education et sensibilisation
Section intitulée « Education et sensibilisation »Le fabricant doit aider ses utilisateurs et administrateurs a comprendre comment operer le produit en securite. Cela inclut les guides de prise en main, les bonnes pratiques de configuration, et l'avertissement clair sur les consequences de configurations risquees. Pour un produit destine a des organisations, la formation des administrateurs est explicitement mentionnee.
Reception et traitement des requetes, divulgation des vulnerabilites
Section intitulée « Reception et traitement des requetes, divulgation des vulnerabilites »Le fabricant doit accepter et traiter les demandes de support, les questions de securite et les signalements de vulnerabilite. NIST renvoie a ISO/IEC 29147 (Vulnerability disclosure) et ISO/IEC 30111 (Vulnerability handling). Une politique de divulgation responsable publiee est attendue, avec canaux dedies et delais de reponse documentes.
Synthese tabulaire des quatre capacites 8259B
Section intitulée « Synthese tabulaire des quatre capacites 8259B »| Capacite | Activite fabricant | Reference externe |
|---|---|---|
| Documentation | Decrire architecture, fonctions et hypotheses de securite | NIST SP 800-53 famille SA |
| Dissemination | Publier informations de securite de maniere proactive | NIST SP 800-150 (CTI sharing) |
| Education | Former utilisateurs et administrateurs | NIST SP 800-50 |
| Reception et VDP | Accepter signalements, traiter vulnerabilites | ISO/IEC 29147, ISO/IEC 30111 |
L'oubli de 8259B est l'un des pieges recurrents lors de l'adoption du socle. Un produit peut integrer parfaitement les six capacites 8259A et rester non conforme a SP 800-213 faute de politique de divulgation, de page de support active, ou de documentation a jour.
SP 800-213 et 800-213A : la lentille acheteur federal
Section intitulée « SP 800-213 et 800-213A : la lentille acheteur federal »Les deux documents 8259A et 8259B s'adressent aux fabricants. NIST SP 800-213 et SP 800-213A s'adressent aux acheteurs federaux. L'angle de vue change, mais le vocabulaire reste coherent.
SP 800-213 : guide methodologique
Section intitulée « SP 800-213 : guide methodologique »SP 800-213 explique a une agence federale comment integrer la cybersecurite IoT dans son processus d'acquisition. La demarche s'articule en quatre temps.
- Identifier le role de l'objet dans le systeme d'information de l'agence, en coherence avec le systeme de categorisation FIPS 199 (Low, Moderate, High) et le cadre d'analyse de risque NIST SP 800-37.
- Selectionner les capacites pertinentes parmi le catalogue SP 800-213A, en partant du socle 8259A/B et en l'adaptant au contexte. Une camera de surveillance dans un site sensible n'appellera pas les memes capacites qu'un capteur de temperature dans un entrepot.
- Formaliser les exigences contractuelles au fournisseur, sous forme de clauses d'achat citant les capacites retenues. Le document propose des formulations modeles.
- Verifier et auditer que le produit livre presente bien les capacites exigees, soit par auto-declaration documentee du fabricant, soit par evaluation independante selon le niveau de risque.
SP 800-213A : le catalogue
Section intitulée « SP 800-213A : le catalogue »SP 800-213A est un catalogue detaille des capacites IoT, techniques et non techniques, prolongement direct des socles 8259A et 8259B. Chaque capacite est documentee par un identifiant, une description, des sous-capacites, des elements de reference, et des exemples de mecanismes. Le catalogue compte plusieurs dizaines de capacites, regroupees en quatorze familles, dont la majorite depasse le strict perimetre de 8259A pour couvrir des cas d'usage specialises (cryptographie haut niveau, securite physique, capacites de resilience face aux pannes, integration aux infrastructures de gestion d'identite).
