Stel een koers in voor CMMC Level 2-naleving: inzichten en tips van een CMMC-expert
Op 4 november 2021 heeft het Amerikaanse ministerie van Defensie (DoD) de bijgewerkte versie van zijn Cybersecurity Maturity Model Certification (CMMC) 2.0 onthuld. Deze nieuwe versie bevat een gelaagd systeem van CMMC-certificatieniveaus dat is ontworpen om leveranciers in de Industriële Defensiebasis (DIB) te helpen bij het evalueren en verbeteren van hun beveiligingsstatus. Het doel is ervoor te zorgen dat alle DoD-aannemers geschikte cyberbeveiligingsmaatregelen en -protocollen toepassen om gecontroleerde niet-geclassificeerde informatie (CUI) en federale contractinformatie (FCI) te beschermen.
Het CMMC-certificeringsproces is zwaar, maar ons stappenplan voor CMMC 2.0-naleving kan helpen.
CMMC Level 2 is een cruciale mijlpaal voor defensie-aannemers. Het richt zich op een gemiddeld niveau van cyberhygiëne en dient als een logische stap voor organisaties die willen doorgroeien vanaf Level 1. Naast het beschermen van FCI en CUI, helpt Level 2-naleving organisaties zich beter te wapenen tegen ernstigere cyberdreigingen dan die op Level 1. Waar Level 1 alleen zelfattestatie vereist, vraagt Level 2 om zelfattestatie en certificering door een gecertificeerde derde beoordelingsorganisatie (C3PAO’s).
CMMC 2.0 Level 2-nalevingsvereiste
CMMC Level 2 is een tussenniveau dat bedrijven verplicht om een bepaald aantal beveiligingsmaatregelen te implementeren ter bescherming van CUI. De naleving van CMMC Level 2 wordt beoordeeld op basis van 110 praktijken verdeeld over 14 domeinen die een breed spectrum van cyberbeveiligingsmaatregelen bestrijken.
De eerste set vereiste valt onder het domein Toegangscontrole. Organisaties moeten systeemtoegangsvereiste vaststellen, interne systeemtoegang beheersen, gegevens alleen toegankelijk maken voor geautoriseerde gebruikers en voorkomen dat niet-geprivilegieerde gebruikers mogelijk compromitterende functies uitvoeren.
Vervolgens komt Audit en Verantwoording, waarbij bedrijven auditvereiste moeten definiëren, systeemlogs moeten aanmaken en bewaren, en deze regelmatig moeten beoordelen en bijwerken. Daarnaast moeten er processen zijn om auditinformatie en -tools te beschermen tegen ongeautoriseerde toegang en om tekortkomingen te rapporteren en aan te pakken.
Het domein Configuratiebeheer vereist dat een organisatie beveiligingsconfiguraties instelt en afdwingt voor alle netwerksystemen. Dit betekent het volgen, beheersen en correct beheren van systeemwijzigingen, het voorkomen van ongeautoriseerde software en het beperken van toegang tot configuratiewijzigingstools tot uitsluitend geautoriseerd personeel.
Identificatie en Authenticatie is een ander belangrijk domein. Dit vereist dat organisaties gebruikers van informatiesystemen en processen die namens gebruikers handelen identificeren en hun identiteit verifiëren voordat een sessie wordt gestart – dit kan via multi-factor authentication of het afdwingen van versleutelde sessie-identificaties.
In het domein Incidentrespons moeten organisaties een operationele incidentafhandelingscapaciteit opzetten, incidenten volgen, documenteren en rapporteren aan de juiste organisaties, en incidentrespons en escalatie grondig analyseren.
Onderhoud en Mediabescherming zijn eveneens belangrijke domeinen binnen de CMMC Level 2-vereiste. Regelmatig systeemonderhoud, tijdig herstel van kwetsbaarheden, inspectie van tools, bescherming en sanering van digitale media, toegang tot en markering van media beheersen zijn allemaal essentieel voor naleving.
Andere domeinen zoals Personeelsbeveiliging, Fysieke Bescherming, Risicobeoordeling, Beveiligingsbeoordeling, Systeem- en Communicatiebescherming, Systeem- en Informatiebeschikbaarheid, Herstel, Situationeel Bewustzijn, Asset Management, Cybersecurity Governance en Risicobeheer toeleveringsketen hebben allemaal hun eigen specifieke vereiste. Deze kunnen variëren van het uitvoeren van personeelscreening, fysiek monitoren en beheersen van toegangspunten, het uitvoeren van regelmatige risicobeoordelingen, het ontwikkelen en implementeren van herstel- en continuïteitsplannen tot het beheren van risico’s in de toeleveringsketen.
