联邦政府发布无人机采购新指南,强化信息安全与合规要求
快速阅读: 2025年11月21日,OMB发布备忘录,确立联邦机构及资金接受者采购和使用安全无人机系统(UAS)的要求,旨在落实《美国安全无人机法案》,对抗外国制造无人机影响,强化联邦运作安全。
2025年11月21日,管理和预算办公室(OMB)发布备忘录,确立了联邦机构及联邦资金接受者采购和使用安全无人机系统(UAS)的全面要求。该指导方针落实了《美国安全无人机法案》(ASDA或法案)的要求,建立了政府范围内的UAS采购和使用框架。除了确保符合ASDA外,OMB的目标还包括对抗购买外国制造无人机的影响,以及加强联邦运作的完整性和安全性。
对于政府承包商和补助金接收者而言,新框架标志着战略转变。遵守这些标准现已成为参与联邦UAS采购和资金支持的前提条件,有助于实现更广泛的国家安全和经济目标。各机构及其合作伙伴必须将这些要求融入UAS生命周期的每一个阶段,从市场调研和采购计划到操作使用和数据管理,以确保联邦信息的安全并维持美国的技术领先地位。本荷兰骑士律师事务所警报详细解读了备忘录的关键方面。
背景与立法框架
该备忘录基于ASDA,即第118届国会第31号公共法律(2023年),该法指示OMB在国土安全部、交通部和司法部的协调下,与国家标准与技术研究院(NIST)协商,制定政府范围内的UAS采购政策。ASDA的出台是对联邦运作中使用不安全的外国制造无人机日益增长的担忧作出的回应。这类系统存在重大风险,包括未经授权访问敏感数据、隐蔽监视能力和不可控飞行行为。除了网络安全问题,该法案还涉及更广泛的战略和经济风险,例如削弱美国无人机行业、侵蚀技术主权以及使联邦运作面临供应链中断的风险。
备忘录通过提供详细的框架,满足法定要求,帮助各机构评估和缓解整个UAS采购生命周期中的信息安全风险。它补充了现有的采购法律和规定,包括《联邦采购条例》(FAR)第40.2子部分,该部分禁止采购和运营由某些外国实体制造或组装的UAS。该政策还采纳了NIST的意见,并与OMB A-130通函保持一致,后者管理联邦信息管理。
政策范围
该备忘录适用于所有采购UAS用于非美国战争部(DOW)和非情报社区运作的联邦机构,以及向非联邦实体发放涉及处理、存储或传输联邦信息的UAS采购的拨款和合作协议的机构。涵盖的活动包括直接机构采购和联邦资助机制,如可能用于处理联邦数据的UAS的拨款和合作协议。这项广泛的政策旨在确保在采购过程的每个阶段都整合安全要求,使各机构和资金接收者遵守严格的信息保护标准。这一广泛的范围反映了政府减少对敌对技术依赖的决心,以及支持安全、国内生产的UAS解决方案的承诺。
机构采购要求
当联邦机构采购UAS时,需遵循一套全面的程序和技术要求,以确保操作效率和强大的信息安全。根据备忘录,在发布后180天内,各机构必须将UAS视为既是航空器也是信息技术(IT)系统,无论UAS的制造或装配国为何,均需整合备忘录中概述的信息安全风险管理程序。
具体而言,备忘录要求不属于DOW或情报社区的联邦机构建立一个流程,以在整个UAS采购生命周期中解决安全风险。备忘录描述了采购过程中的以下关键步骤:
市场研究。
各机构首先需要收集有关产品功能的信息,以满足机构需求,并评估哪些选项符合备忘录的安全要求,包括访问控制(如多因素认证)、软件和固件更新,以及基于敏感性和保密级别的强大数据保护措施。
采购计划和招标开发。
各机构必须详细制定需求,以便供应商能提交提案,从而能够进行全面的影响评估,依据联邦信息处理标准(FIPS)199。这包括识别并记录可能存储在、处理或传输给无人机系统(UAS)的信息类型。在此阶段,机构还需考虑将合同授予特定国内来源是否必要,即使这意味着需要采用非竞争性采购程序。
合同授予。
机构必须根据框架中描述的必要安全能力评估供应商,包括访问控制要求(例如多因素认证)、软件和固件更新以及针对信息敏感性和机密性的数据保护措施。
合同履行。
交付后,机构必须遵循既定政策,使用功能系统在整个UAS生命周期中实施风险缓解措施。
安全标准和能力
备忘录规定了所有由联邦机构采购或通过联邦拨款和合作协议资助的UAS必须满足的最低安全能力。这些标准旨在保护联邦信息,包括隐私数据和其他受控非机密信息,防止未经授权的访问、使用、披露、中断、修改或破坏。
影响评估程序
