Экспорт ПАК в США: Синергия сертификации FCC и стандартов кибербезопасности NIST
Всё об IT-аккредитации: требования, льготы (налог 5%, взносы 7,6%), этапы и наши услуги.
Экспорт программно-аппаратных комплексов (ПАК) в США в 2026 году — это задача на стыке двух регуляторных миров: физической электроники и кибербезопасности ПО. Если ваш продукт включает в себя серверное оборудование, сетевые модули или сенсоры с беспроводной передачей данных, он рассматривается как «преднамеренный излучатель» (Intentional Radiator). В этом случае недостаточно просто иметь надежный код — устройство должно пройти жесткую сертификацию Федеральной комиссии по связи (FCC). Параллельно с этим, в рамках обновленной Национальной стратегии кибербезопасности США, корпоративные клиенты требуют подтверждения того, что ПАК соответствует стандартам безопасности NIST (National Institute of Standards and Technology).
Специалисты «Реестр Гарант» на основе практики в международном комплаенсе выработали комплексный подход к адаптации ПАК. Главная проблема экспортеров — попытка сертифицировать «железо» и «софт» по отдельности. В США ПАК проверяется как единая экосистема: от электромагнитной совместимости плат до устойчивости прошивки к атакам типа "supply chain". Мы помогаем интегрировать требования FCC и NIST еще на этапе локализации интерфейсов и схемотехники.
Запрет на компоненты: "Covered List" и риски 2026 года
Прежде чем приступать к сертификации, необходимо провести аудит компонентной базы вашего ПАК. FCC ведет официальный Covered List — список производителей оборудования (преимущественно из КНР), чьи компоненты запрещены к использованию в критической инфраструктуре США. Если ваш ПАК содержит модули связи от компаний из этого списка, получение сертификата FCC будет заблокировано. «Реестр Гарант» проводит предварительный скрининг вашей BOM-спецификации (Bill of Materials) на соответствие требованиям национальной безопасности США.
Сертификация FCC: Радиочастотный комплаенс ПАК
Любой ПАК с Wi-Fi, Bluetooth или сотовым модулем должен соответствовать правилам 47 CFR (Code of Federal Regulations).
Part 15: Электромагнитная совместимость (EMC)
Разделение на Class A (промышленное использование) и Class B (бытовое). ПАК для дата-центров обычно проходят по Class A, что допускает чуть более высокие уровни помех, но накладывает ограничения на места эксплуатации.
Equipment Authorization (FCC ID)
Для сложных ПАК требуется процедура Certification (в отличие от более простой SDoC). Устройство получает уникальный FCC ID, который должен быть нанесен на корпус и отображен в электронном меню (E-labeling).
Модульная сертификация
Если вы используете уже сертифицированные FCC радиомодули, процесс упрощается. Однако ПАК как конечное устройство всё равно требует тестирования на непреднамеренное излучение (Unintentional Radiator) в сборе.
Кибербезопасность NIST: Программный щит ПАК
Для работы с госсектором и крупным бизнесом в США ПАК должен соответствовать фреймворкам NIST. В 2026 году это стало де-факто обязательным требованием тендеров.
| Стандарт NIST | Область применения для ПАК | Требование 2026 года |
|---|---|---|
| NIST SP 800-53 | Контроль безопасности и конфиденциальности данных. | Обязателен для систем, обрабатывающих федеральную информацию. |
| NIST SP 800-161 | Управление рисками цепочки поставок (C-SCRM). | Вы должны доказать прозрачность происхождения каждого чипа и библиотеки в ПАК. |
| NIST IR 8259A | Базовый набор возможностей кибербезопасности IoT-устройств (уточнение: сам документ IR 8259 описывает процесс работы производителя, а конкретный базовый набор требований — именно в IR 8259A). | Минимум: уникальные пароли, безопасное обновление ПО, защита целостности данных. |
Интеграция ИБ и радиочастот: Подход 2026 года
Software Bill of Materials (SBOM)
SBOM — «ингредиентный лист» вашего ПО — полезен для демонстрации отсутствия уязвимых open-source компонентов корпоративным заказчикам и госсектору. Важное уточнение: обязательного требования SBOM со стороны FCC в 2026 году не существует — добровольная программа маркировки FCC U.S. Cyber Trust Mark по состоянию на 2026 год ещё не принимает заявки производителей, а требование SBOM в её рамках лишь обсуждается индустрией, но пока не закреплено в правилах.
Hardware-Root-of-Trust (HRoT)
Современные ПАК должны поддерживать защищенную загрузку (Secure Boot). Это гарантирует, что на сертифицированном FCC «железе» невозможно запустить неавторизованное ПО, что является ключевым требованием NIST.
Physical Security и Tamper Evident
Корпус ПАК должен иметь индикацию вскрытия. Это требование физической безопасности NIST напрямую влияет на сохранение параметров излучения, заявленных в FCC.
Кейс «Реестр Гарант»: Экспорт систем хранения данных (СХД)
Типовой сценарий: сомнения заказчика в кибербезопасности встроенного управления
Распространённая ситуация: системный интегратор разрабатывает СХД с модулем удалённого управления (IPMI) и при выходе на рынок США сталкивается с опасениями американских заказчиков по поводу отсутствия документального подтверждения кибербезопасности, а также требованием подтвердить сертификацию FCC для встроенных радиомодулей.