Er zijn in totaal 14 domeinen binnen het CMMC 2.0-framework. Elk domein heeft specifieke vereiste waaraan defensie-aannemers moeten voldoen om CMMC-naleving aan te tonen. We raden aan elk domein in detail te verkennen, de vereiste te begrijpen en onze beste practices voor naleving te overwegen: Toegangscontrole, Bewustwording en Training, Audit en Verantwoording, Configuratiebeheer, Identificatie & Authenticatie, Incidentrespons, Onderhoud, Mediabescherming, Personeelsbeveiliging, Fysieke Bescherming, Risicobeoordeling, Beveiligingsbeoordeling, Systeem & Communicatiebescherming, en Systeem- en Informatiebeschikbaarheid.
Van organisaties wordt ook verwacht dat ze een plan opstellen en onderhouden dat het beheer van activiteiten voor praktijkimplementatie aantoont. Het plan beschrijft de missie, doelen, projectplannen, middelen, training en belanghebbenden om Level 2-naleving te bereiken.
In totaal vormen de vereiste van CMMC Level 2 een uitgebreid pakket aan cyberbeveiligingspraktijken. Het houdt een balans tussen uitgebreide beveiligingsmaatregelen en praktische haalbaarheid voor organisaties, zodat CUI effectief wordt beschermd zonder grote operationele verstoringen te veroorzaken. Naleving van deze standaarden lijkt misschien complex, maar leidt uiteindelijk tot een grotere volwassenheid op het gebied van cyberbeveiliging, minder kwetsbaarheden en potentiële risico’s.
CMMC 2.0 Level 2-naleving behalen
Het pad naar CMMC 2.0 Level 2-naleving begint met het begrijpen van de specifieke vereiste van dit certificeringsniveau. Vervolgens wordt een gap-analyse uitgevoerd om zwakke plekken in de huidige cyberbeveiligingspraktijken te identificeren die verbetering behoeven. Daarna moeten herstelmaatregelen worden genomen om deze zwakke plekken aan te pakken en de beveiligingsstatus te verbeteren. Idealiter werkt u samen met ervaren cyberbeveiligingsprofessionals die uw organisatie door het proces kunnen begeleiden.
Voorbereiden op CMMC 2.0 Level 2-naleving
Goede voorbereiding is essentieel bij het streven naar CMMC 2.0 Level 2-naleving. Dit omvat het verbeteren van cyberbeveiligingstrainingen voor medewerkers, het versterken van cyberbeveiligingsbeleid en het opzetten van een proactief systeem voor detectie en reactie op cyberdreigingen. Bovendien is het cruciaal om alle processen en praktijken te documenteren als bewijs van naleving.
In een recente Kitecast-aflevering schetst Michael Redman, Senior Associate bij Schellman en CMMC-trainer en -expert, een succesvol stappenplan naar CMMC Level 2-naleving dat DoD-aannemers en onderaannemers kunnen benutten en onthult inzichten en tips die het certificeringsproces kunnen versnellen.
Neemt de Industriële Defensiebasis CMMC Level 2-naleving serieus?
De vraag in hoeverre de Industriële Defensiebasis CMMC Level 2-naleving serieus neemt, is veelzijdig. Het antwoord hangt grotendeels af van het type deelnemer en hun mate van betrokkenheid. Redman geeft aan dat de meeste DIB-deelnemers CMMC 2.0 zeer serieus nemen, maar dat sommigen achterlopen bij het opstellen van een stappenplan voor certificering. Dit creëert potentiële risico’s in de DoD-toeleveringsketen.
Redman merkt op dat grote, middelgrote en kleine bedrijven die als aannemer of onderaannemer voor de DoD werken, allemaal de nodige stappen zetten om CMMC-compliant te worden. Velen zijn zelfs al begonnen voordat CMMC officieel in de wet werd opgenomen. Level 1 vereist alleen zelfattestatie, terwijl Level 2 zelfattestatie plus certificering door een goedgekeurde derde partij vereist.
Voor Level 2 CMMC-certificering benaderen deelnemers in de DoD-toeleveringsketen de regelgeving met uiteenlopende betrokkenheid. Sommigen wachten af om te zien “hoe de wind waait”, terwijl anderen zich laten leiden door het CIO-kantoor van de DoD en het ministerie van Justitie, die CMMC actief promoten.
