美國聯邦通訊委員會(FCC)於 4 月 13 日正式宣佈,任命非營利組織 ioXt Alliance 為 U.S. Cyber Trust Mark 計畫首席管理者(Lead Administrator),接替去年底退出的 UL Solutions。這項決定為歷經半年空窗期的美國消費性 IoT 資安標章計畫重新注入動能,但對全球 IoT 供應商而言,真正的關鍵問題仍是:這個標章究竟何時會正式開放產品申請?技術要求的最終版本又會是什麼樣貌?

本文將從計畫整體發展脈絡、最新時程進度、法規實施預期時點,以及 NIST IR 8425 所定義的關鍵技術要求,提供供應商評估合規投入所需的完整資訊。

一、計畫整體發展脈絡:從白紙到落地的三年歷程

U.S. Cyber Trust Mark 是 FCC 主導的自願性消費性 IoT 產品資安認證與標章計畫,對標能源之星(Energy Star)的成功模式。

主要發展里程碑如下:

二、法規何時實施?關鍵時程預估

目前官方立場

FCC 官方頁面明確指出:「當計畫準備好接受產品標章申請時,FCC 將另行公告。」換言之,目前尚未開放製造商為其產品申請 Cyber Trust Mark。

 FCC 同時表示,仍在審查對「進一步擬議規則制定通知」(Further Notice of Proposed Rulemaking, FNPRM) 的公眾回應,該通知涉及與國家安全相關的額外揭露要求。這是左右最終規則的重要變數。

剩餘必要步驟

在產品申請正式開放前,以下工作必須完成:

 1、ioXt 提交技術標準與測試程式建議:作為首席管理者,ioXt 必須識別或開發 IoT 專屬標準與測試程式,並建議 FCC 核准;UL Solutions 雖已於 2025 年 6 月提交初步建議,但 ioXt 預計將進行調整與重新提交。

2、FCC 核准標章設計與放置方式。

3、FCC 完成國家安全揭露條款的最終規則制定。

4、ioXt 與 CLA 建立營運基礎設施:包含測試實驗室(CyberLAB)認證機制、申請審核流程、公開產品註冊資料庫等。

5、消費者教育宣傳計畫啟動。

三、關鍵技術要求:NIST IR 8425 十大核心準則

Cyber Trust Mark 的技術基礎建構於 NIST IR 8425:消費性 IoT 產品核心基準配置檔(Profile of the IoT Core Baseline for Consumer IoT Products)。供應商必須理解,標準適用於整個 IoT 產品系統,涵蓋裝置本體、閘道硬體、行動應用程式、雲端服務、資料處理與儲存元件,而非僅針對裝置本身。

NIST IR 8425 將要求分為兩大類共 10 項核心準則:

▶ 技術能力要求(1–6 項)

1. 資產識別(Asset Identification)

• 裝置必須具有唯一識別碼,可供使用者識別

• 維護所有元件的詳細清單(含軟體物料清單 SBOM)

2. 產品配置(Product Configuration)

• 授權使用者可透過一個或多個裝置元件變更配置設定

• 支援安全預設值還原(restore to secure defaults)

3. 資料保護(Data Protection)

• 裝置元件必須保護儲存資料的安全

• 使用者可刪除敏感資訊或使其不可存取

• 裝置、元件與網路之間的資料傳輸必須加密

4. 介面存取控制(Interface Access Control)

• 裝置元件限制介面存取,僅限授權使用者

• 所有介面限制存取與配置變更許可權

• 禁用預設弱密碼

5. 軟體更新(Software Update)

• 裝置元件能下載、驗證並套用經過驗證的軟體更新

• 所有元件定期更新機上軟體

• 支援更新完整性驗證與回滾機制

6. 網路安全狀態感知(Cybersecurity State Awareness)

• 裝置擷取元件漏洞資訊,以偵測潛在網路安全風險

• 識別與記錄異常行為

▶ 非技術實踐要求(7–10 項)

7. 檔記錄(Documentation)

• 製造商建立並維護所有與產品安全相關的資訊檔

8. 資訊與查詢接收(Information and Query Reception)

• 提供漏洞通報管道(CVD,Coordinated Vulnerability Disclosure)

• 接收來自使用者、研究人員的安全查詢

9. 資訊傳播(Information Dissemination)

• 向使用者傳達安全更新、已知漏洞與緩解措施

• 明確揭露產品最低安全更新支援期限

10. 產品教育與認知(Product Education and Awareness)

• 對使用者進行產品資安相關教育

• 提供安全性群組態指南與最佳實踐

▶ 標章呈現要求(QR Code 揭露資訊)

 通過認證的產品除了顯示盾形標章外,還必須伴隨 QR Code,掃描後應揭露下列資訊:

• 產品名稱、製造商、認證日期

• 產品最低支援期限結束日期,或明確聲明製造商不提供安全更新(此項為消費者辨識風險的關鍵欄位)

• 支援的安全功能清單

• 漏洞揭露政策連結

• 軟體更新政策

▶ 特定產品類別的延伸要求

NIST 已針對高風險產品類別發佈專屬配置檔:

• NIST IR 8425A:消費性路由器專屬資安要求,補強無線路由器因流量樞紐地位所需的額外防護。

• 預期未來將針對智慧家庭控制中樞、嬰兒監視器、智慧門鎖等類別陸續發佈延伸配置檔。

四、與國際標準的整合:ETSI EN 303 645 的橋接價值

對全球供應商而言,NIST IR 8425 與歐盟 ETSI EN 303 645 具有高度重疊,特別是在密碼管理、軟體更新、資料保護與漏洞揭露等核心領域。建立涵蓋兩套標準的整合驗證計畫,可讓製造商通過單一批次的合規測試後,同時取得進入美國與歐盟市場的資格,這對降低合規成本具有實質意義。

此外,歐盟《網路韌性法》(Cyber Resilience Act, CRA)於 2027 年 12 月全面生效後,兩大經濟體的 IoT 資安要求將形成全球事實標準。供應鏈若能以 NIST IR 8425 + ETSI EN 303 645 為基礎建立內部合規架構,將取得顯著競爭優勢。

五、對全球 IoT 供應商的評估建議

Cyber Trust Mark 雖為自願性計畫,但考量以下因素,實質上將成為美國市場的必要條件:

• 通路壓力：Amazon、Best Buy、Google、LG、Samsung、Logitech 等主要零售商與品牌已表態支持,未來可能將標章列為上架優先條件。

• 企業採購驅動：聯邦政府採購與大型企業 IT 部門可能將標章列為供應商評估要素。

• 消費者意識提升：QR Code 揭露產品支援期限,將直接影響消費者購買決策。

• 國安揭露條款潛在影響：若最終規則要求揭露製造地、零元件來源、軟體發展地等資訊,供應鏈透明度將成為能否取得標章的隱藏門檻。

建議供應商立即著手的評估專案