事件经过
NIST 于2026年6月24日发布了特别出版物800-213修订版1的初稿(IPD),标题为《联邦政府物联网产品网络安全指南:建立物联网产品网络安全要求》。该草案开放公众意见征询至2026年8月24日。与2021年原版相比的主要变化包括:刻意从"物联网设备"转向更广泛的术语"物联网产品"(包含硬件、软件、固件、云服务、远程支持和供应商管理的组件);与最近定稿的NIST IR 8259r1关于制造商网络安全活动的整合;以及物联网风险评估与更广泛的NIST风险管理框架(SP 800-30、SP 800-53 Rev. 5)的更紧密对齐。它实施了2020年《物联网网络安全改进法案》和行政令14028的要求。
影响分析
SP 800-213是物联网网络安全的主要联邦采购标准。本修订版扩大了范围,涵盖整个物联网产品生态系统——包括AI驱动的物联网系统日益依赖的云服务和第三方组件——并增加了新的市场后支持和生命周期终止要求。由于联邦采购标准经常塑造商业市场预期,向受监管行业销售的供应商应预计这些要求将超出联邦范围。AI连接设备和智能基础设施完全在适用范围内。
建议行动
物联网产品制造商和联邦机构应下载IPD并针对当前产品组合进行审查;在2026年8月24日前提交意见;评估AI连接产品是否符合扩展的"物联网产品"定义,包括云和第三方服务组件;根据新的生命周期终止要求评估市场后支持承诺。