联邦政府发布无人机采购新指南,强化信息安全要求
快速阅读: 2025年11月21日,OMB发布备忘录,确立联邦机构采购和使用安全UAS的要求,旨在落实《美国安全无人机法案》,确保信息安全,支持国内技术发展。
2025年11月21日,管理和预算办公室(OMB)发布了一项备忘录,确立了联邦机构及其资金接受者采购和使用安全无人驾驶航空系统(UAS)的全面要求。该指导方针旨在落实《美国安全无人机法案》(ASDA或法案)的要求,并建立了政府范围内的UAS采购和使用框架。除了确保符合ASDA外,OMB的目标还包括抵消购买外国制造无人机的影响,以及加强联邦运营的完整性和安全性。
对于政府承包商和受资助方而言,新框架标志着战略转变。遵守这些标准现在是参与联邦UAS采购和资助的必要条件,同时也支持更广泛的国家安全和经济目标。各机构及其合作伙伴必须将这些要求整合到UAS生命周期的每一个阶段,从市场调研和采购计划到操作使用和数据管理,以确保联邦信息的安全,并维护美国的技术领先地位。以下为Holland & Knight对该备忘录关键方面的解析。
背景与立法框架
该备忘录基于《美国安全无人机法案》(ASDA),公共法律第118-31号(2023年),该法案指示OMB与美国国土安全部、交通部和司法部协调,制定政府范围内的UAS采购政策,并咨询国家标准与技术研究所(NIST)。ASDA的出台是对使用不安全、外国制造的无人机进行联邦操作所引发的日益增长担忧的回应。此类系统存在重大风险,包括未经授权访问敏感数据、隐蔽监控能力和不可控飞行行为。除了网络安全问题,该法案还涉及更广泛的战略和经济风险,如削弱美国无人机产业、侵蚀技术主权和暴露联邦操作于供应链中断。
备忘录通过提供详细的框架来履行法定要求,帮助各机构评估和减轻整个UAS采购生命周期中的信息安全风险。它补充了现有的采购法律和规定,包括《联邦采购条例》(FAR)第40.2子部分,该部分禁止采购和操作由某些外国实体制造或组装的UAS。该政策还结合了NIST的意见,并与OMB通函A-130相一致,后者管理联邦信息管理。
政策范围
该备忘录适用于所有联邦机构采购用于非战争部(DOW)和非情报界操作的UAS,以及向非联邦实体发放涉及处理、存储或传输联邦信息的UAS采购的补助金和合作协议的机构。涵盖的活动包括直接机构采购和联邦资助机制,如可能用于处理联邦数据的UAS的补助金和合作协议。该政策旨在确保在采购过程的每个阶段都整合安全要求,并且机构和资助接收者都遵循强有力的信息保护标准。这一广泛的范围反映了政府减少对敌对技术依赖和支持安全、国内生产的UAS解决方案的决心。
机构采购要求
当联邦机构采购UAS时,需遵守一套全面的程序和技术要求,以确保操作效率和强大的信息安全。自备忘录发布之日起180天内,各机构必须将UAS视为既是航空器也是信息技术(IT)系统,无论其制造或组装国,均需整合备忘录中概述的信息安全风险管理程序。
具体而言,根据备忘录,不属于战争部或情报界的联邦机构必须建立一个流程,在UAS采购的整个生命周期中解决安全风险。备忘录描述了采购过程中的以下关键步骤:
市场研究。
各机构首先需要收集满足其需求的产品能力信息,并评估哪些选项符合备忘录的安全要求,包括访问控制(如多因素认证)、软件和固件更新,以及基于敏感度和保密级别的强大数据保护措施。
采购计划和招标开发。
各机构需制定详细要求,以便供应商提交提案时能进行全面的影响评估,依据联邦信息处理标准(FIPS)199。这包括识别并记录可能存储在、处理或传输至无人机系统(UAS)的信息类型。在此阶段,机构还需考虑是否需要将合同授予特定国内来源以确保合规,即使这意味着采用非竞争性采购程序。
合同授予方面,各机构必须根据框架中描述的必要安全能力评估供应商,包括访问控制要求(如多因素认证)、软件和固件更新及针对信息敏感性和保密性的数据保护措施。
合同履行过程中,交付后,各机构必须遵循既定政策,使用功能系统在整个UAS生命周期内实施风险缓解措施。
备忘录确立了所有由联邦机构采购或通过联邦拨款和合作协议资助的UAS必须满足的最低安全能力标准。这些标准旨在保护联邦信息,包括隐私数据和其他受控未分类信息,防止未经授权的访问、使用、披露、中断、修改或破坏。