Подход «Реестр Гарант»: в подобных случаях мы проводим аудит ПАК, организуем тестирование в аккредитованной лаборатории FCC для получения FCC ID, готовим документацию по NIST SP 800-193 (Platform Firmware Resiliency) для демонстрации устойчивости прошивок, а также готовим SBOM для снятия вопросов по кибербезопасности со стороны заказчика. Итоговые сроки и результат зависят от конкретной конфигурации ПАК и требований заказчика и не могут быть гарантированы заранее.
Вопросы и ответы
Нужен ли новый сертификат FCC при обновлении прошивки ПАК?
Если обновление ПО меняет радиочастотные параметры и при этом устройство остаётся в пределах ранее одобренных характеристик, но с их ухудшением, требуется подача заявления о разрешённом изменении класса II (Permissive Change, Class II, 47 CFR §2.1043) — это отдельная поданная заявка, а не автоматическое согласование. Если изменения касаются только бизнес-логики ПО и не затрагивают радиочастотные параметры, повторная сертификация FCC не требуется (согласно разъяснению FCC OET KDB 594280 D02).
Можно ли использовать в США ПАК с шифрованием по ГОСТ?
Важное уточнение: Бюро промышленности и безопасности США (BIS) регулирует именно ЭКСПОРТ товаров ИЗ США, а не ввоз или продажу зарубежной продукции на территории США. Для продажи в США готового устройства с шифрованием по ГОСТ регистрация в BIS не требуется — рынок США регулируется сертификацией FCC (47 CFR Part 2, Subpart K) и стандартной таможенной очисткой. BIS станет актуален, только если это устройство впоследствии реэкспортируется из США в третью страну.
Что такое FIPS 140-3 и касается ли это ПАК?
Это действующий стандарт для криптографических модулей, пришедший на смену FIPS 140-2 (приём новых заявок по FIPS 140-2 прекращён с 1 апреля 2022 года, а все действующие сертификаты FIPS 140-2 переводятся в архивный Historical List 22 сентября 2026 года). Если ваш ПАК используется для защиты данных в госсекторе США или банках, криптографический модуль (аппаратный или программный) обязан иметь актуальный сертификат FIPS 140-3.
Что такое FCC Covered List и как он влияет на сертификацию ПАК?
Covered List — официальный перечень FCC (на основании Secure and Trusted Communications Networks Act), включающий производителей оборудования и услуг связи, признанных угрозой национальной безопасности США (преимущественно из КНР — Huawei, ZTE, Hytera, Hikvision, Dahua). С ноября 2022 года FCC отказывает в предоставлении Equipment Authorization устройствам, содержащим компоненты из этого списка, — поэтому аудит компонентной базы (BOM) на соответствие Covered List обязателен ещё до подачи заявки.
Обязателен ли SBOM для сертификации ПАК в FCC?
Нет, формального обязательного требования SBOM со стороны FCC в 2026 году не существует. Программа маркировки кибербезопасности FCC U.S. Cyber Trust Mark остаётся добровольной и по состоянию на 2026 год ещё не принимает заявки производителей; включение SBOM в её правила пока обсуждается индустрией. Тем не менее SBOM полезен как добровольная демонстрация прозрачности ПО для корпоративных и государственных заказчиков.
Чем отличаются NIST IR 8259 и IR 8259A?
IR 8259 описывает рекомендуемый процесс работы производителя над кибербезопасностью IoT-устройства на всех этапах жизненного цикла, а конкретный базовый набор технических требований (уникальные пароли, безопасное обновление, защита целостности данных) содержится в отдельном документе — IR 8259A ("IoT Device Cybersecurity Capability Core Baseline").
Ваш ПАК: Инженерное совершенство и цифровая броня
В 2026 году экспорт технологий в США — это игра в "прозрачность". Совмещение физической надежности (FCC) и цифровой защищенности (NIST) делает ваш продукт понятным и предсказуемым для американского регулятора и привлекательным для Enterprise-клиентов. Какой путь сертификации FCC выбрать для вашего оборудования — в статье про три пути сертификации FCC (ID, SDoC, VOC), а подробнее о добровольной маркировке кибербезопасности — в статье про U.S. Cyber Trust Mark от FCC.
Комплексная сертификация ПАК и сложных систем
Международная группа компаний «Реестр Гарант» обеспечивает полное сопровождение экспорта ПАК: от радиочастотных тестов FCC до аудитов кибербезопасности NIST и формирования SBOM. Мы помогаем адаптировать ваше решение под стандарты самого технологичного рынка мира.
Закажите экспертный аудит вашего ПАК перед экспансией:
Email для технических запросов: reestrgarant@mail.ru
Основной сайт проекта: jeksport.vnesenie-v-reestr.ru
Нужна сертификация FCC под ключ — определение пути FCC ID или SDoC, испытания и представитель в США? Смотрите нашу услугу: сертификация FCC для экспорта электроники в США.
Международная сертификация, экспорт, ISO