**A BOD 26-04 da CISA** substitui as diretivas anteriores, **BOD 19-02** e **BOD 22-01**, sinalizando uma urgência maior em lidar com vulnerabilidades de segurança cibernética em sistemas federais. A diretiva introduz uma abordagem em níveis para a remediação, priorizando com base em quatro considerações principais: * Se o ativo está exposto publicamente online. * Presença da vulnerabilidade no catálogo de **Vulnerabilidades Conhecidas e Exploradas (KEV)** da **CISA**. * Se a exploração pode ser automatizada para ataques em larga escala. * Se a exploração concede aos atacantes controle parcial ou total de um sistema. Dependendo desses fatores, as agências enfrentarão prazos rigorosos. As vulnerabilidades mais críticas, aquelas expostas publicamente, presentes no catálogo **KEV** e que permitem controle automatizado e total do sistema, devem ser remediadas em três dias. Situações menos urgentes, onde a exploração automatizada não é possível ou fornece apenas controle parcial, recebem um prazo de duas semanas.  *Prazos de remediação de vulnerabilidades Fonte: CISA* ### Escopo e Implementação **A BOD 26-04** visa especificamente agências do Ramo Executivo Civil Federal (FCEB) dos EUA e seus sistemas de informação. Isso abrange vários departamentos governamentais, mas exclui certos sistemas militares, empresas privadas, sistemas da Comunidade de Inteligência e contratados. Apesar de seu foco direto, a diretiva deve estabelecer um precedente e influenciar a indústria de segurança cibernética em geral, fornecendo um sinal claro para as prioridades de patching em todos os setores. A determinação se estende a todos os sistemas federais on-premise, sistemas hospedados por terceiros e ambientes de nuvem FedRAMP e não FedRAMP. As agências agora são obrigadas a atualizar suas políticas de gerenciamento de vulnerabilidades para se alinharem com a **BOD 26-04**, aprimorar inventários de ativos e automatizar o relatório de status **KEV**. Em até 60 dias, os processos de gerenciamento de vulnerabilidades devem ser atualizados para alavancar dados de **CVE** e **KEV** para decisões de remediação. Em até 180 dias, todas as agências devem cumprir integralmente os novos prazos de remediação e implementar monitoramento contínuo e relatórios detalhados de metadados de ativos.