Helaas zijn sommige deelnemers zich nog onvoldoende bewust van het belang van CMMC-naleving. Deze deelnemers hebben de meeste informatie nodig, omdat ze overspoeld zijn met verschillende en vaak tegenstrijdige meningen en adviezen, waardoor ze verward en ongemotiveerd raken. Voor degenen in de DIB die zich overweldigd voelen, is het belangrijk te onthouden dat CMMC blijft en zal worden vastgelegd in de wet. Daarom is het essentieel om de juiste adviseurs en C3PAO’s te vinden die hen in de juiste richting kunnen begeleiden.
CMMC is een langetermijninvestering die tal van voordelen biedt aan de DIB. Van een hogere ROI tot strengere beveiligingsnormen en betere beoordelingsmogelijkheden: de potentiële voordelen zijn enorm. De uitdaging is om deelnemers het belang van het programma te laten inzien en de nodige stappen te laten nemen, ongeacht de omvang en het type bedrijf, om naleving te waarborgen.
De uitdaging van CMMC Zelfevaluatie
Het DoD vereist de implementatie van CMMC voor zijn leveranciers. Level 1 en Level 2-naleving vereisen dat DoD-leveranciers zelf de volwassenheid van hun cyberbeveiligingspraktijken beoordelen op basis van de controles die voor elk niveau zijn gespecificeerd. Level 2 vereist daarnaast certificering door een derde partij.
Hoewel CMMC-zelfevaluatie uitdagingen met zich meebrengt, kan inzicht hierin leiden tot effectievere nalevingsstrategieën. De eerste uitdaging is het afstemmen van bedrijfszelfevaluaties op de verwachtingen van het DoD. Hoewel 71% van de organisaties denkt te voldoen aan de vereiste van Level 2, blijkt uit een onderzoek van het DoD dat slechts 29% daadwerkelijk compliant is. Dit betekent dat organisaties hun eigen naleving niet nauwkeurig meten en zich daardoor onvoldoende kunnen voorbereiden op hun CMMC-beoordeling.
De tweede uitdaging van CMMC-zelfevaluatie is de taal van de standaarden. Veel van de controles zijn zo geformuleerd dat ze op verschillende manieren kunnen worden geïnterpreteerd. Door deze vage formuleringen kan een CEO denken dat hij compliant is op basis van zijn eigen definitie van “geïmplementeerd”, terwijl er in werkelijkheid veel meer nodig is voor naleving. Dit kan ertoe leiden dat organisaties te zelfverzekerd zijn over hun nalevingsniveau, terwijl ze in werkelijkheid niet compliant zijn, wat leidt tot ondermaatse beoordelingen door het DoD.
Het is essentieel dat organisaties het zelfevaluatieproces serieus nemen en de verwachtingen van het DoD begrijpen om succesvol te zijn in hun CMMC-beoordeling. Organisaties moeten duidelijkheid krijgen over de definities van de nalevingsvereiste en voorbereid zijn om volledige naleving aan te tonen om te slagen voor de DoD-beoordeling. Alleen door een grondig begrip van de vereiste en een nauwkeurige zelfevaluatie kunnen bedrijven de kloof tussen zelfevaluatie en DoD-beoordeling overbruggen.
Inzicht in de gefaseerde implementatie van CMMC 2.0
Het DoD heeft CMMC 2.0 geïmplementeerd en is direct overgestapt op de CMMC Final Rule, die nu van kracht is.
Hoewel de opstartperiode naar verwachting minimaal acht maanden zal duren, moeten organisaties die hun CMMC-certificering nog niet hebben behaald toch voldoen aan de 2.0-naleving. Het DoD kan en zal willekeurige audits uitvoeren om te controleren of deze organisaties voldoen aan de vereiste standaarden. Het is belangrijk dat bedrijven begrijpen dat de federale overheid hier serieus mee omgaat en dat organisaties die niet aan de vereiste voldoen het risico lopen dat hun contracten worden stopgezet.
De rol van C3PAO’s in het CMMC-certificeringsproces
De CMMC is ontworpen om FCI en CUI te beschermen tegen cyberaanvallen. De introductie van de CMMC heeft ook geleid tot de oprichting van CMMC Organisaties van derde beoordelaars (C3PAO’s) onder toezicht van het CMMC Accreditation Body (CMMC-AB).
