В настоящее время большинство госорганов не имеют формального механизма получения информации от ИБ-экспертов о потенциальных уязвимостях в их системах. Новая директива предписывает ведомствам сформировать и опубликовать политики раскрытия уязвимостей, которые должны включать подробные данные о том, какие системы рассматриваются, разрешенных видах тестирования и каналах для отправки отчетов о проблемах.
Политики должны охватывать все доступные через интернет системы и сервисы федеральных ведомств, в том числе те, что изначально не задумывались как доступные через интернет.
В течение следующих 60 дней CISA намерено опубликовать руководство по реализации VDP в программах по обеспечению информационной безопасности ведомств. В течение 180 дней госорганы должны разработать или обновить существующие политики раскрытия уязвимостей с учетом новых требований.