CMMC Phase II ist ausgesetzt. Ihre DFARS-Verpflichtungen bleiben bestehen.

Eine einzige Ankündigung des Department of War hat gerade die einzige externe Kontrolle ausgesetzt, die zwischen der selbst attestierten Compliance-Bewertung eines Rüstungsunternehmens und einer False Claims Act-Untersuchung stand. Am 13. Juli 2026 setzte das Department of War CMMC Phase II aus – die Drittparteien-Prüfpflicht, die am 10. November 2026 in Kraft treten sollte – und die Fachpresse stellte dies sofort als regulatorische Entlastung dar. Das ist es nicht. Es handelt sich um eine Risikoumverteilung, und die Organisationen, die dies als Stillstand interpretieren, sind am stärksten exponiert, wenn die Prüfphase endet.

Die Chief Information Officerin des Department of War, Kirsten Davies, gab die Aussetzung bekannt, nachdem interne Daten ein Kapazitätsproblem offenbarten: Über 100.000 Unternehmen der Defense Industrial Base (DIB) benötigten eine Drittparteien-Prüfung durch eine Certified Third-Party Assessor Organization (C3PAO), aber es gab nur etwa 100 C3PAOs, die diese Prüfungen durchführen konnten. „Die Zahlen gehen einfach nicht auf“, sagte Davies laut Breaking Defense in der Berichterstattung vom 13. Juli. Auch Phase 3 und Phase 4 von CMMC wurden ausgesetzt, vorbehaltlich einer 60-tägigen Überprüfung durch eine neu gebildete CMMC Reform Task Force. Das Department schließt zudem nicht aus, das Programm nach Abschluss der Überprüfung ganz einzustellen.

Was die Aussetzung von CMMC Phase II für DIB-Auftragnehmer tatsächlich ändert

All das ändert nichts an den aktuellen gesetzlichen Pflichten eines Rüstungsunternehmens. Die DFARS-Klausel 252.204-7012 verpflichtet Auftragnehmer und Unterauftragnehmer schon lange vor CMMC dazu, geschützte Verteidigungsinformationen zu sichern, und das Department stellt in seiner Mitteilung klar, dass die Aussetzung „die Pflicht der Unternehmen zum Schutz von Bundesdaten nicht aufhebt“. Die 110 Controls von NIST 800-171 Rev 2 bleiben unverändert. Die Selbstbewertung läuft weiter. Ausgesetzt wurde lediglich die externe Überprüfung – und für Compliance-Beauftragte ist das eine ganz andere Art von „Entlastung“, als die Schlagzeilen suggerieren.

Kiteworks arbeitet mit Defense Industrial Base-Auftragnehmern zusammen, die genau mit solchen regulatorischen Schwankungen konfrontiert sind, und das Muster ist bekannt: Eine Ankündigung zur Deregulierung erzeugt ein falsches Sicherheitsgefühl – gerade dann, wenn das zugrunde liegende Risiko gestiegen ist, nicht gesunken.

Der Unterschied ist entscheidend, denn Compliance-Teams, Vergabestellen und Führungskräfte lesen derzeit die gleichen Schlagzeilen – und die meisten dieser Schlagzeilen stellen Entlastung statt Risiko in den Vordergrund. Ein CISO, der aus dieser Ankündigung die falschen Schlüsse zieht, wird im nächsten Führungstreffen empfehlen, eine Sicherheitsinvestition zurückzustellen, die eigentlich beschleunigt werden müsste. Ein General Counsel, der davon ausgeht, dass bestehende CMMC-Vertragsklauseln stillschweigend verschwunden sind, übersieht eine Flow-down-Verpflichtung, die noch immer in einem aktiven Unterauftrag steht.