C3PAO’s zijn verantwoordelijk voor het waarborgen dat DoD-aannemers en onderaannemers voldoen aan de vereiste van de CMMC. C3PAO’s verzorgen onafhankelijke inspecties, beoordelingen en aanbevelingen, waarmee het DoD kan bepalen of een leverancier de benodigde beveiligingsmaatregelen heeft getroffen.
C3PAO’s helpen het DoD te waarborgen dat het informatiesysteem van de aannemer veilig is en dat de aannemer voldoet aan de CMMC-praktijkvereiste. Daarnaast geven C3PAO’s advies aan het DoD over de implementatie van de CMMC en verifiëren ze dat de cyberbeveiligingspraktijken voldoen aan de National Institute of Standards and Technology (NIST) 800-171-standaarden—die weerspiegeld worden in CMMC Level 2.
Houd rekening met de kosten van CMMC 2.0 Level 2-naleving
De kosten voor het behalen van CMMC 2.0 Level 2-naleving kunnen vaak ontmoedigend lijken, vooral voor kleine tot middelgrote bedrijven. Toch moet deze investering niet worden gezien als een onnodige uitgave, maar als een cruciale stap om de gegevensbeveiliging van uw organisatie te waarborgen. Het is belangrijk te onthouden dat de kosten sterk variëren afhankelijk van diverse factoren, waaronder de omvang van uw organisatie, de complexiteit van uw informatiesystemen en de huidige staat van uw cyberbeveiligingsinfrastructuur.
Het eerste grote kostenonderdeel van CMMC 2.0 Level 2-naleving betreft de voorbereiding. Organisaties moeten mogelijk investeren in cyberbeveiligingsbeoordelingen om huidige kwetsbaarheden en gaten in hun systemen te identificeren. Dit proces helpt echter om een duidelijk stappenplan voor noodzakelijke verbeteringen te bieden.
Het tweede aanzienlijke kostenonderdeel betreft het implementeren van de vereiste beveiligingsmaatregelen en oplossingen. Dit omvat de aanschaf, installatie en het onderhoud van de benodigde hardware en software. Ook kan het nodig zijn om cyberbeveiligingspersoneel aan te nemen of diensten uit te besteden aan cyberbeveiligingsbedrijven.
Tot slot is het derde grote kostenonderdeel het certificeringsproces zelf, waarbij een gecertificeerde derde beoordelingsorganisatie (C3PAO) wordt ingehuurd om uw naleving te auditen en te bevestigen.
Opnieuw: de kosten van naleving van CMMC 2.0 Level 2 kunnen sterk verschillen per organisatie, afhankelijk van de specifieke situatie. Het is daarom aan te raden om een grondige kosten-batenanalyse uit te voeren voordat u aan dit nalevingstraject begint. Toch zijn de kosten gerechtvaardigd, gezien de mogelijke negatieve gevolgen van niet-naleving, zoals aanzienlijke boetes of verlies van zakelijke kansen door afnemend vertrouwen van klanten en partners.
Al met al brengt het behalen van CMMC 2.0 Level 2-naleving financiële uitdagingen met zich mee, maar het is een essentiële investering in de toekomstige cyberbeveiliging van uw organisatie. Door uw systemen en gegevens te beschermen tegen potentiële dreigingen, beschermt u op termijn ook de reputatie van uw bedrijf en ondersteunt u de groei op lange termijn.
Wilt u meer weten over de kosten voor CMMC-naleving? Bekijk dan: De werkelijke kosten van CMMC-naleving: waar defensie-aannemers rekening mee moeten houden
Kiteworks versnelt CMMC 2.0 Level 2-naleving
Kiteworks’ Private Data Network is ontworpen om CMMC 2.0 Level 2-naleving te stroomlijnen door ongeveer 90% van de vereiste praktijken te ondersteunen, waarmee het zich onderscheidt als leider in communicatie van gevoelige content. Een van de redenen voor de leidende positie van Kiteworks op het gebied van CMMC is het feit dat het Private Data Network FedRAMP Authorized is op Matig Impactniveau, al meerdere jaren op rij. Daarnaast voldoet het aan andere industriestandaarden zoals FIPS 140-2, ISO 27001, 27017, 27018, SOC 2 en meer.
En met een hardened virtual appliance rondom het Kiteworks Private Content Network blijven bestand- en e-mailcommunicatie voor publieke en private organisaties—zowel intern als naar derden—privé en vertrouwelijk.
Wilt u weten hoe Kiteworks uw organisatie kan helpen om CMMC-naleving te versnellen? Plan dan vandaag nog een aangepaste demo in.