政策动态：OMB废除软件安全 attestation与CISA征询网络安全规则意见

本周美国政府在网络安全和隐私监管方面出现政策调整，OMB撤销了Common Form安全软件认证要求，同时CISA正在就网络安全报告规则征询公众意见。这些变化将对企业的网络安全合规策略产生深远影响。

主要新闻

OMB撤销Common Form安全软件认证要求

美国管理与预算办公室（OMB）于2026年1月23日撤销了Common Form安全软件认证要求。这一决定标志着政府在软件供应链安全监管方面出现了重大转变，企业需要重新评估其安全合规策略。

Source: OMB Rescinds the Common Form Secure Software Attestation Requirement

CISA就网络安全报告规则征询意见

美国网络安全与基础设施安全局（CISA）宣布举办公众听证会，讨论其网络安全报告规则。公众反馈的焦点包括”受监管实体”的定义范围以及其他关键问题。这一规则将影响关键基础设施运营商的网络安全事件报告义务。

Source: CISA Seeks Additional Feedback on Cybersecurity Reporting Rules

美国各州新隐私法和AI法律生效

2026年初，美国多个州的新综合隐私法、社交媒体法规和人工智能法律正式生效。加州的《前沿人工智能透明度法》率先实施，标志着州级AI监管进入实质阶段。

Source: New U.S. State Privacy, Social Media and AI Laws Take Effect

欧洲强化数据保护官角色

欧洲数据保护监督机构（EDPS）发布新指南，强化数据保护官（DPO）的独立角色。这反映了欧盟在数据保护执行方面的持续加强。

Source: EDPS strengthens DPO role

分析

OMB撤销Common Form认证要求这一决定来得突然，可能反映政府在软件供应链安全监管思路上出现了调整。虽然短期来看企业负担可能减轻，但这种变化也带来了不确定性——企业需要密切关注后续政策走向，以及时调整合规计划。

CISA的网络安全报告规则制定过程表明，政府正试图在安全信息共享和监管负担之间寻求平衡。”受监管实体”的定义范围将是关键争议点，范围过宽可能增加中小企业负担，过窄则可能遗漏重要实体。

州级隐私法和AI法律的持续涌现使得美国企业面临日益复杂的合规环境。没有统一的联邦隐私法，企业需要应对数十种不同的州级要求，这对跨州运营的企业提出了重大挑战。

结论

美国网络安全和隐私监管环境正在经历快速变化。企业应该采取以下应对策略：一是建立灵活的合规框架，能够快速适应政策变化；二是积极参与CISA的公众意见征集过程，反映行业声音；三是关注各州立法动态，提前规划合规路线图；四是重新评估软件供应链安全管理策略，尽管Common Form要求被撤销，软件安全仍然是合同履行的基本要求。