Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Test 2 – Was luxemburgische Gesundheitsorganisationen über grenzüberschreitende geschützte Gesundheitsinformationen wissen müssen

Test 2 – Was luxemburgische Gesundheitsorganisationen über grenzüberschreitende geschützte Gesundheitsinformationen wissen müssen

von Bob Ertl updated April 29, 2026 CMMC Compliance
Lesezeit: 12 Minuten

Angesichts der Komplexität des Cybersecurity Maturity Model Certification (CMMC)-Rahmenwerks ist es für Regierungsauftragnehmer und deren Unterauftragnehmer unerlässlich, eine umfassende CMMC-Compliance-Checkliste zu haben, um sicherzustellen, dass sie alle Anforderungen erfüllen.

Der CMMC-Zertifizierungsprozess ist anspruchsvoll, aber unser CMMC-2.0-Compliance-Fahrplan kann Sie unterstützen.

Dieser Blogbeitrag beleuchtet die CMMC-Compliance-Anforderungen für das CMMC-2.0-Rahmenwerk, stellt eine umfassende CMMC-Compliance-Checkliste bereit und bietet Auftragnehmern des US-Verteidigungsministeriums (DoD) praxisnahe Einblicke, wie sie CMMC-Compliance erreichen können.

Was ist CMMC-Compliance?

CMMC ist ein Cybersecurity-Rahmenwerk, das die Hersteller reguliert, die als Auftragnehmer im Defense Industrial Base (DIB) tätig sind – einer umfangreichen Liste von DoD-Lieferkettenpartnern. Jeder Auftragnehmer oder Unterauftragnehmer, der kontrollierte, nicht klassifizierte Informationen (CUI) oder Bundesvertragsinformationen (FCI) verarbeitet, versendet, teilt oder empfängt, muss die CMMC-Compliance nachweisen.

Ziel des CMMC-Rahmenwerks ist es, unterschiedliche Anforderungen und Standards sowie verschiedene Modelle für Selbstbewertungen und Bestätigungen zu vereinheitlichen und daraus zuverlässige, strenge und robuste Sicherheitspraktiken zu machen, an denen sich jedes Unternehmen orientieren kann.

Die Komponenten von CMMC, die es von anderen bundesstaatlichen Vorgaben wie den International Traffic in Arms Regulations (ITAR), dem Federal Information Security Management Act (FISMA) oder dem Federal Risk and Authorization Management Program (FedRAMP) abheben, sind:

  • Controlled Unclassified Information (CUI) und Federal Contract Information (FCI): CMMC umfasst explizit die Speicherung, Verarbeitung, Übertragung und Vernichtung von CUI. CUI ist eine besondere Datenform, die nicht als geheim eingestuft ist, aber besonderen Schutz erfordert, um die nationale Sicherheit zu wahren. Beispiele für CUI sind finanzielle Informationen im Zusammenhang mit Regierungsverträgen, personenbezogene Daten oder geschützte Gesundheitsinformationen (PII/PHI) von Regierungsmitarbeitern oder sensible technische Daten zu Verteidigungssystemen.

    FCI ist eine weitere, weniger sensible Informationsart, die sich auf Vertragsbeziehungen zwischen Auftragnehmern und Behörden bezieht. CMMC ist darauf ausgelegt, beide Fälle abzudecken.

  • NIST-Standards: CMMC orientiert sich wie andere bundesstaatliche Cybersecurity-Rahmenwerke an Standards des National Institute of Standards and Technology (NIST). Insbesondere stützt sich CMMC auf NIST 800-171 „Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations“.

    Darüber hinaus greift Level 3 der CMMC-Compliance auf NIST SP 800-172 zurück: „Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171″.

  • Maturity Levels: Um Auftragnehmern und Behörden im Verteidigungsbereich eine Orientierung zu geben, teilt CMMC die Compliance in drei Reifegrade ein, basierend auf der Umsetzung der NIST SP 800-171 (und ggf. SP 800-172) Controls durch den Auftragnehmer.
  • Drittanbieter-Bewertungen: Wie bei FedRAMP setzt CMMC auf Bewertungen durch unabhängige Dritte, die von Certified Third Party Assessor Organizations (C3PAOs) wie den hier gelisteten durchgeführt werden.

