美国政府云安全政策重大调整：OMB撤销软件安全认证要求

本周美国政府在云安全监管方面出现重大政策转向。OMB撤销了上届政府要求的软件安全自我认证要求，CISA则就网络安全报告规则征求更多反馈。同时，各州隐私法规持续演进，数据主权成为企业关注焦点。

主要新闻

美国管理和预算办公室（OMB）于2026年1月23日发布备忘录M-26-05”采用基于风险的方法进行软件和硬件安全”，撤销了上届政府要求所有联邦机构从软件生产商获取CISA开发的”通用表格”自我认证的要求。OMB表示，先前的备忘录使各机构偏离了制定针对性保障措施的方向。

Source: OMB Rescinds the “Common Form” Secure Software Attestation Requirement

网络安全和基础设施安全局（CISA）宣布将于2026年3月和4月举办一系列虚拟市政厅会议，就其即将出台的网络安全报告规则征求更多行业反馈。这些规则将要求在关键基础设施领域运营的某些实体向CISA报告网络安全事件。

Source: CISA Seeks Additional Feedback on Cybersecurity Reporting Rules

企业正在努力应对数据主权要求与创新需求之间的平衡。各国政府和监管机构越来越多地要求数据本地化存储，同时企业需要利用云的全球性和AI能力。如何在满足合规要求的同时保持竞争力，成为IT领导者的核心挑战。

Source: Cloud sovereignty: squaring compliance with innovation

2026年初，多部新的州级综合隐私法律、社交媒体法规和人工智能法规生效。各州继续在联邦立法缺位的情况下填补隐私监管空白，形成了复杂的州际合规环境。

Source: New U.S. State Privacy, Social Media and AI Laws Take Effect in January 2026

OMB撤销软件安全认证要求反映了联邦政府对待安全监管的态度转变。这一决策背后的逻辑是”基于风险的方法”——而非一刀切的合规要求。然而，这种灵活性也带来了挑战：企业如何证明自己已尽到合理的安全注意义务？

CISA的网络安全报告规则仍在制定中，这表明关键基础设施的网络安全监管仍在加强而非放松。企业应密切关注即将出台的规则，因为报告要求将直接影响运营流程。

各州隐私法律的碎片化继续构成挑战。对于在多州运营的企业而言，跟踪和遵守不同的隐私要求已成为一项重大负担。联邦层面统一立法的缺失使得这一问题短期内难以解决。

2026年美国云安全与隐私政策呈现”松中有紧”的特征。一方面，联邦层面在简化监管要求；另一方面，针对关键基础设施的网络安全义务在加强。对企业而言，合规策略需要更加动态和灵活——既要满足当前的监管要求，又要为未来的政策变化预留空间。云主权和数据本地化将继续是跨国企业必须认真对待的议题。