在采购前,各机构必须根据FIPS 199或后续出版物进行影响评估。此评估由信息安全和运营人员共同完成,确定UAS将存储、处理或传输的信息类型,例如位置数据、音频和视频,并评估保密性、完整性和可用性丧失的潜在影响。评估结果指导选择适当的安全类别和系统影响级别。
完成每个通过合同、拨款或合作协议采购的UAS所需的影响评估后,各机构必须确保UAS的采购和使用符合访问控制要求、软件和固件更新要求及数据保护措施。对于访问控制,各机构应根据国家标准与技术研究院(NIST)特别出版物800-63的规定,对远程访问UAS地面控制站实施适当的认证措施。
当系统的总体可用性影响水平为中等或高时,管理和预算办公室(OMB)进一步建议各机构考虑在NIST SP 1800-5描述的IT资产框架下管理UAS项目。
关于软件和固件更新,各机构的政策必须确保更新仅来自UAS制造商或授权官员确定的可信第三方。此外,用于安装和下载软件或固件的技术必须与机构信息系统隔离。当系统的总体完整性影响水平为中等或高时,操作员在任务操作前必须进行文件完整性检查并测试更新。
数据保护要求包括加密与任务相关的静止数据和数据收集或传输期间的数据。各机构还应确保除非法律或法规要求,否则保留不下载、上传或传输UAS数据的能力。这些措施共同支持涉及UAS的联邦操作的完整性和安全性,符合OMB备忘录的目标。
对于UAS收集、存储或处理的敏感或机密数据,适用以下协议:
各机构应确保数据使用经批准和验证的加密算法或模块进行加密保护。
各机构应考虑采购具有远程安全功能的UAS,例如操作员而非制造商能够远程擦除或锁定UAS。
每次任务完成后,操作员应移除UAS收集的所有具有中等或高保密等级的联邦信息。
当系统的总体保密性影响水平为高时,各机构应采取技术控制措施,防止数据存储和传输至未经批准的系统。
备忘录提供了特定途径,供各机构在特定情况下寻求豁免或免除规定的UAS采购安全要求。豁免可从《美国国家安全法》第1829条获得,而豁免或免除可从该法第1823、1824和1825条获得。
如果机构负责人以书面形式确定遵守备忘录中的安全要求将妨碍该机构获得能够满足关键任务性能要求的无人驾驶航空系统(UAS),则可授予豁免。豁免仅在机构负责人记录了决定的事实和逻辑依据,包括日期、涵盖产品(数量和价值)的描述以及豁免期限(不超过生效之日起三年)的情况下有效。此授权只能委托给副部长或同等职位人员,不得向下级官员委派。所有豁免文件必须可供OMB请求时查阅,并纳入相关系统安全计划和合同文件中。
《1823、1824和1825节》下的豁免与豁免权
《美国供应链安全法案》(ASDA)禁止使用联邦资金采购或运营由某些外国实体制造或组装的UAS。然而,在特定情况下,特定机构可以获得豁免,且经OMB主任批准后,机构负责人可根据具体情况授予豁免权,前提是与联邦采购安全委员会协商。机构必须准备文件,标识适用的豁免或豁免权,并在OMB请求时提供。对于豁免权,机构还须在获得OMB批准并行使豁免权之前通知相关国会委员会。
这些程序确保豁免和豁免权受到严格控制、详细记录并接受监督,从而在任务需求与信息安全的必要性之间取得平衡。
通过赠款和合作协议进行采购
机构发放用于UAS采购的赠款或合作协议时,必须实施附加要求,以确保非联邦接收方的安全合规。
在通知中包含安全要求:
资金机会通知(NOFO)必须纳入备忘录中的信息安全要求。申请人需在其提案中解决这些要求,并描述其风险导向的方法,以便在后续采购招标中应用。
风险评估与提案评估:
机构必须进行风险评估,并评估接收方的提案对NOFO中概述的安全要求的响应情况,确保只有符合要求的项目才能获得资金。
授予条款与条件:
具体的安保要求必须纳入赠款和合作协议的条款和条件中,要求接收方将其纳入自身的UAS采购流程。
持续监控:
机构必须监控联邦拨款,确保接收方在整个拨款期间遵守信息安全要求。
此外,自2025年12月22日起,除非有特定机构和任务类型的有限豁免和豁免权规定,否则联邦资金不得用于采购或运营被ASDA禁止的UAS。
合规与监控要求
持续的合规与监控是备忘录框架的核心,确保机构和接收方在整个UAS生命周期中保持强大的安全态势。
机构负责在UAS使用期间及之后实施适当的安全措施,这与评估的风险和相关法律政策一致。这包括实施技术控制、维持访问控制政策以及确保所有安全要求得到满足并记录在案。机构还必须定期进行监督,包括审计和审查,以验证内部人员和外部资金接收方对安全标准的遵守情况。