采购前,机构必须使用FIPS 199或后续出版物进行影响评估。此评估由信息安全和操作人员共同完成,旨在确定UAS将存储、处理或传输的信息类型——例如位置数据、音频和视频——并确定保密性、完整性和可用性损失的潜在影响。评估结果指导选择适当的安全类别和系统影响级别。
访问控制要求
完成每个通过合同、拨款或合作协议采购的UAS所需的影响评估后,机构必须确保UAS的采购和使用符合访问控制要求、软件和固件更新要求及数据保护措施。对于访问控制,机构应根据国家标准与技术研究所(NIST)特别出版物800-63的标准,实施适当的远程访问UAS地面控制站的身份验证措施。
当系统的可用性影响等级为中等或高时,管理和预算办公室(OMB)进一步建议机构考虑在NIST SP 1800-5描述的IT资产框架下管理UAS项目。
软件和固件更新协议
关于软件和固件更新,机构的政策必须确保更新仅来自UAS制造商或授权官员确定的可信第三方。此外,用于安装和下载这些更新的软件或固件的技术必须与机构的企业信息系统隔离。当系统的完整性影响等级为中等或高时,操作员在任务操作前需进行文件完整性检查和测试更新。
数据保护要求
数据保护要求包括加密任务相关数据,无论是在静态还是在收集或传输过程中。机构还应确保除非法律或法规要求,否则保留不下载、上传或传输UAS数据的权利。这些措施共同支持涉及UAS的联邦操作的完整性和安全性,符合OMB备忘录的目标。
对于UAS收集、存储或处理的敏感或机密数据,适用以下协议:
机构应确保数据使用经过批准和验证的加密算法或模块进行加密保护。
机构应考虑获取具有远程安全功能的UAS,如操作员而非制造商能够远程擦除或锁定UAS。
每次任务完成后,操作员应移除UAS收集的所有具有中等或高机密性指定的联邦信息。
当系统的机密性影响等级为高时,机构应采取技术控制措施,防止数据存储和传输至未经批准的系统。
豁免和豁免权
备忘录为机构在特定情况下寻求豁免或豁免权提供了具体途径。豁免可依据《2019年美国国防授权法案》(ASDA)第1829节获得,而豁免或豁免权可依据ASDA第1823、1824和1825节获得。
如果机构负责人以书面形式确定遵守备忘录中的安全要求将阻碍该机构获得能够满足关键任务性能要求的无人机系统(UAS),可以授予豁免。豁免仅在机构负责人记录了决定的事实和逻辑依据后有效,包括日期、涵盖产品(含数量和价值)的描述以及豁免期限(不超过自生效日起三年)。此权限只能委托给副部长或同等职位,不得委托给较低级别的官员。所有豁免文件必须可供OMB请求查阅,并纳入相关系统安全计划和合同文件中。
根据第1823、1824和1825节的规定,美国安全无人机采购法(ASDA)禁止使用联邦资金购买或运营由某些外国实体制造或组装的无人机系统。然而,在特定情况下,特定机构可获得豁免,且经机构负责人批准并得到OMB主任同意后,可按个案授予豁免。机构必须准备文件,识别适用的豁免或豁免,并在OMB请求时提供。对于豁免,机构还需在获得OMB批准并行使豁免权之前通知相关国会委员会。
这些程序确保豁免和豁免权受到严格控制、充分记录,并接受监督,平衡任务需求与信息安全的紧迫性。
通过拨款和合作协议采购
当机构通过拨款或合作协议提供用于无人机系统采购的资金时,必须实施额外要求,以确保非联邦接收方遵守安全合规。
在拨款机会通知(NOFOs)中纳入安全要求:
拨款机会通知必须包含备忘录中的信息安全要求。申请者必须在其提案中解决这些要求,并描述在后续采购招标中如何应用基于风险的方法。
风险评估与提案评价:
机构须进行风险评估,并评价接收方提案对NOFO中概述的安全要求的响应,确保只有符合规定的项目才能获得资金支持。
授予条款和条件:
具体的安全要求必须纳入拨款和合作协议的条款和条件中,要求接收方将其标准融入自己的无人机系统采购过程中。
持续监控:
机构必须监控联邦拨款,确保接收方在整个拨款期间遵守信息安全要求。
此外,自2025年12月22日起,除非获得有限豁免或特定机构和任务类型的豁免,否则联邦资金不得用于采购或运营被ASDA禁止的无人机系统。
合规与监控要求
持续的合规性和监控是备忘录框架的核心,确保机构和接收方在整个无人机系统生命周期中维持强大的安全态势。
机构负责在无人机系统使用期间及之后实施适当的安全措施,这与评估的风险和相关法律政策一致。这包括实施技术控制、维护访问控制政策并确保所有安全要求得到满足和记录。机构还必须定期进行监督,包括审计和审查,以验证内部人员和外部资金接收方对安全标准的遵守情况。