Le catalogue est concu comme une bibliotheque. Une agence ne selectionne pas tout, elle choisit un sous-ensemble adapte a son profil de risque et a son cas d'usage. Le document propose des profils predefinis, par exemple pour des dispositifs medicaux federaux, des equipements industriels, des objets connectes grand public utilises en environnement professionnel.
Profilage et adaptation contextuelle
Section intitulée « Profilage et adaptation contextuelle »Le mecanisme central de SP 800-213 est le profilage. Plutot que d'imposer une liste figee, le document invite l'acheteur federal a construire un profil de capacites adapte a son contexte. Les variables sont les suivantes.
| Variable | Effet sur le profil |
|---|---|
| Categorisation FIPS 199 | Definit la profondeur des capacites requises |
| Environnement operationnel | Industrial, medical, bureau, terrain |
| Connectivite reseau | Isolee, sur reseau interne, exposee internet |
| Donnee traitee | Publique, sensible, donnees personnelles, classifiee |
| Duree de vie attendue | Influence la periode de support exigee |
Pour un capteur de temperature dans un site industriel non sensible, le profil peut se limiter aux six capacites 8259A avec un niveau d'exigence modere. Pour un dispositif medical connecte en hopital militaire, le profil mobilise des capacites supplementaires de SP 800-213A, avec audit independant et certification cryptographique FIPS 140-3.
Cette flexibilite est aussi le talon d'Achille du dispositif. Si le profil n'est pas explicite avec rigueur, l'exigence contractuelle devient floue et l'acheteur a du mal a verifier la conformite. Le NIST a publie, en accompagnement de SP 800-213, des exemples de profils, mais l'exercice reste de la responsabilite de l'agence.
Cartographie 8259A vers ETSI EN 303 645
Section intitulée « Cartographie 8259A vers ETSI EN 303 645 »Pour un fabricant qui doit adresser a la fois le marche americain et le marche europeen, la cartographie entre les capacites 8259A et les provisions EN 303 645 est essentielle. Les deux referentiels couvrent une large intersection de themes. Le tableau suivant propose une correspondance synthetique.
| 8259A | Provisions EN 303 645 voisines |
|---|---|
| Identification de l'equipement | 5.6 (surface d'attaque), 5.4 (stockage credentials) |
| Configuration de l'equipement | 5.1 (mots de passe par defaut), 5.12 (installation et maintenance) |
| Protection des donnees | 5.5 (communications securisees), 5.8 (donnees personnelles), clause 6 |
| Acces logique aux interfaces | 5.6 (surface d'attaque), 5.4 (credentials), 5.13 (validation entrees) |
| Mise a jour logicielle | 5.3 (mises a jour), 5.7 (integrite du logiciel) |
| Conscience de l'etat | 5.10 (examen telemetrie), 5.9 (resilience) |
Aucune capacite 8259A n'est en contradiction avec une provision EN 303 645. Les ecarts sont des differences de decoupage et d'accent. EN 303 645 isole explicitement la protection des donnees personnelles dans une clause dediee (clause 6), ce que 8259A traite a travers la capacite protection des donnees plus large. A l'inverse, 8259A donne une visibilite accrue a la conscience de l'etat de securite, que EN 303 645 traite par la resilience et la telemetrie.
Pour 8259B, la correspondance porte essentiellement sur les provisions 5.2 (divulgation de vulnerabilites) et 5.3 (periode de support) d'EN 303 645, ainsi que sur des elements documentaires des clauses 5.12 et 6.2. La encore, le contenu se recoupe largement, le decoupage differe.
Un fabricant qui prepare la double conformite maintient typiquement une matrice de provisions consolidee, avec une colonne par referentiel et un test par ligne. Cette approche est egalement utilisee par les laboratoires d'evaluation qui couvrent les deux marches.
