Apa yang terjadi
CISA mengeluarkan BOD 26-04 'Prioritizing Security Updates Based on Risk' pada 10 Juni 2026, menggantikan BOD 19-02 dan BOD 22-01. Direktif tersebut mewajibkan agensi sipil federal untuk memperbaiki kerentanan yang memenuhi tiga atau lebih dari empat kriteria risiko (asset exposure, KEV status, exploit automation, post-exploitation impact) dalam tiga hari, sambil secara formal memungkinkan penundaan temuan risiko rendah ke siklus upgrade berikutnya. CISA secara eksplisit membingkai urgensi di sekitar kemampuan threat actor yang didorong AI yang mempersempit jendela antara rilis patch dan eksploitasi aktif. Agensi memiliki 60 hari untuk memperbarui prosedur patching dan 180 hari untuk implementasi penuh.
Mengapa penting
Ini adalah reformasi manajemen kerentanan federal paling signifikan dalam bertahun-tahun: ia memindahkan pemerintah AS dari patching berbasis waktu ke model risk-intelligence yang berlabuh pada KEV status, sinyal otomasi setara EPSS, dan asset exposure — sebuah model yang kemungkinan akan diadopsi oleh perusahaan komersial dan operator infrastruktur kritis sebagai standar industri de facto. Pengakuan eksplisit terhadap eksploitasi berakselerasi AI sebagai pendorong ancaman utama sinyal bahwa CISA menganggap dunia pasca-Mythos sebagai normalitas baru yang memerlukan perubahan struktural pada program patching.
Tindakan yang diperlukan
Tinjau kebijakan manajemen kerentanan klien Anda saat ini terhadap empat kriteria BOD 26-04 (Asset Exposure, KEV Status, Exploit Automation, Technical Impact) dan identifikasi delta dari struktur SLA hari ini; agensi federal harus memperbarui prosedur patching dalam 60 hari, tetapi rekan komersial harus mulai adopsi kerangka kerja sekarang.