联邦资金的接收方需接受拨款机构的合规监控,可能包括报告义务、审计和纠正行动要求。合规、豁免和豁免的文档必须保存,并在需要时提供给OMB和其他监管机构。
此外,与联邦政府有业务往来的制造商和运营商应关注机构遵守OMB备忘录指示的计划,这些指示要求机构不迟于2026年5月20日更新政策并确保遵守备忘录。这些指示进一步要求机构在整个信息生命周期内进行基于风险的分析,并采取与风险水平相适应的风险缓解措施,无论是在采购、使用还是停止使用无人机系统时,均需遵循OMB圆通A-130的规定。
这些要求是对现有联邦法规下持续合规义务的补充,包括但不限于FAR第40.2子部分的规定,该部分禁止采购和运营某些外国实体制造或组装的无人机系统(UAS)。最后,OMB指令通常不适用于国防部(DOW)或情报界。
其他考虑事项
虽然OMB备忘录M-26-02提供了非DOW机构遵守《美国安全无人机法案》(ASDA)所需的具体细节,寻求与联邦政府合作的供应商还应关注DOW采购的一般更新。例如,美国陆军于2025年11月24日发布了《第二次来源需求通知》(SSN),以加快公司级指挥要求的小型UAS的采购。SSN中最值得注意的更新是UAS市场战略,陆军将通过此战略识别并引入经过审查的解决方案到其UAS市场店面。采用市场策略,陆军旨在简化采购流程,利用前沿技术保持在UAS操作领域的领先地位。陆军表示,它与商业工业基础及其UAS项目管理办公室紧密合作,根据士兵使用UAS的反馈调整能力和概念。
此外,DOW继续通过国防创新单元运行其无人机数据库中心,提供DOW根据《美国安全无人机法案》审查并通过的UAS清单,即“蓝色UAS”。将UAS添加到该清单的计划,通常是DOW快速原型设计和扩展商用UAS技术的方法。“蓝色UAS”模式可能会随着适用于DOW使用的UAS的新法律规定而不断更新。
结论与要点
OMB备忘录标志着联邦UAS采购的重大进展,突显了政府保护敏感信息和支持国内技术能力的决心。合规不仅是监管义务,更是战略需要——未能遵守这些要求可能导致机构和承包商面临操作、法律和声誉风险。
政府承包商的关键义务包括:
– 在UAS采购和运营的所有阶段整合强大的信息安全要求,包括市场研究、招标、合同履行和交付后监控;
– 进行并记录影响评估,确定每个UAS采购所需的适当安全控制措施;
– 确保所有软件、固件和数据管理协议符合备忘录中规定的最低标准,特别是访问控制、加密和数据保留或清除;
– 保持全面的合规、豁免和豁免文件,并准备接受联邦当局的监督或审计。
备忘录的要求也延伸至联邦拨款和合作协议的接收者,因此UAS供应链中的所有实体都必须了解并实施新的标准。随着监管环境的不断发展,积极应对这些要求对于保持联邦合同和资金的资格至关重要,同时也支持政策背后的更广泛的国家安全和经济目标。
总之,新框架要求政府合同社区在警惕性、透明度和协作方面有更高的要求。通过优先考虑安全性和合规性,承包商可以确保联邦操作的完整性,为美国UAS行业的韧性做出贡献。
如果您有关于这些新要求如何影响您的组织的UAS采购、拨款合规或合同策略的问题,或者需要关于实施强大信息安全措施的定制指导,请联系本公告的作者。我们的团队经常为政府承包商和拨款接收者提供咨询,帮助他们导航不断变化的联邦采购标准,确保您的业务保持合规并在这一迅速变化的监管环境中保持竞争力。
《2024财年国防授权法案》(Pub. L. No. 118-31,137 Stat. 136)第1829条(标题为“政府范围内的采购政策[无人机系统]”),要求各机构合作制定备忘录中所述的安全协议和保护措施。该法案还包含第1823、1824和1825条,分别规定了“禁止从受控外国实体采购受控无人飞行系统”、“禁止操作来自受控外国实体的受控[无人机系统]”以及“禁止使用联邦资金采购和操作来自受控外国实体的[无人机系统]”。参见《2024财年国防授权法案》第1829条,137 Stat. 696-97。《情报界》定义见《美国法典》第50卷第3003条。《2023财年国防授权法案》(Pub. L. No. 117-263,136 Stat. 2395)第817条(10 U.S.C. § 4871注释)也涉及相关内容。此外,《2020财年国防授权法案》(Pub. L. No. 116-92,133 Stat. 1198)第848条(10 U.S.C. § 2302注释)同样对此有规定。
(以上内容均由Ai生成)