Articulation avec le Cyber Resilience Act et le Cyber Trust Mark
Section intitulée « Articulation avec le Cyber Resilience Act et le Cyber Trust Mark »Trois textes coexistent desormais dans l'ecosysteme mondial cybersecurite IoT.
| Texte | Geographie | Public | Statut |
|---|---|---|---|
| NIST 8259A / SP 800-213 | Etats-Unis | Federal + industriel | Obligatoire pour le federal, volontaire ailleurs |
| ETSI EN 303 645 | International | IoT consommateur | Volontaire, base de schemas nationaux |
| EU Cyber Resilience Act | UE | Produits avec elements numeriques | Obligatoire a partir du 11 decembre 2027 |
| NISTIR 8425 / Cyber Trust Mark | Etats-Unis | IoT grand public | Volontaire (FCC) |
Le NIST 8259A n'a pas vocation a se confondre avec le Cyber Trust Mark, ce point merite d'etre souligne. Le Cyber Trust Mark, gere par la FCC, est un programme de labellisation grand public dont le referentiel technique est NISTIR 8425. Le 8425 est une specialisation de 8259A pour le marche consommateur, avec des ajustements visant la lisibilite utilisateur (duree de support visible, etiquette QR-code, etc.). Pour un produit industriel ou destine a une agence federale, c'est 8259A et SP 800-213 qui restent la reference, pas 8425.
L'articulation avec le CRA europeen est plus indirecte. Le CRA est un reglement, donc applicable de plein droit dans l'UE a partir du 11 decembre 2027. Ses exigences essentielles recouvrent largement le socle 8259A/B, mais leur expression normative passera par les futurs standards harmonises europeens. Pour un fabricant nord-americain qui exporte vers l'UE, l'investissement fait sur 8259A et SP 800-213 sera reutilisable, mais il faudra cartographier explicitement les capacites vers les exigences essentielles CRA, et vraisemblablement vers EN 18031 pour les produits radio.
Pour un fabricant : demarche pratique
Section intitulée « Pour un fabricant : demarche pratique »Une demarche coherente de mise en conformite 8259A et SP 800-213 s'articule autour de quatre etapes documentees.
1. Cartographie des marches et referentiels. Identifier les marches vises, federal americain, commercial americain, UE, marches tiers (Royaume-Uni, Asie). Batir une matrice qui croise les capacites 8259A/B avec les provisions EN 303 645, EN 18031 et les exigences essentielles du CRA. Une seule matrice consolidee evite de dupliquer les travaux d'evaluation.
2. Conception alignee sur les capacites. Integrer des l'architecture materiel et firmware les mecanismes necessaires aux six capacites 8259A, identifiant cryptographique unique, configuration securisee, racine de confiance materielle, gestion du firmware signe, journaux de securite. Les choix sont consignes dans le dossier de conception et l'analyse de risque.
3. Activites non techniques 8259B. Mettre en place les processus de documentation, de communication, de support et de divulgation de vulnerabilites avant la mise sur le marche. Une page de support publique, une politique VDP referencee par security.txt, une periode de support declaree, sont des prerequis aussi importants que les capacites techniques.
4. Evaluation et publication. Constituer un dossier d'evaluation reprenant les six capacites 8259A, les quatre capacites 8259B et les capacites supplementaires de SP 800-213A selon le profil. Pour les contrats federaux, l'evaluation doit etre documentee de facon a passer le filtre des clauses contractuelles OMB. Pour le marche commercial, l'evaluation reste interne sauf si une certification volontaire est visee.
Voir aussi
Section intitulée « Voir aussi »- Common Criteria (ISO/IEC 15408) : securite IT
- FIPS 140-3 : validation des modules cryptographiques
- CSPN et ANSSI Visa : cybersecurite francaise
- CMMC et UK Cyber Essentials: baselines cyber de defense
Pieges courants a eviter
Section intitulée « Pieges courants a eviter »L'experience des evaluations IoT identifie plusieurs erreurs recurrentes lors de l'adoption du socle NIST.
Traiter 8259A comme une checklist. Le document n'est pas une norme prescriptive avec criteres pass/fail. C'est un socle de capacites a interpreter en contexte. Un audit qui se limite a cocher six cases sans interroger le profil d'usage manque l'essentiel.
