Главная страница категории

Всё об IT-аккредитации: требования, льготы (налог 5%, взносы 7,6%), этапы и наши услуги.

Перейти на страницу

Экспорт программно-аппаратных комплексов (ПАК) в США в 2026 году — это задача на стыке двух регуляторных миров: физической электроники и кибербезопасности ПО. Если ваш продукт включает в себя серверное оборудование, сетевые модули или сенсоры с беспроводной передачей данных, он рассматривается как «преднамеренный излучатель» (Intentional Radiator). В этом случае недостаточно просто иметь надежный код — устройство должно пройти жесткую сертификацию Федеральной комиссии по связи (FCC). Параллельно с этим, в рамках обновленной Национальной стратегии кибербезопасности США, корпоративные клиенты требуют подтверждения того, что ПАК соответствует стандартам безопасности NIST (National Institute of Standards and Technology).

Специалисты «Реестр Гарант» на основе практики в международном комплаенсе выработали комплексный подход к адаптации ПАК. Главная проблема экспортеров — попытка сертифицировать «железо» и «софт» по отдельности. В США ПАК проверяется как единая экосистема: от электромагнитной совместимости плат до устойчивости прошивки к атакам типа "supply chain". Мы помогаем интегрировать требования FCC и NIST еще на этапе локализации интерфейсов и схемотехники.

Запрет на компоненты: "Covered List" и риски 2026 года

Прежде чем приступать к сертификации, необходимо провести аудит компонентной базы вашего ПАК. FCC ведет официальный Covered List — список производителей оборудования (преимущественно из КНР), чьи компоненты запрещены к использованию в критической инфраструктуре США. Если ваш ПАК содержит модули связи от компаний из этого списка, получение сертификата FCC будет заблокировано. «Реестр Гарант» проводит предварительный скрининг вашей BOM-спецификации (Bill of Materials) на соответствие требованиям национальной безопасности США.

Сертификация FCC: Радиочастотный комплаенс ПАК

Любой ПАК с Wi-Fi, Bluetooth или сотовым модулем должен соответствовать правилам 47 CFR (Code of Federal Regulations).

1

Part 15: Электромагнитная совместимость (EMC)

Разделение на Class A (промышленное использование) и Class B (бытовое). ПАК для дата-центров обычно проходят по Class A, что допускает чуть более высокие уровни помех, но накладывает ограничения на места эксплуатации.

2

Equipment Authorization (FCC ID)

Для сложных ПАК требуется процедура Certification (в отличие от более простой SDoC). Устройство получает уникальный FCC ID, который должен быть нанесен на корпус и отображен в электронном меню (E-labeling).

3

Модульная сертификация

Если вы используете уже сертифицированные FCC радиомодули, процесс упрощается. Однако ПАК как конечное устройство всё равно требует тестирования на непреднамеренное излучение (Unintentional Radiator) в сборе.

Кибербезопасность NIST: Программный щит ПАК

Для работы с госсектором и крупным бизнесом в США ПАК должен соответствовать фреймворкам NIST. В 2026 году это стало де-факто обязательным требованием тендеров.

Стандарт NIST Область применения для ПАК Требование 2026 года
NIST SP 800-53 Контроль безопасности и конфиденциальности данных. Обязателен для систем, обрабатывающих федеральную информацию.
NIST SP 800-161 Управление рисками цепочки поставок (C-SCRM). Вы должны доказать прозрачность происхождения каждого чипа и библиотеки в ПАК.
NIST IR 8259A Базовый набор возможностей кибербезопасности IoT-устройств (уточнение: сам документ IR 8259 описывает процесс работы производителя, а конкретный базовый набор требований — именно в IR 8259A). Минимум: уникальные пароли, безопасное обновление ПО, защита целостности данных.

Интеграция ИБ и радиочастот: Подход 2026 года

Software Bill of Materials (SBOM)

SBOM — «ингредиентный лист» вашего ПО — полезен для демонстрации отсутствия уязвимых open-source компонентов корпоративным заказчикам и госсектору. Важное уточнение: обязательного требования SBOM со стороны FCC в 2026 году не существует — добровольная программа маркировки FCC U.S. Cyber Trust Mark по состоянию на 2026 год ещё не принимает заявки производителей, а требование SBOM в её рамках лишь обсуждается индустрией, но пока не закреплено в правилах.

Hardware-Root-of-Trust (HRoT)

Современные ПАК должны поддерживать защищенную загрузку (Secure Boot). Это гарантирует, что на сертифицированном FCC «железе» невозможно запустить неавторизованное ПО, что является ключевым требованием NIST.

Physical Security и Tamper Evident

Корпус ПАК должен иметь индикацию вскрытия. Это требование физической безопасности NIST напрямую влияет на сохранение параметров излучения, заявленных в FCC.

Кейс «Реестр Гарант»: Экспорт систем хранения данных (СХД)

Типовой сценарий: сомнения заказчика в кибербезопасности встроенного управления

Распространённая ситуация: системный интегратор разрабатывает СХД с модулем удалённого управления (IPMI) и при выходе на рынок США сталкивается с опасениями американских заказчиков по поводу отсутствия документального подтверждения кибербезопасности, а также требованием подтвердить сертификацию FCC для встроенных радиомодулей.

