政策动态：美国软件安全认证废止与网络安全监管新趋势

本周美国政府在云计算安全监管领域做出重大调整，OMB废除了软件安全自我认证的”通用表格”要求，CISA就网络安全报告规则征集更多意见，云计算主权话题也引发广泛关注。

主要新闻

OMB废除软件安全自我认证要求

2026年1月23日，美国管理和预算办公室（OMB）发布备忘录M-26-05《采用风险导向的软件和硬件安全方法》，撤销了拜登政府时期要求联邦机构从软件生产商获取CISA开发的”通用表格”自我认证的规定。OMB表示，此前的备忘录使机构偏离了开发定制化保障方法的正轨。

Source: OMB Rescinds the “Common Form” Secure Software Attestation Requirement

CISA就网络安全报告规则征集反馈

网络安全和基础设施安全局（CISA）宣布将于2026年3月和4月举办一系列虚拟市政厅会议，就其即将出台的网络安全报告规则征求更多行业反馈。这些规则将要求关键基础设施领域的某些实体向CISA报告网络安全事件。

Source: CISA Seeks Additional Feedback on Cybersecurity Reporting Rules

云主权：平衡合规与创新

云主权成为本周热门话题。各国政府和企业正在寻求在数据本地化要求与云计算的效率优势之间取得平衡。欧洲的GDPR、美国的出口管制、以及各国数据主权法规，正在塑造全球云计算治理格局。

Source: Cloud sovereignty: squaring compliance with innovation

加州隐私保护局将讨论未来监管方向

加州隐私保护局（CPPA）将于2026年2月27日举行公开会议，讨论未来的规则制定活动。在2026年1月与CIPL的网络研讨会中，CPPA总法律顾问Philip Laird预览了几个监管重点领域，包括消费者权利、企业责任和技术中立性等。

Source: California Privacy Protection Agency to Hold Public Meeting to Discuss Future Regulations

2026年消费者隐私与网络安全法概述

法律专家提醒企业关注2026年新出台的消费者隐私、AI和网络安全法律。企业需要重新评估其数据处理实践、隐私政策和安全措施，以符合不断演变的法律要求。

Source: Primer on 2026 Consumer Privacy, AI, and Cybersecurity Laws

分析

OMB废除软件安全自我认证要求反映了美国政府监管思路的转变。从”一刀切”的合规要求转向”风险导向”的定制化方法，这意味着企业需要建立更成熟的安全风险管理能力，而不是简单地填表格。

CISA的网络安全报告规则仍在发展中，关键问题是”受监管实体”的定义和报告阈值。过于宽泛的定义可能增加企业合规负担，过于狭窄则可能遗漏关键风险。

云主权的讨论揭示了数据治理的深层次矛盾：数据流动与数据控制的张力。企业需要在合规要求与运营效率之间寻找平衡点。

结论

网络安全与数据隐私监管正在经历重新调整。美国政府从 prescriptive 的合规要求转向 risk-based 的方法论，这要求企业建立更成熟的安全能力而非简单地遵循清单。2026年将是企业适应新监管框架的关键一年。