Apa yang terjadi
CISA mengeluarkan Binding Operational Directive 26-04, 'Prioritizing Security Updates Based on Risk,' pada 10 Juni 2026, menggantikan BOD 19-02 dan BOD 22-01. Direktif ini mewajibkan semua agensi Federal Civilian Executive Branch (FCEB) untuk memperbaiki kategori kerentanan paling kritis dalam tiga hari kalender — pengurangan waktu yang signifikan dari jadwal sebelumnya — secara eksplisit didorong oleh eksploitasi yang dipercepat AI. Direktif ini menetapkan empat kriteria risiko: status pengungkapan publik, daftar KEV, potensi otomasi penyerang, dan apakah penyerang dapat menguasai aset. Jendela tiga hari berlaku untuk kerentanan yang memenuhi ambang risiko tertinggi.
Mengapa penting
BOD 26-04 adalah direktif keamanan federal yang mengikat, secara eksplisit disusun di sekitar percepatan ancaman yang diaktifkan AI. Direktif ini memampatkan jendela patch federal menjadi tiga hari untuk cacat paling kritis — standar yang akan menghadapi tekanan dari operator komersial dan penyedia infrastruktur kritis untuk diterapkan. Direktif ini juga menandakan pengakuan formal CISA bahwa penyerang bertenaga AI beroperasi pada kecepatan mesin, membenarkan jadwal yang lebih ketat di seluruh sektor. Direktif ini mempengaruhi cara kontraktor federal dan vendor harus menerapkan manajemen patch mereka sendiri untuk mempertahankan bisnis federal.
Tindakan yang diperlukan
Agensi FCEB harus menerapkan jendela perbaikan 3 hari untuk kerentanan risiko tertinggi segera. Kontraktor federal dan vendor harus meninjau SLA pengungkapan kerentanan dan dukungan patch mereka untuk selaras dengan jadwal BOD 26-04. Organisasi komersial harus membandingkan tingkat patch mereka sendiri dengan standar federal baru.