Die richtige Einordnung in den ersten 48 Stunden nach einer solchen Ankündigung ist keine Kommunikationsübung – sie entscheidet darüber, ob ein Unternehmen seine Compliance-Lücken während des 60-Tage-Fensters schließt oder sie erst bei einer False Claims Act-Prüfung in 18 Monaten entdeckt. Eine Überprüfung des Supply Chain Risk Managements, die alle aktiven Unteraufträge auf CMMC-Flow-down-Klauseln abgleicht, sollte diese Woche die erste Maßnahme des Rechtsteams eines Hauptauftragnehmers sein.

CMMC 2.0 Compliance Roadmap für DoD-Auftragnehmer

Jetzt lesen

wichtige Erkenntnisse

1. CMMC Phase II ist ausgesetzt, nicht abgeschafft.

Das Department of War hat am 13. Juli 2026 die Drittparteien-Prüfpflicht ausgesetzt, während die Phase-1-Selbstbewertung und die zugrunde liegende DFARS 252.204-7012-Pflicht weiterhin uneingeschränkt gelten.

2. Die Aussetzung ist ein Kapazitätsproblem, kein Politikwechsel.

Über 100.000 Unternehmen der Defense Industrial Base benötigten eine Drittparteien-Prüfung, aber es gab nur etwa 100 C3PAOs – ein struktureller Engpass, den eine 60-tägige Überprüfung nicht beheben kann.

3. Der Wegfall der Drittparteien-Prüfung erhöht das False Claims Act-Risiko.

Ohne C3PAO, der eine fehlerhafte selbst attestierte SPRS-Bewertung zuerst erkennt, liegt die Haftung nun vollständig beim Auftragnehmer – zivilrechtliche Strafen liegen derzeit bei etwa 13.946 bis 27.894 US-Dollar pro Falschmeldung, zuzüglich dreifacher Schadensersatz, und die Regierung hat seit 2021 bereits 15 Fälle im Zusammenhang mit Cybersecurity und dem False Claims Act beigelegt.

4. Flow-down-Pflichten und bestehende Ausschreibungen werden nicht automatisch zurückgesetzt.

Hauptauftragnehmer sind weiterhin verpflichtet, Level-2-Anforderungen an Unterauftragnehmer weiterzugeben, und Verträge mit Level-2-Klauseln bleiben wirksam, bis sie einzeln formell geändert werden.

5. Das öffentliche Kommentierungsfenster endet am 14. August 2026.

Die RFI des Departments fragt direkt, wie kommerzielle Sicherheitstools in einem zukünftigen Rahmenwerk angerechnet werden könnten – dies ist also eine zeitlich begrenzte Chance, kein Grund zu warten. Nutzen Sie jetzt die CMMC-Gap-Analyse, bevor die Prüfer-Warteschlange wieder öffnet, um technische Lücken zu identifizieren, die in diesem Zeitfenster geschlossen werden können.

Der Rückstau war die Ursache, und eine 60-tägige Überprüfung löst ihn nicht

Beginnen Sie mit dem Warum, denn der Grund ist wichtiger als die Ankündigung selbst. CMMC Level 2 verlangt eine dreijährliche Prüfung durch einen C3PAO für Auftragnehmer, die mit Covered Defense Information (CDI) oder Controlled Unclassified Information (CUI) umgehen. Diese Prüfstrecke war nie dafür ausgelegt, das vom Department genannte Volumen zu bewältigen. Laut Washington Technology vom 13. Juli erstreckt sich die Aussetzung des DoW auch auf CMMC Phase 3 (die ursprünglich für November 2027 geplanten Level-3-Prüfungen) und Phase 4. Am selben Tag veröffentlichte das Department eine formelle Request for Information (RFI) auf SAM.gov, mit Frist für Branchenantworten bis zum 14. August 2026.

Diese RFI lohnt eine genaue Lektüre, denn sie zeigt, wohin die Reise tatsächlich geht. Sie bittet Unternehmen um Einschätzungen zu Kostentreibern und Verwaltungsaufwand bei der CMMC-Compliance, welche NIST 800-171-Controls tatsächlich eine relevante Risikoreduktion bewirken und – besonders bemerkenswert – wie das Department bestehende kommerzielle Cybersecurity-Tools und Managed Services künftig anerkennen könnte, anstatt für alles eine separate Drittparteien-Prüfung zu verlangen.

Das ist kein Programm, das abgeschafft wird. Es wird vielmehr umgestaltet – hin zu einer nachweisbaren, durch Tools belegten technischen Bereitschaft, auf die sich die Selbstbewertung nun allein stützen muss.

Das von Davies genannte Verhältnis von 100.000 zu 100 ist ein strukturelles Problem, kein temporäres. Die Ausbildung und Akkreditierung neuer C3PAOs dauert Jahre, nicht die für diese Überprüfung vorgesehenen 60 Tage. Wenn Phase II zurückkehrt – und DoW-Vertreter haben ausdrücklich gesagt, dass sie das Programm nicht abschaffen, aber auch nicht zusichern werden – bleibt der Engpass bestehen, nur komprimiert auf das Zeitfenster, das die Reform Task Force festlegt.

Organisationen, die diese Pause nutzen, um echte technische Bereitschaft aufzubauen, werden als Erste durch diese Pipeline gehen. Wer sie als Anlass nimmt, sich zurückzuziehen, konkurriert später mit allen anderen um die knappen Prüferkapazitäten. Die CMMC-Compliance-Checkliste bietet die strukturierte Übersicht, um „echte technische Bereitschaft“ in eine dokumentierte, priorisierte Maßnahmenliste zu verwandeln – statt in eine bloße Absichtserklärung.

Dies ist nicht die erste Verschiebung von CMMC – und diese Historie ist relevant

Wer versucht ist, die Aussetzung als Zeichen für das Scheitern von CMMC zu deuten, sollte sich ansehen, wie das Programm tatsächlich hierher kam. Das Department führte CMMC 1.0 im Jahr 2020 mit fünf Reifegraden und einer schrittweisen, vertragsbasierten Einführung ein.

Diese Version wurde 2021 zugunsten von CMMC 2.0 verworfen – einer vereinfachten Drei-Stufen-Struktur, die sich an NIST 800-171 orientiert, nachdem die Branche wegen Kosten und Komplexität protestierte. Der Regelsetzungsprozess für 2.0 dauerte dann rund drei Jahre, durchlief sowohl das 32 CFR- als auch das 48 CFR-Verfahren, bevor die CMMC-Final Rule 2024 veröffentlicht wurde und die Phase-1-Selbstbewertungspflicht im November 2025 in Kraft trat.

Das ist das Muster, das auffällt: Jede frühere Version dieses Programms wurde überarbeitet – jeweils als Reaktion auf genau die Art von Umsetzungsproblem, die jetzt zur Aussetzung von Phase II führt. Die Komplexität von CMMC 1.0 führte zu dessen Ablösung. Die Prüferkapazität von CMMC 2.0 führt jetzt zur Aussetzung von Phase II. In keinem Fall verschwand das eigentliche Ziel – der Schutz von Controlled Unclassified Information in der Lieferkette der Verteidigung.

Der Mechanismus ändert sich. Die Verpflichtung bleibt. Wer die heutige Aussetzung im Lichte dieser Historie betrachtet, sollte weniger, nicht mehr Vertrauen haben, dass dies das Ende der Drittparteien-Prüfung ist – und nicht nur eine weitere Iteration davon.

Warum der Wegfall der Drittparteien-Prüfung die Anforderungen an die Selbstbewertung erhöht

Hier ist der Teil der Geschichte, der unter den „CMMC ist tot“-Schlagzeilen unterging: Die Abschaffung einer Drittparteien-Prüfung entfernt das Risiko nicht aus dem System. Sie verlagert das Risiko vollständig auf die Genauigkeit der eigenen Selbstauskunft des Auftragnehmers.

CMMC Level 1 und die Übergangsanforderungen der Phase 1 basierten immer auf Selbstbewertung, deren Ergebnisse im Supplier Performance Risk System (SPRS) veröffentlicht und von einem Unternehmensleiter bestätigt werden.

Nach dem nun ausgesetzten Phase-II-Modell hätte ein C3PAO diese selbst attestierte Bewertung unabhängig überprüft, bevor sie für die Vergabe eines Vertrags relevant wurde. Mit der Aussetzung wird eine fehlerhafte SPRS-Bewertung nicht mehr von einer Drittpartei im Prüfzyklus entdeckt – sondern ist eine Behauptung, die der Auftragnehmer direkt gegenüber der Bundesregierung abgibt, ungeprüft, und die eine False Claims Act-Untersuchung unmittelbar prüfen kann.

Die Mechanismen dieser Haftung sind gut etabliert und bestehen schon länger als CMMC. Die Civil Cyber-Fraud Initiative des Department of Justice, gestartet im Oktober 2021, nutzt den False Claims Act gezielt, um Falschangaben zu Cybersecurity durch Regierungsauftragnehmer und Fördermittelempfänger zu verfolgen. Die Whistleblower-qui-tam-Regelung des Gesetzes erlaubt es Privatpersonen – etwa unzufriedenen Mitarbeitern, Wettbewerbern oder ehemaligen Unterauftragnehmern – direkt Klage zu erheben und an einer möglichen Rückerstattung zu partizipieren.

Zivilrechtliche Strafen liegen derzeit bei etwa 13.946 bis 27.894 US-Dollar pro Falschmeldung, regelmäßig inflationsbereinigt, zuzüglich dreifachem Schadensersatz. Die Regierung zögert nicht, dies durchzusetzen: Das DOJ einigte sich 2025 auf einen Vergleich über 8,4 Millionen US-Dollar mit Raytheon und dessen Nachfolger Nightwing wegen Falschangaben zur NIST 800-171-Compliance, und ein laufender Fall gegen Georgia Tech wirft der Universität vor, eine falsche Cybersecurity-Bewertung an das DoD übermittelt zu haben – genau das Versagen, das eine ausgesetzte C3PAO-Prüfung sonst entdeckt hätte.

Für diese Konsequenzen ist kein Datenvorfall nötig. Es reicht, wenn die selbst attestierte Bewertung einer Überprüfung nicht standhält – und ohne C3PAO als Kontrollinstanz ist der Auftragnehmer die einzige Verteidigungslinie. Eine formale Risikobewertung nach dem NIST 800-171-Controlsatz, dokumentiert mit der gleichen Beweisführung wie ein C3PAO, ist der direkteste Weg, um sicherzustellen, dass eine selbst attestierte SPRS-Bewertung auch einer externen Prüfung standhält.

Deshalb ist es ein Fehler, die Aussetzung als „weniger Druck“ zu interpretieren. Weniger Drittparteien-Druck auf dem Papier bedeutet mehr Eigenhaftung in der Praxis. Ein Compliance-Beauftragter, der sein Risiko am 12. Juli verstanden hat, sollte es am 14. Juli noch deutlicher sehen – nicht weniger.

Vertragliche Flow-downs werden nicht mit dem Zeitplan des Departments zurückgesetzt

Ein weiterer Aspekt, der in der Berichterstattung unterging: Die Aussetzung betrifft nur die eigenen Audit-Anforderungen des Departments, nicht aber die Pflichten zwischen Haupt- und Unterauftragnehmern oder bestehende Ausschreibungen. Hauptauftragnehmer mit CMMC-Level-2-Flow-down-Klauseln in Unteraufträgen müssen diese Anforderungen weiterhin in die Lieferkette weitergeben – die Aussetzung der Drittparteien-Prüfung des Departments entbindet weder den Hauptauftragnehmer von seiner Pflicht gegenüber den Subs, noch den Sub von seiner Pflicht gegenüber dem Hauptauftragnehmer.

Das Gleiche gilt für Ausschreibungen und Verträge, die CMMC Level 2 als Vergabe- oder Leistungsbedingung nennen. Breaking Defense berichtete am 13. Juli, dass Davies Programmmanager und Vergabestellen angewiesen hat, aktuelle Ausschreibungen mit den ausgesetzten Phase-II-Anforderungen „so bald wie möglich“ zu ändern – was bestätigt, dass diese Anforderungen nicht einfach verschwinden, sondern formell, Vertrag für Vertrag, angepasst werden. Bis eine bestimmte Vereinbarung offiziell geändert wird, bleibt die CMMC-Level-2-Klausel darin bestehen.

Für einen General Counsel oder VP of Contracts ist das der Punkt, der diese Woche Handlungsbedarf auslöst: Prüfen Sie, welche aktiven Ausschreibungen und Unteraufträge Phase-II-Anforderungen enthalten, und gehen Sie nicht davon aus, dass diese automatisch entfallen, nur weil das Department eine nationale Ankündigung gemacht hat.

Supply Chain Risk Management – insbesondere die Pflege eines aktuellen, revisionssicheren Nachweises zum Compliance-Status jedes Unterauftragnehmers – ermöglicht diese Prüfung in Tagen statt Wochen. Organisationen ohne dokumentierte Compliance-Übersicht der Sub-Tiers sollten deren Aufbau als Sofortmaßnahme parallel zur Vertragsprüfung behandeln.

Der Mittelstandsaspekt, mit dem das DoW die Aussetzung begründet

Die öffentliche Begründung der Aussetzung bezieht sich stark auf kleine und mittlere Auftragnehmer – und das ist für alle, die die weitere Entwicklung einschätzen, relevant. Die Small Business Administration lobte die Aussetzung am Tag der Ankündigung ausdrücklich, verwies auf Compliance-Kosten von bis zu 600.000 US-Dollar für kleine Firmen und warnte, dass das aktuelle CMMC-Rahmenwerk Unternehmen aus der Defense Industrial Base verdränge, statt neue zu gewinnen.

Das ist die politische Begründung: Die Sicherheitsbasis erhalten, aber Kostenschranken abbauen, die die Lieferkette schrumpfen lassen, statt sie zu sichern.

Diese Argumentation hat zwei Seiten für kleine und mittlere Unterauftragnehmer. Einerseits ist die Frage der RFI nach der Anerkennung bestehender kommerzieller Tools eine direkte Chance, zu argumentieren, dass die vorhandene Sicherheitsinfrastruktur kleinerer Firmen in einem neuen Rahmenwerk berücksichtigt werden sollte.

Andererseits entscheidet sich ein Unternehmen, das die Aussetzung als Freibrief zur Kürzung von Sicherheitsausgaben liest, bewusst für weniger Vorbereitung – nicht für mehr Wettbewerbsfähigkeit –, wenn die Prüfer-Warteschlange wieder öffnet, und zwar für alle gleichzeitig, große wie kleine Auftragnehmer. Sichere Managed File Transfer– und E-Mail-Plattformen, die bereits auf NIST 800-171-Controls abbilden, sind genau die Art von kommerziellen Tools, nach denen die RFI fragt – kleinere Unternehmen, die ihre Tool-Abdeckung dokumentieren können, haben einen direkten Weg, Einfluss auf die Bewertung ihrer Compliance durch die Reform Task Force zu nehmen.

Warum „Greifbare Cyberhygiene statt Verwaltungsaufwand“ eine Neuausrichtung, kein Rückzug ist

Die Sprache des Departments zeigt, wohin die Entwicklung tatsächlich geht – und sie sollte wörtlich genommen werden, nicht als PR-Strategie. DoW-Vertreter betonen immer wieder, dass das Ziel der CMMC Reform Task Force darin besteht, „eine strenge Sicherheitsbasis“ zu erhalten und gleichzeitig Kostenschranken zu beseitigen – konkret: „greifbare Cyberhygiene statt Verwaltungsaufwand“.

Das ist eine Aussage darüber, welche Art von Compliance-Nachweis das Department künftig wirklich schätzt: nachweisbare technische Controls statt Prüfungsdokumentation.

Diese Neuausrichtung sollte die Prioritäten eines DIB-Auftragnehmers in diesem Zeitfenster verändern. Eine Selbstbewertung, die auf dokumentierten, operativen Sicherheitsmaßnahmen basiert – nicht nur auf einer abgehakten Checkliste –, ist im Fall einer False Claims Act-Prüfung besser zu verteidigen, widerstandsfähiger gegenüber künftigen Vorschlägen der Reform Task Force und besser geeignet, die explizite RFI-Frage nach der Anerkennung kommerzieller Tools zu erfüllen, ohne für alles eine separate Drittparteien-Prüfung zu verlangen.

Kiteworks secure data exchange ist genau auf diese nachweisbare technische Bereitschaft für Organisationen mit CUI und CDI ausgelegt. Die Plattform bildet nahezu 90 % der CMMC-Level-2-Anforderungen out of the box ab – in Bereichen wie Access Control, Configuration Management, Audit and Accountability und Physical Protection, unterstützt durch eine gehärtete virtuelle Appliance-Architektur, FIPS 140-3 Level 1 validierte Verschlüsselung und FedRAMP Moderate authorization – mit FedRAMP High derzeit im Prüfprozess für das Secure Gov Cloud-Angebot.

Das ersetzt keine C3PAO-Prüfung und sollte auch nicht so dargestellt werden – die eigene FedRAMP-Äquivalenzrichtlinie des Departments existiert explizit, um Anbieter zu kontrollieren, die diesen Fehler machen. Was es bietet, sind Audit-Logs und Access Controls, die einer selbst attestierten SPRS-Bewertung eine reale Grundlage geben – unabhängig davon, wann die nächste C3PAO-Prüfung stattfindet.

Die NIST 800-171-Compliance-Dokumentation, auf der diese Abdeckung basiert, ist genau die Art von Beweispaket, das die RFI als Ziel der Reform Task Force signalisiert – organisierter, revisionssicherer Nachweis der technischen Umsetzung statt Prüfungsdokumentation.

Was Compliance-Teams vor Ablauf der 60 Tage tun sollten

Nutzen Sie dieses Zeitfenster aktiv – es ist keine Pause. Fünf Maßnahmen gehören diese Woche auf die To-do-Liste eines Compliance-Beauftragten:

  1. Überprüfen Sie Ihre SPRS-Bewertung anhand realer Nachweise – nicht auf Basis der Annahme, dass Selbstattestierung jetzt weniger streng geprüft wird. Wenn ein Control-Claim nicht durch Logs, Konfigurationsaufzeichnungen oder Dokumentation belegt werden kann, ist er ein Risiko, kein Compliance-Erfolg. Dies ist die wirkungsvollste Maßnahme im Prüfzeitraum, denn genau das würde eine False Claims Act-Prüfung als Erstes abfragen.

  2. Prüfen Sie alle aktiven Ausschreibungen und Unteraufträge auf CMMC-Level-2-Klauseln, die noch nicht formell geändert wurden, und klären Sie mit Ihrer Vergabestelle oder dem Hauptauftragnehmer, ob Flow-down-Pflichten weiterhin gelten. Warten Sie nicht auf eine Mitteilung – der Änderungsprozess läuft Vertrag für Vertrag, und es gibt keine Garantie, dass Ihre Vereinbarung bereits angepasst wurde.

  3. Bereiten Sie eine Antwort auf die RFI des DoW vor, Frist 14. August 2026 – insbesondere, wenn Ihr Unternehmen bereits kommerzielle Sicherheitstools nutzt, die auf NIST 800-171 abbilden. Dies ist ein formaler, zeitlich begrenzter Kanal, um Einfluss auf die Bewertung Ihrer Tools durch die Reform Task Force zu nehmen – und das Fenster schließt in etwa einem Monat.

  4. Schließen Sie technische Lücken jetzt, solange die Prüferschlange pausiert, statt auf die Wiederaufnahme von Phase II zu warten und dann mit 100.000 anderen Unternehmen um rund 100 Prüfer zu konkurrieren. Eine Lücke, die im August geschlossen wird, kostet weniger – finanziell und im Risiko – als dieselbe Lücke, die später im komprimierten Prüfzeitraum entdeckt wird. Verschlüsselungsdurchsetzung, attributbasierte Zugriffskontrolle und unveränderliche Audit-Logs sind die drei technischen Bereiche, in denen selbst attestierte Lücken unter externer Prüfung am häufigsten scheitern – schließen Sie diese zuerst.

  5. Dokumentieren Sie Ihren Audit-Trail und Ihre Zugriffskontroll-Nachweise so, dass Sie sie einem False Claims Act-Prüfer oder einem künftigen C3PAO jederzeit vorlegen könnten – ohne sie unter Druck rekonstruieren zu müssen. Nachträglich zusammengestellte Nachweise sind deutlich schwächer als solche, die bereits vor der Anfrage existierten. Ein dokumentierter Incident Response Plan, der jede NIST 800-171-IR-Anforderung einer konkreten, getesteten Maßnahme zuordnet, gibt dem Audit-Paket eine zusätzliche Glaubwürdigkeit, die eine Checkliste allein nicht bietet.

Die Organisationen, die aus diesem 60-Tage-Fenster gestärkt hervorgehen, sind nicht die, die sich entspannt haben. Es sind die, die die Lücke zwischen den Ankündigungen genutzt haben, um sie zu schließen.

Erfahren Sie mehr darüber, wie Sie CMMC-2.0-Level-2-Compliance-Lücken schließen, während Drittparteien-Prüfungen pausieren – vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Nein. Das Department of War hat die Drittparteien-Prüfpflicht unter Phase II ausgesetzt, aber die Selbstbewertungspflichten aus Phase 1 gelten weiterhin, und die DFARS-Klausel 252.204-7012 verpflichtet Auftragnehmer und Unterauftragnehmer weiterhin gesetzlich zum Schutz von Verteidigungsinformationen. Das Department stellt in seiner Mitteilung klar, dass die Aussetzung „die Pflicht der Unternehmen zum Schutz von Bundesdaten nicht aufhebt“. Organisationen sollten weiterhin auf die CMMC 2.0-Compliance hinarbeiten, statt dies als Entlastung von der zugrunde liegenden Verpflichtung zu sehen. Eine Risikobewertung nach dem vollständigen NIST 800-171-Controlsatz – dokumentiert mit der gleichen Beweisführung wie ein C3PAO – ist während der Aussetzungsphase die sicherste Position und der wertvollste Input für den RFI-Prozess der CMMC Reform Task Force.

DoW-CIO Kirsten Davies verwies auf ein Kapazitätsproblem: Über 100.000 Unternehmen der Defense Industrial Base benötigten eine Drittparteien-Prüfung durch eine C3PAO, aber es gab nur etwa 100 C3PAOs, die diese Prüfungen durchführen konnten – das machte die ursprüngliche Frist vom 10. November 2026 unrealistisch. Eine neu gebildete CMMC Reform Task Force prüft das Programm nun 60 Tage lang, mit einer öffentlichen Request for Information bis zum 14. August 2026. Die RFI fragt explizit nach der Möglichkeit, kommerzielle Sicherheitstools in ein künftiges Compliance-Rahmenwerk einzubeziehen – Organisationen mit bestehenden Tools, die auf NIST 800-171 abbilden, sollten die RFI als direkte Gelegenheit nutzen, diese Abdeckung zu dokumentieren und einzureichen, bevor das Kommentierungsfenster schließt. Die NIST 800-171-Compliance-Plattformdokumentation, die die Tool-Abdeckung belegt, ist genau die Art von Nachweis, die die Reform Task Force anerkennen möchte.

Es kann steigen. Ohne C3PAO, der die selbst attestierte SPRS-Bewertung eines Auftragnehmers unabhängig prüft, wird eine fehlerhafte Selbstauskunft nicht mehr von einer Drittpartei erkannt, bevor sie relevant wird – sie ist eine Behauptung, die der Auftragnehmer direkt gegenüber der Bundesregierung abgibt. Die zivilrechtlichen Strafen und die Whistleblower-qui-tam-Regelung des False Claims Act gelten unabhängig davon, ob ein externer Prüfer beteiligt war – daher ist eine genaue, belegbare Selbstbewertung während der Aussetzung wichtiger denn je. Dokumentation der Data Governance, die exakt festhält, welche Controls auf welchem Konfigurationsniveau mit welchen Nachweisen umgesetzt sind – kontinuierlich gepflegt statt erst vor der Prüfung zusammengestellt – ist die organisatorische Praxis, die das False Claims Act-Risiko in einer Zeit ohne externe Kontrolle am direktesten begrenzt.

Nicht automatisch. Das DoW hat Programmmanager und Vergabestellen angewiesen, Ausschreibungen und Verträge mit ausgesetzten Phase-II-Anforderungen zu ändern, aber das geschieht Vertrag für Vertrag nach dem Zeitplan des Departments. Bis ein bestimmter Vertrag oder Unterauftrag formell geändert wird, gelten die bestehenden CMMC-Level-2-Klauseln und alle zugehörigen DFARS-Flow-down-Pflichten weiter. Supply Chain Risk Management – insbesondere die Pflege eines aktuellen, revisionssicheren Nachweises zum Compliance-Status jedes Unterauftragnehmers und zu allen aktiven Vertragsklauseln – ermöglicht die erforderliche Prüfung in Tagen statt Wochen. Organisationen ohne dokumentierte Sub-Tier-Compliance-Übersicht sollten deren Aufbau als Sofortmaßnahme parallel zur Vertragsprüfung behandeln.

Nutzen Sie das Zeitfenster, um technische Lücken zu schließen, statt auf die Wiederaufnahme von Phase II zu warten. Das bedeutet: SPRS-Bewertungen anhand realer Nachweise überprüfen, aktive Verträge auf nicht geänderte CMMC-Level-2-Klauseln prüfen, Audit-Trail– und Access-Control-Nachweise dokumentieren und eine Antwort auf die RFI des DoW vor dem 14. August 2026 erwägen. Organisationen, die jetzt nachweisbare Bereitschaft aufbauen, vermeiden später die Konkurrenz mit dem gesamten Rückstau von 100.000 Unternehmen, wenn Drittparteien-Prüfungen wieder starten. Ein Incident Response Plan, der jede NIST 800-171-IR-Anforderung einer konkreten, getesteten Maßnahme zuordnet, ist ein besonders wertvoller Audit-Nachweis – er belegt die Art von operativer Sicherheitslage, auf die die „greifbare Cyberhygiene“-Formulierung der Reform Task Force abzielt, und ist oft die sichtbarste Lücke, wenn Compliance-Programme Checklisten abhaken statt operative Bereitschaft zu testen.

Weitere Ressourcen

  • Blogbeitrag
    CMMC-Compliance für kleine Unternehmen: Herausforderungen und Lösungen
  • Blogbeitrag
    CMMC-Compliance-Leitfaden für DIB-Lieferanten
  • Blogbeitrag
    CMMC-Audit-Anforderungen: Was Prüfer sehen müssen, um Ihre CMMC-Bereitschaft zu bewerten
  • Leitfaden
    CMMC-2.0-Compliance-Mapping für die Kommunikation sensibler Inhalte
  • Blogbeitrag
    Die wahren Kosten der CMMC-Compliance: Was Rüstungsunternehmen einplanen müssen

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks