Étude sur la sécurité des réseaux de dispositifs intelligents et des chaînes d'approvisionnement

Résumé#

Cette loi ordonne au secrétaire américain au Commerce d'étudier et de faire rapport sur la manière dont les dispositifs domestiques à haute puissance connectés à Internet (comme les fours intelligents, les sécheuses, les chargeurs de véhicules électriques et les climatiseurs) pourraient être utilisés pour nuire au réseau électrique s'ils sont contrôlés par des applications liées à des adversaires étrangers. Elle intègre également un décret exécutif existant de 2019 sur la sécurisation de la chaîne d'approvisionnement technologique dans la loi fédérale.

L'objectif général est d'évaluer les risques et de recommander des moyens de réduire la probabilité que des applications contrôlées par des étrangers puissent coordonner de grandes variations de la demande d'énergie et déstabiliser le réseau.

Changements clés :

• Exige un rapport du département du Commerce au Congrès dans les 270 jours sur les risques liés aux applications « contrôlées par des adversaires étrangers » qui peuvent contrôler des dispositifs connectés à Internet à haute puissance (plus de 500 watts).
• Ordonne au rapport de considérer l'ampleur de ces dispositifs, comment ces applications pourraient affecter la stabilité du réseau et les impacts potentiels sur la sécurité nationale.
• Exige que le Commerce prenne des commentaires publics et des contributions de l'industrie, des importateurs, des producteurs nationaux, des groupes de consommateurs et d'autres.
• Exige des recommandations qui pourraient inclure : des limites en vertu de l'autorité existante de la chaîne d'approvisionnement, des restrictions possibles sur les achats fédéraux, et une certification ou un étiquetage possibles pour les dispositifs IoT à haute puissance.
• Codifie le décret exécutif 13873 (sur la sécurisation de la chaîne d'approvisionnement ICTS), lui donnant force de loi plutôt que de se fier uniquement à une action exécutive.

Ce que cela signifie pour vous#

• Grand public et consommateurs

  • Pas de changements immédiats sur ce que vous pouvez acheter ou utiliser. La loi ordonne une étude et des recommandations, pas de nouvelles interdictions ou étiquetages.
  • À l'avenir, si des recommandations sont adoptées par le biais d'actions séparées, certains appareils intelligents ou applications de sociétés liées à des « adversaires étrangers » pourraient faire face à des restrictions ou à un étiquetage.

• Fabricants d'appareils et d'IoT, importateurs et développeurs d'applications

  • Vous pourriez être invités à fournir des contributions lors du processus de collecte d'informations et de commentaires publics du département du Commerce.
  • Le rapport pourrait recommander des mesures futures telles que l'étiquetage/certification pour les dispositifs de plus de 500 watts, ou des conditions sur les applications liées à des adversaires étrangers. Celles-ci ne prendraient effet que si elles sont adoptées ultérieurement.
  • Les entreprises liées à des « adversaires étrangers » (telles que définies dans la loi fédérale existante) pourraient faire face à un risque accru de limites d'approvisionnement futures ou de restrictions de transactions si le gouvernement agit ultérieurement sur les recommandations ou les autorités existantes de la chaîne d'approvisionnement.

• Agences fédérales et entrepreneurs

  • Vous pourriez voir des propositions de politiques futures pour restreindre l'achat de produits de consommation utilisant des applications contrôlées par des adversaires étrangers. La loi n'impose pas de telles restrictions pour le moment ; elle dirige des recommandations.
  • Le décret exécutif sur la sécurité de la chaîne d'approvisionnement ICTS (déjà en vigueur) serait inscrit dans la loi, rendant ses autorités plus durables.

• Services publics d'électricité et opérateurs de réseau

  • Pas de nouvelles exigences directes, mais le rapport évaluera les risques liés aux changements de demande coordonnés via des appareils connectés et pourrait informer de futures actions politiques qui affectent les dispositifs et applications du côté de la demande.

• Définitions importantes

  • « Dispositif IoT à haute puissance » : tout dispositif connecté à Internet pouvant utiliser ou contrôler plus de 500 watts.
  • « Adversaire étranger » : utilise une définition fédérale existante de « nation couverte » dans 10 U.S.C. 4872(f). La loi ne change pas cette définition.
  • « Application contrôlée par un adversaire étranger » : tout site web ou application opérée directement ou indirectement par une entité sous la juridiction, le contrôle ou l'influence d'un adversaire étranger.

Dépenses#

La loi pourrait augmenter les coûts administratifs pour le département du Commerce et d'autres agences pour préparer le rapport et recueillir des contributions publiques ; aucune estimation n'est disponible.

• Les coûts possibles incluent le temps du personnel pour collecter des données, analyser des risques, coordonner entre les agences et traiter les commentaires publics.
• Si des actions futures sont prises sur la base du rapport (comme des programmes d'étiquetage ou des contrôles d'approvisionnement), celles-ci pourraient ajouter des coûts ultérieurement, mais la loi elle-même ne crée pas ces programmes pour le moment.
• Aucune information disponible publiquement sur une note fiscale ou une estimation budgétaire.

Point de vue des partisans#

• La loi semble destinée à réduire les risques pour la sécurité nationale liés aux applications d'appareils intelligents qui pourraient être utilisées pour coordonner de grands changements soudains dans la demande d'électricité, ce qui pourrait déstabiliser le réseau.
• En se concentrant sur les dispositifs de plus de 500 watts, elle cible des produits qui peuvent affecter matériellement la demande d'énergie.
• La collecte d'avis du public et de l'industrie pourrait aider à identifier des vulnérabilités réelles et des étapes pratiques d'atténuation.
• Les recommandations pourraient améliorer la clarté sur des options telles que l'étiquetage, les limites d'achat fédérales ou des restrictions ciblées en vertu de l'autorité existante de la chaîne d'approvisionnement.
• Inscrire le décret exécutif de 2019 sur la chaîne d'approvisionnement ICTS dans la loi pourrait fournir une autorité plus stable et durable pour traiter les menaces à la sécurité nationale liées à la technologie.

Point de vue des opposants#

• Une préoccupation est que la loi pointe vers de larges actions futures sans établir de normes claires pour déterminer quand une application ou un dispositif serait restreint, étiqueté ou certifié, laissant une incertitude pour les entreprises et les consommateurs.
• La définition d'une « entité couverte » (y compris celles soumises à la « direction ou influence » d'un adversaire étranger) pourrait être considérée comme large, ce qui pourrait inclure plus d'entreprises que prévu.
• Des recommandations potentielles comme l'étiquetage ou la certification pour les dispositifs IoT à haute puissance pourraient ajouter des coûts de conformité pour les fabricants et les importateurs si elles sont adoptées ultérieurement.
• Les limites d'approvisionnement fédérales sur les produits avec certaines applications pourraient restreindre les options des fournisseurs et augmenter la complexité des achats pour les agences si elles sont mises en œuvre ultérieurement.
• Codifier le décret exécutif pourrait ancrer des pouvoirs fédéraux expansifs sur les transactions technologiques ; il n'est pas clair comment la transparence, le respect des droits des entreprises concernées et la coordination avec les programmes existants d'énergie et de cybersécurité seraient gérés au-delà de la pratique actuelle.
• Il n'est pas clair si le rapport fournira suffisamment de détails techniques pour se traduire par des mesures efficaces et ciblées sans impacts non intentionnels sur l'innovation ou le choix des consommateurs.