USA indfører risikobaseret patchkrav: Nye regler skal skære gennem sårbarhedsstormen

Eskil Sørensen
06.22.2026 11:42
Et nyt direktiv fra CISA tvinger myndigheder til at prioritere kritiske sårbarheder og reagere hurtigere på aktiv udnyttelse

Den amerikanske cybersikkerhedsmyndighed CISA har med Binding Operational Directive (BOD 26-04) indført en ny model for sårbarhedshåndtering i den føderale administration. Direktivet markerer et klart opgør med en tilgang, hvor alle sårbarheder behandles ens.

Det fremgår af en nyhed på CISAs hjemmeside, hvor det nye direktiv omtales. 

I stedet skal myndigheder nu prioritere deres indsats ud fra konkret risiko. Det indebærer, at ressourcer koncentreres om de sårbarheder, der enten er aktivt udnyttet eller har størst potentiel konsekvens.

Kernen i direktivet er en risikomodel baseret på fire faktorer: om et system er eksponeret mod internettet, om sårbarheden findes i CISA’s Known Exploited Vulnerabilities (KEV)-katalog, om angreb kan automatiseres, og hvilken grad af kontrol en angriber opnår.

Dermed flyttes fokus fra volumen til effekt.

KEV-kataloget bliver styrende

BOD 26-04 bygger videre på KEV-kataloget, som i praksis fungerer som en prioriteret liste over sårbarheder, der allerede udnyttes i angreb.

Når en sårbarhed optages i KEV, udløser det konkrete deadlines for afhjælpning. I de mest kritiske tilfælde er tidsrammen helt ned til få dage, kombineret med krav om forensisk undersøgelse.

Det gør KEV til det centrale styringsværktøj i den nye model: Ikke alle sårbarheder er lige vigtige, men nogle skal håndteres med det samme.

Strammere krav til processer og overblik

Direktivet stiller samtidig omfattende krav til myndighedernes interne processer. Organisationer skal:

  • Opdatere deres politikker for sårbarhedshåndtering
  • Etablere klare roller og ansvar
  • Automatisere rapportering af sårbarhedsstatus
  • Opretholde et fuldt opdateret overblik over alle aktiver

Inden for 180 dage skal alle systemer være identificeret, klassificeret og tagget – herunder om de er offentligt eksponerede.

Samtidig bliver løbende rapportering til CISA et centralt element, enten automatiseret via CDM-programmet eller manuelt med høj frekvens.

Cloud og tredjepart er ikke undtaget

BOD 26-04 understreger, at ansvaret ikke stopper ved den organisatoriske grænse. Systemer hos cloudleverandører og andre tredjeparter er omfattet, og myndigheder skal sikre compliance gennem samarbejde og overvågning.

Det gælder også for FedRAMP-certificerede miljøer, hvor samarbejdet formaliseres yderligere.

Resultatet er en model, hvor ansvar, prioritering og tempo strammes – med én klar præmis: ikke alt er lige vigtigt, men det vigtigste skal håndteres straks.

Læs mere

Information