Подход «Реестр Гарант»: в подобных случаях мы проводим аудит ПАК, организуем тестирование в аккредитованной лаборатории FCC для получения FCC ID, готовим документацию по NIST SP 800-193 (Platform Firmware Resiliency) для демонстрации устойчивости прошивок, а также готовим SBOM для снятия вопросов по кибербезопасности со стороны заказчика. Итоговые сроки и результат зависят от конкретной конфигурации ПАК и требований заказчика и не могут быть гарантированы заранее.

Вопросы и ответы

Нужен ли новый сертификат FCC при обновлении прошивки ПАК?

Если обновление ПО меняет радиочастотные параметры и при этом устройство остаётся в пределах ранее одобренных характеристик, но с их ухудшением, требуется подача заявления о разрешённом изменении класса II (Permissive Change, Class II, 47 CFR §2.1043) — это отдельная поданная заявка, а не автоматическое согласование. Если изменения касаются только бизнес-логики ПО и не затрагивают радиочастотные параметры, повторная сертификация FCC не требуется (согласно разъяснению FCC OET KDB 594280 D02).

Можно ли использовать в США ПАК с шифрованием по ГОСТ?

Важное уточнение: Бюро промышленности и безопасности США (BIS) регулирует именно ЭКСПОРТ товаров ИЗ США, а не ввоз или продажу зарубежной продукции на территории США. Для продажи в США готового устройства с шифрованием по ГОСТ регистрация в BIS не требуется — рынок США регулируется сертификацией FCC (47 CFR Part 2, Subpart K) и стандартной таможенной очисткой. BIS станет актуален, только если это устройство впоследствии реэкспортируется из США в третью страну.

Что такое FIPS 140-3 и касается ли это ПАК?

Это действующий стандарт для криптографических модулей, пришедший на смену FIPS 140-2 (приём новых заявок по FIPS 140-2 прекращён с 1 апреля 2022 года, а все действующие сертификаты FIPS 140-2 переводятся в архивный Historical List 22 сентября 2026 года). Если ваш ПАК используется для защиты данных в госсекторе США или банках, криптографический модуль (аппаратный или программный) обязан иметь актуальный сертификат FIPS 140-3.

Что такое FCC Covered List и как он влияет на сертификацию ПАК?

Covered List — официальный перечень FCC (на основании Secure and Trusted Communications Networks Act), включающий производителей оборудования и услуг связи, признанных угрозой национальной безопасности США (преимущественно из КНР — Huawei, ZTE, Hytera, Hikvision, Dahua). С ноября 2022 года FCC отказывает в предоставлении Equipment Authorization устройствам, содержащим компоненты из этого списка, — поэтому аудит компонентной базы (BOM) на соответствие Covered List обязателен ещё до подачи заявки.

Обязателен ли SBOM для сертификации ПАК в FCC?

Нет, формального обязательного требования SBOM со стороны FCC в 2026 году не существует. Программа маркировки кибербезопасности FCC U.S. Cyber Trust Mark остаётся добровольной и по состоянию на 2026 год ещё не принимает заявки производителей; включение SBOM в её правила пока обсуждается индустрией. Тем не менее SBOM полезен как добровольная демонстрация прозрачности ПО для корпоративных и государственных заказчиков.

Чем отличаются NIST IR 8259 и IR 8259A?

IR 8259 описывает рекомендуемый процесс работы производителя над кибербезопасностью IoT-устройства на всех этапах жизненного цикла, а конкретный базовый набор технических требований (уникальные пароли, безопасное обновление, защита целостности данных) содержится в отдельном документе — IR 8259A ("IoT Device Cybersecurity Capability Core Baseline").

Ваш ПАК: Инженерное совершенство и цифровая броня

В 2026 году экспорт технологий в США — это игра в "прозрачность". Совмещение физической надежности (FCC) и цифровой защищенности (NIST) делает ваш продукт понятным и предсказуемым для американского регулятора и привлекательным для Enterprise-клиентов. Какой путь сертификации FCC выбрать для вашего оборудования — в статье про три пути сертификации FCC (ID, SDoC, VOC), а подробнее о добровольной маркировке кибербезопасности — в статье про U.S. Cyber Trust Mark от FCC.

Комплексная сертификация ПАК и сложных систем

Международная группа компаний «Реестр Гарант» обеспечивает полное сопровождение экспорта ПАК: от радиочастотных тестов FCC до аудитов кибербезопасности NIST и формирования SBOM. Мы помогаем адаптировать ваше решение под стандарты самого технологичного рынка мира.

Закажите экспертный аудит вашего ПАК перед экспансией:

Email для технических запросов: reestrgarant@mail.ru

Основной сайт проекта: jeksport.vnesenie-v-reestr.ru

Нужна сертификация FCC под ключ — определение пути FCC ID или SDoC, испытания и представитель в США? Смотрите нашу услугу: сертификация FCC для экспорта электроники в США.