Wichtige Erkenntnisse

  1. Vereinfachte Reifegrade

    Das CMMC-2.0-Rahmenwerk umfasst nur drei Reifegrade: Foundational (Level 1), Advanced (Level 2) und Expert (Level 3). Diese Reduzierung soll die Struktur der Anforderungen für Auftragnehmer und Unterauftragnehmer vereinfachen.

  2. Ausrichtung an NIST-Standards

    CMMC 2.0 legt einen stärkeren Fokus auf die Ausrichtung an bestehenden NIST-Standards. Insbesondere entspricht Level 2 NIST SP 800-171, während Level 3 Elemente von NIST SP 800-172 enthält, um die Konsistenz mit etablierten Cybersecurity-Rahmenwerken zu stärken.

  3. Selbstbewertungen und Drittanbieter-Bewertungen

    Auftragnehmer, die Federal Contract Information (FCI) auf Level 1 verarbeiten, können jährliche Selbstbewertungen durchführen und benötigen keine Drittzertifizierung. Für Level 2 ist je nach Art der verarbeiteten Controlled Unclassified Information (CUI) eine Mischung aus Selbstbewertungen und Drittanbieter-Bewertungen erforderlich.

  4. Compliance-Checkliste

    Gewünschten Reifegrad bestimmen, Selbstbewertung durchführen, bestehende Rahmenwerke nutzen, POA&M und SSP erstellen, C3PAO auswählen sowie Zeitplan und Budget festlegen.

Wann ist CMMC-Compliance erforderlich?

Das erwartete Inkrafttreten von CMMC 2.0 ist der 16. Dezember 2024, genau 60 Tage nach Veröffentlichung.

Die Verpflichtung zur CMMC-Compliance hängt vom stufenweisen Einführungsplan des US-Verteidigungsministeriums ab, der nach Veröffentlichung der endgültigen Regel in Kraft trat und Auswirkungen auf die Anforderungen in 32 CFR sowie die vorgeschlagene CMMC-Regel in 48 CFR hat. Während die CFR-CMMC-Regel die rechtliche Grundlage des Programms geschaffen hat, erfolgt die tatsächliche Aufnahme der CMMC-Anforderungen in Verträge schrittweise über mehrere Jahre.

Das DoD integriert CMMC-Klauseln in Anfragen nach Informationen (RFIs) und Ausschreibungen (RFPs) entsprechend der Priorität des Programms und der Sensibilität der betroffenen Informationen. Auftragnehmer müssen neue Ausschreibungen aufmerksam verfolgen, um zu erkennen, wann bestimmte CMMC-Level für die Angebotsabgabe verpflichtend werden.

Für Level 1 sind jährliche Selbstbewertungen nach Vertragserteilung erforderlich.

Für Level 2 mit kritischer CUI ist vor Vertragserteilung eine dreijährliche Drittanbieter-Bewertung durch einen C3PAO notwendig, während andere Level-2-Verträge jährliche Selbstbewertungen zulassen können.

Level 3 erfordert dreijährliche, von der Regierung durchgeführte Bewertungen. Bestehende Verträge erfordern in der Regel nicht automatisch CMMC-Compliance, es sei denn, sie werden geändert. Doch alle neuen DoD-Verträge, die FCI oder CUI betreffen, werden diese Anforderungen im Zuge der stufenweisen Einführung enthalten.

Angesichts des Vorbereitungsaufwands für Bewertungen, insbesondere für Drittanbieter-Zertifizierungen, sollten Unternehmen ihre CMMC-Compliance frühzeitig angehen, bevor sie mit entsprechenden Vertragsbedingungen rechnen.

Sie möchten eine erfolgreiche C3PAO-Bewertung sicherstellen? Lesen Sie unseren CMMC-Level-2-Assessment-Guide.

Wer benötigt eine CMMC-Zertifizierung?

