호주의 Cyber Security (Security Standards for Smart Devices) Rules 2025는 2025년 3월 4일 등록되어 12개월의 전환기간을 거쳐 2026년 3월 4일부터 본격 시행된다. 이 규정은 스마트 TV, IP 카메라, 라우터, 스마트 조명, 스마트 가전 등 소비자 IoT 기기에 적용되는 강제 사이버보안 기준으로, 주로 ETSI EN 303 645(소비자 IoT 사이버보안) 표준을 기준으로 한다.

규정의 핵심 요구사항은 다음 세 가지이다. 첫째, 모든 기기는 비밀번호 강도 관리를 통해 고유하거나 사용자 정의 가능한 비밀번호를 가져야 하며, 비밀번호는 예측 가능하거나 공개적 패턴에 기반하지 않아야 한다. 둘째, 제조사는 보안 업데이트 지원 기간을 명시적으로 공표해야 한다. 셋째, 취약점 공개 및 보고 프로세스를 수립하고 외부 보안 연구자와의 협력 체계를 구축해야 한다. 제조사는 자체 선언 또는 해당 국제 표준 준수로 적합성을 입증할 수 있으며, 규정 준수 선언서는 5년간 유지해야 한다.

특히 주목할 점은 도로 차량과 차량 부품의 명시적 제외이다. Road Vehicle Standards Act 2018에 해당하는 모든 도로 차량과 차량 부품은 이 규정 적용 대상에서 제외되며, 데스크톱·노트북·태블릿·스마트폰, 의료기기 역시 적용 대상에서 제외된다. 이는 호주 정부가 자동차 사이버보안을 별도의 규제 체계로 관리하고 있음을 의미한다.