Pela autoridade investida em mim como presidente pela Constituição e pelas leis dos Estados Unidos da América, incluindo a Lei Internacional de Potências Econômicas de Emergência (50 USC 1701 e seg.), a Lei de Emergências Nacionais (50 USC 1601 e seg.), Seção 212 (f) da Lei de Imigração e Nacionalidade de 1952 (8 USC 1182 (f)) e Seção 301 do Título 3, Código dos Estados Unidos, é ordenado:
Seção 1. Emendas à Ordem Executiva 14144. Ordem executiva 14144 de 16 de janeiro de 2025 (fortalecendo e promovendo a inovação na segurança cibernética do país), é alterada por:
(a) subseções impressionantes 2 (a)-(b) e subseções de redesenho 2 (c), 2 (d) e 2 (e) como subseções 2 (a), 2 (b) e 2 (c), respectivamente;
(b) atingir a primeira frase da subseção 2 (e);
(c) subseções impressionantes 3 (a)-(b) e subseções de redesenho 3 (c), 3 (d) e 3 (e) como subseções 3 (a), 3 (b) e 3 (c), respectivamente;
(d) atingindo a subseção 3 (c) a frase “Na Ordem Executiva 14028, dirigi o Secretário de Defesa e o Secretário de Segurança Interna para estabelecer procedimentos para compartilhar imediatamente informações de ameaças para fortalecer a defesa coletiva do Departamento de Defesa e Redes Civis.”;
(e) atingir a subseção 3 (c) (i) (a) a palavra “romance”;
(f) subseção impressionante 4 (b) (iv);
(g) subseções impressionantes 4 (d) (ii)-(iii);
(h) seção 5 impressionante e redesenhando as seções 6, 7, 8, 9, 10 e 11 como seções 5, 6, 7, 8, 9 e 10, respectivamente; e
(i) atingir a subseção 8 (c) a frase “nas áreas de detecção de intrusões, o uso de raízes de hardware de confiança para inicialização segura e desenvolvimento e implantação de patches de segurança.”.
Sec. 2. Outras emendas à Ordem Executiva 14144. A Ordem Executiva 14144 é alterada por:
(a) impressionante seção 1 e inserção, em vez disso, o seguinte:
“Seção 1. Política. Nações estrangeiras e criminosos continuam conduzindo campanhas cibernéticas direcionadas aos Estados Unidos e americanos. A República Popular da China apresenta as ameaças cibernéticas mais ativas e persistentes para o governo dos Estados Unidos, o setor privado e as redes críticas dos estados -cidadãos. Dólares e mina a segurança e a privacidade dos americanos.
(b) Subseção impressionante 2 (c) e inserção, em vez disso, o seguinte:
“(C) Departamentos e agências executivos relevantes (agências) devem tomar as seguintes ações:
(i) Em 1º de agosto de 2025, o Secretário de Comércio, atuando pelo diretor da NIST, estabelecerá um consórcio com a indústria no Centro Nacional de Excelência em segurança cibernética para desenvolver orientação, informada pelo consórcio, conforme apropriado, que demonstra a implementação do desenvolvimento seguro de software, segurança e práticas de operações com base na publicação Special 800 – 288 (Estrutura de desenvolvimento de software seguro (SSDF)).
(ii) Em 2 de setembro de 2025, o Secretário de Comércio, atuando através do Diretor do NIST, atualizará o NIST Special Publication 800–53 (Controles de segurança e privacidade para sistemas e organizações de informação) fornecer orientações sobre como implantar de forma segura e confiável patches e atualizações.
(iii) Em 1º de dezembro de 2025, o Secretário de Comércio, atuando através do Diretor do NIST, em consulta com os chefes de agências como o diretor do NIST considerar apropriado, desenvolverá e publicará uma atualização preliminar no SSDF. Esta atualização preliminar deve incluir práticas, procedimentos, controles e exemplos de implementação sobre o desenvolvimento e a entrega seguros e confiáveis de software, bem como a segurança do próprio software. Dentro de 120 dias após a publicação da atualização preliminar, o Secretário de Comércio, atuando pelo diretor do NIST, publicará uma versão final do SSDF atualizado. ”;
(c) Atração da subseção 4 (b) A frase “A segurança do tráfego da Internet depende dos dados serem roteados e entregues corretamente à rede destinatária pretendida. As informações de roteamento originadas e propagadas em toda a Internet, utilizando o protocolo de Border Gateway (BGP), são vulneráveis a ataques e informações errôneas.” e inserindo, em vez disso, o seguinte:
“As agências relevantes devem tomar as seguintes ações:”;
(d) Subseção impressionante 4 (f) e inserção, em vez disso, o seguinte:
“(F) Um computador quântico de tamanho e sofisticação suficientes-também conhecido como um computador quântico criptanaliticamente relevante (CRQC)-será capaz de quebrar grande parte da criptografia de chave pública usada em sistemas digitais nos Estados Unidos e em todo o mundo. uma transição para algoritmos criptográficos que não seriam vulneráveis a um CRQC.
(i) Em 1º de dezembro de 2025, o Secretário de Segurança Interna, atuando através do Diretor da Agência de Segurança de Segurança Cibernética e Infraestrutura (CISA) e, em consulta com o Diretor da Agência de Segurança Nacional, será divulgado e, posteriormente, atualizará regularmente uma lista de categorias de produtos nos quais os produtos que suportam criptografia pós-cantum (PQC) estão amplamente disponíveis.
