Apa yang terjadi
CISA mengeluarkan Binding Operational Directive 26-04, 'Prioritizing Security Updates Based on Risk,' pada 10 Juni 2026, menggantikan BOD 19-02 dan BOD 22-01. Direktif tersebut mewajibkan semua agensi Federal Civilian Executive Branch (FCEB) untuk memperbaiki kategori kerentanan paling kritis dalam tiga hari kalender — kompresi signifikan dari jadwal sebelumnya — yang didorong secara eksplisit oleh eksploitasi yang dipercepat AI. Direktif tersebut menetapkan empat kriteria risiko: status pengungkapan publik, daftar KEV, potensi otomasi penyerang, dan apakah penyerang dapat menguasai aset. Jendela tiga hari berlaku untuk kerentanan yang memenuhi ambang risiko tertinggi.
Mengapa penting
BOD 26-04 adalah direktif keamanan federal yang mengikat, secara eksplisit dibingkai seputar akselerasi ancaman yang diaktifkan AI. Ini mengompresi jendela patch federal menjadi tiga hari untuk kerentanan paling kritis — standar yang akan dihadapi oleh operator komersial dan penyedia infrastruktur kritis untuk dipenuhi. Ini juga menandakan pengakuan formal CISA bahwa penyerang bertenaga AI beroperasi pada kecepatan mesin, yang membenarkan jadwal yang lebih ketat di semua sektor. Direktif ini memengaruhi cara kontraktor federal dan vendor harus mendekati manajemen patch mereka sendiri untuk mempertahankan bisnis federal.
Tindakan yang diperlukan
Agensi FCEB harus menerapkan jendela remediation 3 hari untuk kerentanan berisiko tertinggi segera. Kontraktor federal dan vendor harus meninjau SLA pengungkapan kerentanan dan dukungan patch mereka untuk selaras dengan jadwal BOD 26-04. Organisasi komersial harus membandingkan standar patch mereka sendiri dengan standar federal baru.