CISA emite BOD 26-04: agências federais devem priorizar patches por risco real e corrigir vulnerabilidades críticas em 3 dias

A CISA publicou em 10 de junho de 2026 a Diretiva Operacional Vinculante (BOD) 26-04, "Priorizando Atualizações de Segurança com Base no Risco", que muda radicalmente a abordagem de gerenciamento de vulnerabilidades para agências do Poder Executivo Civil Federal (FCEB) dos EUA. A diretiva abandona o uso do CVSS como métrica primária de priorização — revogando a BOD 19-02 (2019) e a BOD 22-01 (2021) — e exige priorização baseada em quatro critérios combinados: (1) Exposição do Ativo, (2) Status no Catálogo KEV, (3) Automação de Exploração disponível e (4) Impacto Técnico Pós-Exploração. Vulnerabilidades que atendam simultaneamente todos os quatro critérios devem ser corrigidas em até 3 dias. As agências têm 60 dias para atualizar seus processos de gestão de vulnerabilidades. Embora vinculante apenas para o governo federal americano, a diretiva serve de referência para organizações privadas que buscam abordagens de remediação orientadas a risco real em vez de pontuações numéricas.