Apa yang terjadi
CISA mengeluarkan BOD 26-04 'Prioritizing Security Updates Based on Risk' pada 10 Juni 2026, menggantikan BOD 19-02 dan BOD 22-01. Direktif tersebut mengharuskan lembaga pemerintah sipil federal untuk mengatasi kerentanan yang memenuhi tiga atau lebih dari empat kriteria risiko (paparan aset, status KEV, otomasi eksploitasi, dampak pasca-eksploitasi) dalam tiga hari, sambil secara resmi memperbolehkan penundaan temuan risiko rendah ke siklus peningkatan berikutnya. CISA secara eksplisit membingkai urgensi seputar kemampuan aktor ancaman berbasis AI yang mempersempit jendela antara rilis patch dan eksploitasi aktif. Lembaga memiliki 60 hari untuk memperbarui prosedur patching dan 180 hari untuk implementasi penuh.
Mengapa penting
Ini adalah reformasi manajemen kerentanan federal paling signifikan dalam bertahun-tahun: ini menggeser pemerintah AS dari patching berbasis waktu ke model intelijen risiko yang berlabuh pada status KEV, sinyal otomasi setara-EPSS, dan paparan aset — model yang kemungkinan akan diadopsi oleh perusahaan komersial dan operator infrastruktur kritis sebagai standar industri de facto. Pengakuan eksplisit terhadap eksploitasi berbasis AI sebagai pendorong ancaman utama menandakan bahwa CISA menganggap dunia pasca-Mythos sebagai normal baru yang memerlukan perubahan struktural pada program patching.
Tindakan yang diperlukan
Tinjau kebijakan manajemen kerentanan saat ini klien Anda terhadap empat kriteria BOD 26-04 (Paparan Aset, Status KEV, Otomasi Eksploitasi, Dampak Teknis) dan identifikasi delta dari struktur SLA hari ini; lembaga federal harus memperbarui prosedur patching dalam 60 hari, tetapi mitra komersial harus mulai mengadopsi kerangka kerja sekarang.