联邦资金的接收方受发放机构的合规监控,可能包括报告义务、审计和纠正措施要求。必须保留并按要求向OMB和其他监督机构提供合规、豁免和豁免权的文档。
此外,与联邦政府有业务往来的制造商和运营商应关注机构对OMB备忘录指示的合规计划,该指示要求机构最迟于2026年5月20日前更新政策并确保合规。这些指示进一步要求机构在采购、使用甚至使用后整个信息生命周期内进行基于风险的分析,并采取与风险水平相适应的风险缓解措施,具体定义见OMB通函A-130。
这些要求是对现有联邦法规下的合规义务和要求的补充,包括但不限于FAR第40.2分章,该分章禁止采购和运营某些外国实体制造或组装的无人机系统(UAS)。最后,OMB指令通常不适用于国防部或情报界。
附加考虑事项
尽管OMB备忘录M-26-02为非国防部机构遵守《美国安全无人机法案》提供了必要细节,寻求与联邦政府合作的供应商还应关注有关国防部采购的一般更新。例如,美国陆军于2025年11月24日发布了第二次来源需求通知(SSN),以加快满足连级指挥需求的小型无人机系统的采购。SSN中最值得注意的更新是无人机市场战略,陆军将通过这一战略识别并引入经过审查的解决方案到其无人机市场店面。通过采用市场策略,陆军旨在简化采购流程,利用尖端能力维持在无人机操作领域的领导地位。陆军表示,它与商业工业基础及其无人机项目管理办公室密切合作,根据士兵使用无人机的反馈调整能力和概念。
此外,国防部继续通过国防创新单位运行其无人机数据库中心,提供经国防部审查符合《美国安全无人机法案》的无人机清单,即“蓝色无人机”。向“蓝色无人机”清单添加无人机的计划,是国防部快速原型化和扩展商用无人机技术以供国防部使用的方法。“蓝色无人机”模式可能会随着每个新的适用于国防部使用的无人机的法定条款而持续更新。
结论与要点
OMB备忘录标志着联邦无人机采购的重大演变,突显了政府保护敏感信息和支持国内技术能力的决心。合规不仅是监管义务,也是战略要务——未能遵守这些要求可能导致运营、法律和声誉风险。政府承包商的关键义务包括:
– 在无人机采购和运营的所有阶段整合强有力的信息安全要求,包括市场研究、招标、合同履行和交付后监控;
– 进行并记录影响评估,以确定每次无人机采购所需的适当安全控制措施;
– 确保所有软件、固件和数据管理协议达到备忘录中规定的最低标准,特别是访问控制、加密和数据保留或清除;
– 维护全面的合规、豁免和豁免文件,并准备接受联邦当局的监督或审计。
备忘录的要求也适用于联邦拨款和合作协议的接收者,因此整个无人机供应链中的所有实体都必须了解并实施新标准。随着监管环境的不断变化,积极应对这些要求对于保持联邦合同和资金的资格至关重要,同时也支持政策背后的更广泛的国家安全和经济目标。
总之,新的框架要求政府合同社区提高警惕、透明度和协作。通过优先考虑安全和合规,承包商可以帮助确保联邦运营的完整性,促进美国无人机行业的韧性。如果您有关于这些新要求如何影响您的组织的无人机采购、拨款合规或合同策略的问题,或者需要关于实施强大信息安全措施的定制指导,请联系本文作者。我们的团队经常为政府承包商和拨款接收者提供导航不断变化的联邦采购标准的建议,可帮助确保您的业务在快速变化的监管环境中保持合规和竞争力。
《2024财年国防授权法》(Pub. L. No. 118-31,137 Stat. 136,691-99,2023年)第1821至1832条(41 U.S.C. § 3901注),通常被称为《美国安全无人机法案》,要求各机构合作制定备忘录中描述的安全协议和保护措施。该法案还规定了从受关注的外国实体采购、运营及使用联邦资金购买和操作覆盖的无人驾驶航空系统(UAS)的相关禁令。此外,《情报界》在《美国法典》第50编第3003节中有定义。《2023财年国防授权法》(Pub. L. No. 117-263,136 Stat. 2395,2707,2022年)第817条也有相关规定。《2020财年国防授权法》(Pub. L. No. 116-92,133 Stat. 1198,1508,2019年)第848条也涉及相关内容。
(以上内容均由Ai生成)