Die CMMC-Zertifizierung ist im Grunde unumgänglich, wenn Sie Produkte oder Dienstleistungen für das DoD bereitstellen. Die folgenden Organisationstypen müssen CMMC-Compliance nachweisen und eine CMMC-Zertifizierung erreichen – unabhängig davon, ob Level 1, 2 oder 3:

  • Alle DoD-Auftragnehmer und Unterauftragnehmer: Jede Organisation, unabhängig von der Größe, die Federal Contract Information (FCI) oder Controlled Unclassified Information (CUI) im Rahmen eines DoD-Vertrags verarbeitet, muss das erforderliche CMMC-Compliance-Level erreichen. Dies gilt für die gesamte Lieferkette des Defense Industrial Base (DIB).
  • Hauptauftragnehmer: Unternehmen, die direkt mit dem DoD Verträge abschließen, sind für ihre eigene Compliance und für die Überprüfung der Compliance ihrer Unterauftragnehmer verantwortlich.
  • Unterauftragnehmer (alle Ebenen): Firmen, die für Hauptauftragnehmer oder andere Unterauftragnehmer arbeiten, müssen die ihnen übertragenen CMMC-Anforderungen erfüllen – abhängig von der Art der verarbeiteten Informationen (FCI oder CUI). Verarbeitet ein Unterauftragnehmer CUI im Rahmen eines Vertrags, der CMMC Level 2 erfordert, muss auch dieser Unterauftragnehmer Level 2-Compliance oder -Zertifizierung erreichen.
  • Lieferanten und Anbieter: Auch Organisationen, die kommerzielle Standardprodukte (COTS) liefern, benötigen möglicherweise CMMC Level 1, wenn sie während des Vertragsprozesses FCI verarbeiten. Bei Verarbeitung von CUI gelten höhere Levels.
    Beispiele für Unternehmenstypen: Dazu zählen Hersteller, Ingenieurbüros, Softwareentwickler, IT-Dienstleister, Forschungseinrichtungen, Berater, Logistikunternehmen und alle weiteren Unternehmen, die in der DoD-Lieferkette mit sensiblen Vertragsinformationen umgehen.
  • Unterschiedliche Anforderungen: Das erforderliche CMMC-Level (Level 1, 2 oder 3) hängt direkt von der Art und Sensibilität der verarbeiteten Informationen ab. Level 1 fokussiert auf den Schutz von FCI (erfordert grundlegende Cyberhygiene und Selbstbewertung). Level 2 und 3 konzentrieren sich auf den Schutz von CUI und verlangen zunehmend strengere Sicherheitspraktiken gemäß NIST SP 800-171 bzw. NIST SP 800-172 – häufig mit Drittanbieter- oder Regierungsbewertungen für die CMMC-Zertifizierung.

Verstehen Sie den Unterschied zwischen CMMC-Zertifizierung und CMMC-Compliance.

CMMC-2.0-Anforderungen

Der Übergang von CMMC 1.0 zu CMMC 2.0 spiegelt eine Verschlankung und Verfeinerung des Rahmenwerks und der CMMC-Anforderungen wider, um die CMMC-Compliance für Auftragnehmer im Defense Industrial Base (DIB) effizienter und praxisnäher zu gestalten. Zu den Änderungen der CMMC-Anforderungen zählen:

1. Weniger CMMC-Reifegrade

CMMC 1.0 umfasste fünf Level – von grundlegender Cyberhygiene (Level 1) bis zu fortgeschritten/progressiv (Level 5). Im Gegensatz dazu verlangt CMMC 2.0 von Auftragnehmern, eines von nur drei Reifegraden zu erfüllen: Level 1 (Foundational), Level 2 (Advanced) und Level 3 (Expert).

2. Ausrichtung an NIST-Standards

CMMC 2.0 legt größeren Wert auf die Ausrichtung der Zertifizierungsanforderungen an bestehende NIST-Standards (NIST SP 800-171 für Level 2 und NIST SP 800-172 für Level 3). Diese Ausrichtung soll die Komplexität reduzieren und die Konsistenz mit bewährten Rahmenwerken erhöhen.

