Согласно проекту приказа, гражданским ведомствам необходимо сформировать политику раскрытия уязвимостей (vulnerability disclosure policies, VDP) в течение шести месяцев после публикации документа. Данные требования распространены в частном секторе, но практически не встречаются в правительственных организациях.
«Стремясь к общественному обсуждению, мы также понимаем, что требование к отдельным предприятиям придерживаться политики раскрытия информации об уязвимостях никогда ранее не выполнялось и, конечно же, не в таких масштабах», — сообщила заместитель директора CISA по кибербезопасности Жанетт Манфра (Jeanette Manfra).
Данные изменения в работе гражданских ведомств также будут координироваться Административно-бюджетным управлением США, которое выпустило собственное руководство для учреждений, готовящихся к формированию VDP.