A diretiva obriga as agências federais civis a consertar, desabilitar ou remover software vulnerável dentro de três dias corridos, dependendo da gravidade da ameaça. O cronograma comprimido se deve em parte ao uso de inteligência artificial pelos hackers, de acordo com o relatório.