Ignorer 8259B. Les quatre capacites non techniques sont aussi importantes que les six capacites techniques. Une politique de divulgation publiee, une periode de support declaree, une documentation utilisateur precise, sont indispensables. Un produit irreprochable sur le plan technique mais sans politique VDP ne satisfait pas SP 800-213.
Confondre 8259A et NISTIR 8425. Les deux documents sont proches mais distincts. Le 8259A est generique, le 8425 est la version grand public utilisee par le programme Cyber Trust Mark de la FCC. Un fournisseur federal travaille avec 8259A, un fabricant d'objets connectes grand public americain travaille avec 8425.
Sous-estimer la cryptographie FIPS. Pour les contrats federaux, l'usage de modules cryptographiques certifies FIPS 140-3 peut etre exige. Cette contrainte impacte le choix des composants materiels et des bibliotheques logicielles des la phase architecture.
Ne pas penser SBOM. L'Executive Order 14028 et les politiques OMB qui en decoulent rendent le Software Bill of Materials de plus en plus attendu, y compris pour les produits IoT. L'inclure des la conception evite une remise a plat couteuse en fin de projet.
Evolutions a venir
Section intitulée « Evolutions a venir »Trois evolutions structurent la trajectoire du socle NIST IoT.
- Mise a jour de 8259A et 8259B. Le NIST a engage en 2024 un processus de revision des deux socles, avec consultation publique. Une V2 est attendue, qui clarifiera certaines capacites, integrera les retours d'experience des evaluations Cyber Trust Mark, et raffinera la cartographie vers les autres referentiels internationaux.
- Catalogue de capacites IoT elargi. Le SP 800-213A continue de s'enrichir au fil des publications NIST, notamment pour les sous-secteurs (sante connectee, industriel, automobile federal). Les profils predefinis se multiplient.
- Convergence ISO/IEC. Les travaux ISO/IEC SC 27 et SC 41 sur la cybersecurite IoT progressent vers une normalisation internationale unifiee. 8259A et EN 303 645 figurent parmi les references citees, et un socle international convergent pourrait emerger a moyen terme.
Pour aujourd'hui, NIST 8259A et SP 800-213 restent le socle americain de cybersecurite IoT. Leur maitrise, articulee avec EN 303 645 et le futur cadre CRA, constitue une couche technique de base pour adresser les marches transatlantiques.
Pour aller plus loin
Section intitulée « Pour aller plus loin »- ETSI EN 303 645 : socle international de cybersecurite IoT consommateur, treize provisions
- Cyber Resilience Act : reglement (UE) 2024/2847, exigences essentielles europeennes
- NISTIR 8425 et US Cyber Trust Mark : specialisation grand public de 8259A, label FCC
- FCC : cadre de certification radio et programme Cyber Trust Mark
- Glossaire : definitions des termes NIST, FCC, ENISA, CENELEC
Sources & références
- NIST Cybersecurity for IoT Program , NIST www.nist.gov/itl/applied-cybersecurity/nist-cybersecurity-iot-program
- NISTIR 8259A, IoT Device Cybersecurity Capability Core Baseline , NIST csrc.nist.gov/pubs/ir/8259/a/final
- NISTIR 8259B, IoT Non-Technical Supporting Capability Core Baseline , NIST csrc.nist.gov/pubs/ir/8259/b/final
- NIST SP 800-213, IoT Device Cybersecurity Guidance for the Federal Government , NIST csrc.nist.gov/pubs/sp/800/213/final
- NIST SP 800-213A, IoT Device Cybersecurity Guidance: Device Capabilities Catalog , NIST csrc.nist.gov/pubs/sp/800/213/a/final
- IoT Cybersecurity Improvement Act of 2020 (Public Law 116-207) , US Congress www.congress.gov/bill/116th-congress/house-bill/1668
- Executive Order 14028, Improving the Nation's Cybersecurity , White House www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/