IoT的安全規範與法律在各國不斷成形

同GDPR一般，歐盟最新提出的Cyber Resilience法案是在物聯網上最為嚴格的規範，雖然尚在推行當中，預計將會在2024年正式立案。而在各國政府中，撇開既存的個資與隱私安全法案之外，物聯網的管制也逐漸寫入法律：

• 美國：美國雖然在2020年由川普總統簽署了物聯網網路安全法，但其尚未在聯邦層面上有正式且通用的規範。不過越來越多的IoT法規也正在浮出水面，譬如近期由Steve Scalise所提出EAVESDROP（H.R. 8543），即是針對有在收音的連接性裝置需要充分的告知消費者這一行為，同時應該提供消費者簡單關閉相關功能的能力。而相關的法案還有已經由國會通過的Informing Consumers about Smart Devices Act （H.R. 4081）。再者，NIST也提出了其針對IoT產品（適用於家庭與個人）的最佳實務（NIST IR 8425），雖然這並非具約束力的規範或法律，但仍然很有可能會是未來聯邦通用規範的參考指標。
• 歐盟：於2022年的9月，歐盟推出了所謂的資安韌性法案（Cyber Resilience Act）草案，涵蓋所有有使用IoT的裝置、應用程式、以及智慧家電等等的供應商，都必須要評估其產品的安全性，若違反規範，其會面臨高達1500萬歐元的罰金（或是2.5%的去年全球營收），甚至會被迫推出歐洲市場。 草案中也名列，其業者必須評估網安風險，並在產品預期壽命內（或五年）採去適當措施解決，而一旦發現有疑慮（抑或是出現攻擊事件），因於24小時內通知歐盟網路安全局單位。
• 澳洲：澳洲在2020年時，即針對了IoT安全規範，邀請了上百家業者前來提供建議，其中像是美國商會、AWS、臉書、Cisco、以及澳洲零售協會等，皆聚焦在各個產業通常會有的相關議題表達許多意見。澳洲政府希望在近期，建立在既有的IoT行為準則說明書上，進一步推進成為法案。 像是澳洲零售協會即建議聯邦政府參照ETSI EN 303 645的十大規範，不過在規則上提供彈性；而Cisco則建議在產品標籤上可以參考美國NIST所出的SP1800-15之上。