(ii) Até 1 de dezembro de 2025, para se preparar para a transição para o PQC, o diretor da Agência de Segurança Nacional em relação aos Sistemas de Segurança Nacional (NSS) e o diretor da OMB em relação a não-NSs, devem ser requisitos para as agências apoiarem o suporte a uma versão 1.3 ou não mais tarde, mas não mais tarde em 2 de janeiro de 2030, o Protocol Layer Protocol Version 1.3 ou uma versão sucessora.
(e) Antiga seção 6 (recém -designada seção 5) e inserção, em vez disso, o seguinte:
“Seção 5. Promover a segurança com e na inteligência artificial. Inteligência artificial (IA) tem o potencial de transformar a defesa cibernética, identificando rapidamente vulnerabilidades, aumentando a escala das técnicas de detecção de ameaças e automatizando a cibercrime de defesa.
(a) até 1º de novembro de 2025, o Secretário de Comércio, atuando através do diretor da NIST; o Secretário de Energia; o Secretário de Segurança Interna, agindo através do Subscretário de Ciência e Tecnologia; E o diretor da National Science Foundation garantirá que os conjuntos de dados existentes para a pesquisa em defesa cibernética tenham sido acessíveis à comunidade de pesquisa acadêmica mais ampla (de forma segura ou pública) na extensão máxima viável, em consideração à confidencialidade dos negócios e à segurança nacional.
(b) Em 1º de novembro de 2025, o Secretário de Defesa, o Secretário de Segurança Homeland e o Diretor de Inteligência Nacional, em coordenação com funcionários apropriados do Escritório Executivo do Presidente, para incluir funcionários do Office of Science and Technology Policy, o escritório da Cibernética Nacional e o RESTEMAS DO AGRESTENTES EXISTEMENTES EXISTEMENTES EXISTENTES EXISTENTES EXISTENTES EM EXISTENÇÕES DO SOFTENÇÃO AIM EXISTEME Gerenciamento de vulnerabilidades, inclusive por meio de rastreamento, resposta e relatórios de incidentes e compartilhando indicadores de compromisso para os sistemas de IA. ”;
(f) Exceto seção 7 e inserção, em vez disso, o seguinte:
“Seção 7. Alinhando a política à prática. As políticas das agências devem alinhar investimentos e prioridades para melhorar a visibilidade da rede e os controles de segurança para reduzir os riscos cibernéticos. Em consulta com o diretor cibernético nacional, as agências devem tomar as seguintes ações:
(a) Dentro de 3 anos a partir da data desta ordem, o Diretor da OMB emitirá orientação, incluindo qualquer revisão necessária para a OMB Circular A -130, para abordar riscos críticos e adaptar práticas e arquiteturas modernas em sistemas e redes federais de informação.
(b) Dentro de 1 ano a partir da data desta ordem, o Secretário de Comércio, atuando através do Diretor da NIST; o Secretário de Segurança Interna, atuando através do diretor da CISA; e o Diretor da OMB estabelecerá um programa piloto de uma abordagem de regras como código para versões legíveis por máquina de política e orientação que OMB, NIST e CISA publicam e gerenciam em relação à segurança cibernética.
(c) Dentro de 1 ano a partir da data desta ordem, os membros da agência do Conselho FAR devem, conforme apropriado e consistente com a lei aplicável, tomarem medidas para alterar os requisitos para as agências, até 4 de janeiro de 2027, requerem fornecedores para o governo federal de produtos de cyber dos Estados Unidos;
(g) Subseção impressionante 8 (a) e inserção, em vez disso, o seguinte:
“(A) Exceto conforme especificamente previsto na subseção 4 (f) desta ordem, as seções 1 a 7 desta ordem não serão aplicadas a sistemas de informação federal que são NSS ou de outra forma identificados pelo Departamento de Defesa ou pela comunidade de inteligência como sistemas de impacto debilitante.”.
Sec. 3. Emendas à Ordem Executiva 13694. Executive Order 13694 of April 1, 2015 (Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities), as amended by Executive Order 13757 of December 28, 2016 (Taking Additional Steps to Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities), Executive Order 13984 of January 19, 2021 (Taking Additional Steps to Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities), and Executive Order 14144, is por meio deste, mais alterado por:
(a) atingir a subseção 1 (a) (ii) a frase “qualquer pessoa” e inserir em vez de “qualquer pessoa estrangeira”; e
(b) atingindo a subseção 1 (a) (iii) a frase “qualquer pessoa” e inserindo em vez de “qualquer pessoa estrangeira”.
Sec. 4. Disposições gerais. (a) Nada nesta ordem deve ser interpretado para prejudicar ou afetar: de outra forma:
(i) a autoridade concedida por lei a um departamento ou agência executiva ou a sua cabeça; ou
(ii) as funções do diretor da OMB relacionadas a propostas orçamentárias, administrativas ou legislativas.
(b) Este pedido deve ser implementado de maneira consistente com a lei aplicável e sujeita à disponibilidade de apropriações.
(c) Esta ordem não se destina e não cria nenhum direito ou benefício, substantivo ou processual, exequecível por lei ou em patrimônio líquido por qualquer parte contra os Estados Unidos, seus departamentos, agências ou entidades, seus oficiais, funcionários ou agentes ou qualquer outra pessoa.
(d) Os custos para publicação desta ordem serão suportados pelo Departamento de Segurança Interna.
Donald J. Trump
A Casa Branca,
6 de junho de 2025.
Fonte – Whitehouse