3. Selbstbewertungen

Unter CMMC 2.0 müssen Unternehmen, die Federal Contract Information (FCI) auf Level 1 verarbeiten, lediglich jährliche Selbstbewertungen durchführen – eine Drittanbieter-Zertifizierung durch eine Certified Third-Party Assessor Organization (C3PAO) ist nicht erforderlich. Hinweis: Für CMMC-Level-2-Compliance ist je nach Art der verarbeiteten Informationen eine Mischung aus Selbstbewertungen und Drittanbieter-Bewertungen erforderlich.

4. Wegfall bestimmter Praktiken und Prozesse

Im CMMC-2.0-Rahmenwerk entfallen die Reifeprozesse, die Teil der Level in CMMC 1.0 waren. Stattdessen liegt der Fokus ausschließlich auf Cybersecurity-Praktiken, was die CMMC-Anforderungen vereinfacht.

Insgesamt steht der Übergang von CMMC 1.0 zu CMMC 2.0 für einen schlankeren und besser abgestimmten Ansatz bei Cybersecurity-Anforderungen für Auftragnehmer im Verteidigungsbereich.

Trotz der Reduzierung und Vereinfachung der Level ist die Einhaltung dieser Anforderungen von größter Bedeutung. Die CMMC-Compliance ist nicht nur entscheidend, um bestehende Verträge zu halten und neue mit dem DoD zu gewinnen, sondern auch, um sensible Informationen zu schützen und die Integrität sowie Vertrauenswürdigkeit der Lieferkette im Verteidigungsbereich zu sichern.

CMMC 1.0 vs. CMMC 2.0: Die wichtigsten Unterschiede

CMMC 2.0 stellt eine bedeutende Weiterentwicklung des ursprünglichen CMMC-1.0-Rahmenwerks dar. Ziel ist es, Anforderungen zu vereinfachen, Kosten zu senken und die Ausrichtung an bestehenden Standards zu verbessern. Das Verständnis dieser Unterschiede ist entscheidend für eine effektive CMMC-Compliance-Planung. Die wichtigsten Unterschiede sind:

  • Reifegrade: CMMC 1.0 hatte fünf Reifegrade. CMMC 2.0 reduziert dies auf drei Level: Level 1 (Foundational), Level 2 (Advanced) und Level 3 (Expert). Diese Vereinfachung konzentriert sich auf zentrale Cybersecurity-Standards.
  • Ausrichtung an NIST-Standards: CMMC 1.0 enthielt eigene CMMC-Praktiken und Reifeprozesse zusätzlich zu NIST-Standards. CMMC 2.0 richtet Level 1 an den grundlegenden Anforderungen von FAR 52.204-21 aus, Level 2 direkt an allen 110 Controls aus NIST SP 800-171 und Level 3 an NIST SP 800-171 plus einem Teil der Controls aus NIST SP 800-172. Damit entfallen CMMC-spezifische Controls und es werden etablierte Cybersecurity-Rahmenwerke genutzt.
  • Bewertungsanforderungen: CMMC 1.0 verlangte Drittanbieter-Bewertungen für Level 3–5. CMMC 2.0 ändert dies grundlegend: Level 1 erfordert jährliche Selbstbewertungen. Level 2 verlangt dreijährliche Drittanbieter-Bewertungen durch C3PAOs für Verträge mit kritischer CUI, erlaubt aber für einige Level-2-Verträge (abhängig von der Informationssensibilität) jährliche Selbstbewertungen. Level 3 erfordert dreijährliche, von der Regierung durchgeführte Bewertungen (durch DIBCAC).
  • Plans of Action & Milestones (POA&Ms): CMMC 1.0 verlangte vollständige Compliance mit allen Praktiken zum Zeitpunkt der Bewertung. CMMC 2.0 erlaubt den begrenzten Einsatz von POA&Ms für bestimmte Anforderungen unter strengen Bedingungen (z. B. müssen sie innerhalb von 180 Tagen geschlossen werden, dürfen nicht für die wichtigsten Anforderungen gelten, Mindestbewertungspunktzahl erforderlich). Dies bietet etwas Flexibilität, hebt aber die Notwendigkeit robuster CMMC-Compliance nicht auf.
  • Kostenaspekte: Durch die Reduzierung der Level, den Wegfall CMMC-eigener Anforderungen und die Möglichkeit von Selbstbewertungen für Level 1 und bestimmte Level-2-Szenarien soll CMMC 2.0 insbesondere für kleine Unternehmen den Compliance-Aufwand und die Kosten senken.
  • Änderungen beim Zeitplan: Die Einführung von CMMC 2.0 erfolgt schrittweise über mehrere Jahre und wird nach und nach in DoD-Verträge integriert – im Gegensatz zum potenziell schnelleren Ansatz bei CMMC 1.0.
  • Auswirkungen auf die Compliance-Strategie: Unternehmen, die mit der Vorbereitung auf CMMC 1.0 begonnen haben, sollten ihr Ziellevel im Rahmen von CMMC 2.0 neu bewerten. Investitionen in die Erfüllung der NIST SP 800-171-Anforderungen bleiben für CMMC 2.0 Level 2 hochrelevant. Der Fokus sollte darauf liegen, verbleibende Lücken zu NIST-Standards zu schließen, den System Security Plan (SSP) zu erstellen und den passenden Bewertungsweg (Selbstbewertung oder C3PAO) zu bestimmen.

Wann werden CMMC-2.0-Anforderungen in Verträgen verpflichtend?

Die Aufnahme von CMMC-2.0-Anforderungen in Verträge des US-Verteidigungsministeriums (DoD) erfolgt im Rahmen eines strukturierten, stufenweisen Einführungsplans, der nach Inkrafttreten der endgültigen CMMC-Programmregel (verankert in Title 32 CFR) und der entsprechenden Beschaffungsregel (mit Auswirkungen auf DFARS in Title 48 CFR) begann.

Während die genauen Termine von der Finalisierung und dem Inkrafttreten dieser Regeln abhängen (voraussichtlich Anfang 2025), hat das DoD eine mehrjährige Einführungsstrategie festgelegt. Das bedeutet, dass CMMC-2.0-Anforderungen nicht gleichzeitig in allen Verträgen erscheinen. Stattdessen werden CMMC-Klauseln schrittweise in neue Ausschreibungen (RFIs, RFPs) aufgenommen – abhängig von der strategischen Bedeutung des Vertrags und der Sensibilität der betroffenen Informationen (FCI oder CUI). Der Rollout beginnt mit einer kleineren Anzahl von Verträgen und wird im Laufe der Zeit auf alle relevanten DoD-Verträge ausgeweitet.

In der Übergangszeit, bevor CMMC-Anforderungen in einem bestimmten Vertrag erscheinen, müssen Auftragnehmer, die CUI verarbeiten, weiterhin die bestehenden Anforderungen der DFARS-Klausel 252.204-7012 erfüllen. Diese verpflichten zur Umsetzung von NIST SP 800-171 und zur Meldung der Bewertungsergebnisse im Supplier Performance Risk System (SPRS).

Es gibt keine breit angelegten Pilotprogramme für CMMC 2.0 wie ursprünglich bei 1.0, aber Auftragnehmer sollten jeden Vertrag mit CMMC-Klausel als compliance-pflichtig zum Zeitpunkt der Vergabe (oder wie angegeben) betrachten.

Wesentlich ist: Die Erreichung der CMMC-Compliance, insbesondere für Level 2 und 3 mit Bewertungen, erfordert erheblichen Zeit- und Ressourcenaufwand. Auftragnehmer sollten sich proaktiv vorbereiten, indem sie ihre Position gegenüber den relevanten CMMC-2.0-Anforderungen (NIST SP 800-171/172) bewerten, ihren System Security Plan (SSP) entwickeln und die notwendigen Bewertungen planen – und nicht erst warten, bis die Anforderungen in einer Ausschreibung auftauchen.

CMMC-Anforderungen nach Reifegrad

Für Auftragnehmer im Verteidigungsbereich ist es entscheidend, die spezifischen Anforderungen jedes CMMC-Reifegrads zu kennen, bevor sie den CMMC-Compliance- und Zertifizierungsprozess starten (einschließlich des Unterschieds zwischen CMMC-Zertifizierung und CMMC-Compliance). Jeder der drei Reifegrade im CMMC-2.0-Rahmenwerk – Foundational, Advanced und Expert – bringt eigene Praktiken und Prozesse mit, die darauf ausgelegt sind, die Cybersecurity-Reife eines Auftragnehmers parallel zur Sensibilität der verarbeiteten Informationen zu steigern. Die wichtigsten Anforderungen für jeden CMMC-2.0-Reifegrad sind:

CMMC 2.0 Level 1 Anforderungen: Grundlegende Cybersecurity

CMMC Level 1 konzentriert sich auf grundlegende Cybersecurity-Praktiken für Organisationen, die Bundesvertragsinformationen (FCI) verarbeiten. Dieses Level ist für Unternehmen gedacht, die grundlegende Cyberhygiene nachweisen wollen. Die wichtigsten Anforderungen sind:

  1. Grundlegende Schutzmaßnahmen: Organisationen müssen 17 Praktiken umsetzen, die sich an der Federal Acquisition Regulation (FAR) 52.204-21 orientieren und grundlegende Anforderungen zum Schutz von FCI enthalten.
  2. Zugriffskontrolle: Zugriff auf Informationssysteme auf autorisierte Anwender und Geräte beschränken.
  3. Bewusstseinsbildung und Schulung: Mitarbeitende in Sicherheitsbewusstsein schulen.
  4. Konfigurationsmanagement: Basiskonfigurationen für Informationssysteme festlegen und pflegen.
  5. Identifikation und Authentifizierung: Anwender, Prozesse und Geräte identifizieren und deren Identität vor Zugriff prüfen.
  6. Medien-Schutz: Informationssystem-Medien während und nach der Nutzung schützen.
  7. Physischer Schutz: Physischen Zugang zu Informationssystemen und deren Komponenten beschränken.
  8. Risikobewertung: Risiken für die Organisation regelmäßig bewerten und überprüfen.
  9. Sicherheitsbewertung: Regelmäßige Sicherheitsbewertungen durchführen, um die Einhaltung der Sicherheitsanforderungen sicherzustellen.
  10. System- und Kommunikationsschutz: Kommunikation an externen Schnittstellen und wichtigen internen Punkten überwachen, steuern und schützen.
  11. System- und Informationsintegrität: Schwachstellen in Informationen und Informationssystemen zeitnah erkennen, melden und beheben.

Insgesamt verlangt CMMC 2.0 Level 1 grundlegende Cybersecurity-Praktiken, die den meisten Organisationen vertraut sein sollten und einen essenziellen Schutz für den Umgang mit FCI bieten.

CMMC 2.0 Level 2 Anforderungen: Fortgeschrittene Cybersecurity

CMMC Level 2 richtet sich an Auftragnehmer im Verteidigungsbereich, die kontrollierte, nicht klassifizierte Informationen (CUI) im Rahmen ihrer Verträge mit dem DoD verarbeiten. Die Kernanforderungen für die Erreichung von CMMC 2.0 Level 2 sind:

  1. Ausrichtung an NIST SP 800-171: Level 2 orientiert sich hauptsächlich an den 110 Sicherheitspraktiken aus der NIST Special Publication 800-171 (NIST SP 800-171). Dazu gehören Controls aus Bereichen wie Zugriffskontrolle, Incident Response und Risikomanagement.
  2. Bewertung und Zertifizierung: Organisationen müssen sich einer Drittanbieter-Bewertung durch eine zertifizierte CMMC Third-Party Assessment Organization (C3PAO) unterziehen, um die Compliance zu bestätigen. Dies ist für Verträge mit CUI verpflichtend.
  3. Jährliche Selbstbewertungen: Organisationen müssen zudem jährliche Selbstbewertungen durchführen, um die kontinuierliche Compliance und Verbesserung ihrer Cybersecurity-Praktiken sicherzustellen.
  4. Dokumentation und Richtlinienentwicklung: Unternehmen benötigen dokumentierte Richtlinien und Verfahren, die jede Sicherheitsmaßnahme unterstützen. Dazu gehören regelmäßig aktualisierte Aufzeichnungen und Audit-Trails.
  5. Risikomanagement: Organisationen müssen einen Ansatz für das Risikomanagement implementieren, der Cybersecurity-Risiken kontinuierlich identifiziert, bewertet und steuert.
  6. Incident Reporting: Es müssen Verfahren zur Meldung von Vorfällen an das DoD vorhanden sein, um eine zeitnahe Kommunikation und Reaktion auf potenzielle Verstöße zu gewährleisten.
  7. Kontinuierliches Monitoring: Unternehmen sollten Mechanismen für die kontinuierliche Überwachung ihrer Informationssysteme implementieren, um Sicherheitsbedrohungen zeitnah zu erkennen und darauf zu reagieren.
  8. Sicherheitsbewusstsein und Schulung: Ein Sicherheits-Schulungsprogramm muss sicherstellen, dass alle Mitarbeitenden ihre Cybersecurity-Verantwortung und die Bedeutung des Schutzes von CUI verstehen.

Durch die Erfüllung dieser Anforderungen können Organisationen sicherstellen, dass sie in der Lage sind, sensible Informationen zu schützen und für DoD-Verträge mit CUI zugelassen zu bleiben.

CMMC 2.0 Level 3 Anforderungen: Experten-Cybersecurity

CMMC Level 3 richtet sich an Organisationen, die kontrollierte, nicht klassifizierte Informationen (CUI) verarbeiten, und verlangt die Umsetzung weiterentwickelter Cybersecurity-Praktiken. Die Anforderungen für Level 3 sind in der öffentlichen Dokumentation noch nicht vollständig detailliert. Nach aktuellem Stand gilt jedoch:

  1. Ausrichtung an NIST-Standards: Level 3 orientiert sich eng an NIST SP 800-172, das auf den Controls von NIST SP 800-171 aufbaut und den Fokus auf fortgeschrittene Cybersecurity-Praktiken und Schutzmaßnahmen legt.
  2. Erweiterte Sicherheitspraktiken: Organisationen müssen mehr als 110 Praktiken umsetzen – einschließlich der Anforderungen aus den niedrigeren CMMC-Leveln (Level 1 und 2) – und zusätzliche Vorgaben für fortschrittliche Bedrohungserkennung und -reaktion erfüllen.
  3. Incident Response und Management: Es müssen robuste Prozesse für Incident Response vorhanden sein, um Cybersecurity-Vorfälle effektiv zu managen und zu melden.
  4. Kontinuierliches Monitoring: Organisationen müssen Systeme für kontinuierliches Monitoring implementieren, um Cybersecurity-Ereignisse schnell zu erkennen, darauf zu reagieren und sich davon zu erholen.
  5. Risikomanagement: Ein ausgereiftes Risikomanagement-Framework ist erforderlich, um Risiken kontinuierlich zu bewerten, zu priorisieren und zu minimieren.
  6. Expertenbewertung: Organisationen auf diesem Level müssen sich alle drei Jahre einer Bewertung durch zertifizierte Drittanbieter unterziehen.
  7. Schutz von FCI und CUI: Organisationen müssen nachweisen, dass sie sowohl FCI als auch CUI wirksam schützen können.

Da dies übergeordnete Leitlinien sind, sollten Organisationen, die CMMC-2.0-Level-3-Compliance anstreben, die aktuellen Vorgaben des DoD aufmerksam verfolgen und sich mit Cybersecurity-Experten abstimmen, um alle spezifischen Anforderungen zu erfüllen, sobald sie veröffentlicht werden.

CMMC-Compliance-Checkliste

Die CMMC-Zertifizierung, die Voraussetzung für die CMMC-Compliance, ist ein anspruchsvoller Prozess. Um CMMC-zertifiziert zu werden, müssen Unternehmen eine Vielzahl von Anforderungen des DoD erfüllen. Nachfolgend finden Sie unsere CMMC-Checkliste mit Punkten, die Organisationen abarbeiten und erfüllen müssen, um die CMMC-Zertifizierung zu erreichen.

Den passenden CMMC-Reifegrad für Ihr Unternehmen bestimmen

Der erste Schritt zur CMMC-2.0-Compliance besteht darin, festzulegen, welcher CMMC-Reifegrad für Ihr Unternehmen am besten geeignet ist. Der CMMC-Zertifizierungsprozess ist stufenweise aufgebaut, und Unternehmen müssen das richtige Level wählen – abhängig von der Sensibilität der verarbeiteten Daten. Es gibt drei CMMC-Zertifizierungslevel (siehe oben).

Selbstbewertung durchführen, um die CMMC-Compliance-Bereitschaft zu prüfen

Nachdem Sie das gewünschte oder erforderliche Reifegrad-Level für Ihr Unternehmen festgelegt haben, folgt die Selbstbewertung Ihres Cybersecurity-Profils. Diese Bewertung sollte eine Überprüfung der Cybersecurity-Reife Ihres Unternehmens umfassen – einschließlich Richtlinien und Verfahren, Netzwerksicherheit, Zugriffskontrolle und Incident-Response-Fähigkeiten.

Bestehende Cybersecurity-Rahmenwerke nutzen, um die CMMC-Compliance zu erleichtern

Auch wenn die CMMC-Zertifizierung ein komplexer Prozess sein kann, können Unternehmen den Übergang erleichtern, indem sie bestehende Rahmenwerke und Zertifizierungen nutzen, die mit den CMMC-Anforderungen übereinstimmen. CMMC wurde aus bestehenden Rahmenwerken entwickelt und überschneidet sich in hohem Maße mit anderen etablierten Cybersecurity-Rahmenwerken, die für die Compliance herangezogen werden.

Ein solches Rahmenwerk ist das Cybersecurity Framework des National Institute of Standards and Technology (NIST CSF), das Richtlinien und Best Practices für das Management und die Minimierung von Cybersecurity-Risiken bietet. Durch die Umsetzung des CSF können Unternehmen ihre Cybersecurity-Praktiken an die CMMC-Anforderungen angleichen, was den Zertifizierungsprozess in der Regel erleichtert und effizienter macht.

Weitere Rahmenwerke und Zertifizierungen, die Unternehmen bei der CMMC-Zertifizierung unterstützen können, sind FedRAMP, FISMA, die ISO-27000-Standards (ISO 27001) und NIST Special Publication 800-171. Durch die Nutzung dieser Rahmenwerke und Zertifizierungen verbessern Unternehmen nicht nur ihre gesamte Cybersecurity-Position, sondern können auch die Einhaltung der CMMC-Anforderungen nachweisen.

Plan of Action and Milestones (POA&M) für die CMMC-Compliance erstellen

Ein Plan of Action and Milestones (POA&M) ist ein zentrales Dokument, das die Strategie eines Unternehmens zur Beseitigung von Schwächen und Defiziten in den Cybersecurity-Maßnahmen beschreibt. Es spielt eine wichtige Rolle beim Nachweis der CMMC-Compliance. Die Erstellung eines POA&M erfolgt in mehreren Schritten. Nachdem Sie das passende Level bestimmt haben, identifizieren Sie die Lücken zwischen Ihrer aktuellen Cybersecurity-Position und den erforderlichen Zertifizierungen. Dies erfordert eine gründliche Bewertung der bestehenden Richtlinien, Verfahren und technischen Maßnahmen Ihres Unternehmens.

Basierend auf den identifizierten Lücken priorisieren Sie die Bereiche, die zuerst angegangen werden müssen. Entwickeln Sie dann einen Zeitplan für jede Aufgabe, einschließlich Fristen für die Umsetzung der einzelnen Maßnahmen. Weisen Sie Aufgaben klaren Teammitgliedern zu und stellen Sie sicher, dass die Verantwortlichen den Fortschritt einhalten. Dokumentieren Sie abschließend alle Schritte auf dem Weg zur Compliance und verfolgen Sie die Fortschritte regelmäßig, indem Sie den Plan of Action and Milestones bei Bedarf aktualisieren. Dieser strukturierte Ansatz sorgt für Effizienz und rechtzeitige Ergebnisse auf dem Weg zur CMMC-Compliance.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks