Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > CMMC Compliance > Jetzt endgültig: 48 CFR DFARS-Regel legt CMMC-Anforderungen für Verteidigungsauftragnehmer fest
CMMC 2.0 ist Pflicht: Was DoD-Auftragnehmer jetzt Wissen müssen

Jetzt endgültig: 48 CFR DFARS-Regel legt CMMC-Anforderungen für Verteidigungsauftragnehmer fest

von Danielle Barbour updated September 10, 2025 CMMC Compliance
Lesezeit: 8 Minuten

Die Cybersecurity Maturity Model Certification (CMMC) 2.0 ist das neueste Rahmenwerk des US-Verteidigungsministeriums (DoD), das entwickelt wurde, um vertrauliche, nicht klassifizierte Informationen innerhalb der Defense Industrial Base (DIB) zu schützen. Dieses Programm stellt sicher, dass DoD-Auftragnehmer und deren Unterauftragnehmer geeignete Cybersicherheitsmaßnahmen implementieren, um Bundesvertragsinformationen (FCI) und kontrollierte, nicht klassifizierte Informationen (CUI) zu schützen. Die Hauptziele von CMMC 2.0 sind die Verbesserung der Cybersicherheitslage der DIB, der Schutz vertraulicher, nicht klassifizierter Informationen vor Diebstahl und Spionage sowie die Schaffung eines einheitlichen Standards für Cybersicherheit in der gesamten Verteidigungslieferkette.

Mit der aktuellen Veröffentlichung von 48 CFR als endgültige Regelung stehen Verteidigungsauftragnehmer nun vor konkreten, verschärften Anforderungen zum Schutz vertraulicher, nicht klassifizierter Informationen. Dieser Blog bietet einen Überblick über diese Anforderungen, Zeitpläne für die Umsetzung und Best Practices für die Compliance.

CMMC 2.0-Compliance Roadmap für DoD-Auftragnehmer

Jetzt lesen

Was sind 48 CFR, 32 CFR und CMMC 2.0?

48 CFR – Defense Federal Acquisition Regulation Supplement (DFARS)

Titel 48 des Code of Federal Regulations enthält die Federal Acquisition Regulations (FAR) und deren Ergänzungen, darunter das Defense Federal Acquisition Regulation Supplement (DFARS). Die kürzlich veröffentlichte endgültige Regelung in 48 CFR beinhaltet die DFARS-Klausel 252.204-7021, die CMMC-Anforderungen für Verteidigungsauftragnehmer vorschreibt. Diese Klausel legt fest, dass Auftragnehmer und Unterauftragnehmer spezifische Cybersicherheitsstandards entsprechend der Sensibilität der von ihnen verarbeiteten Informationen umsetzen müssen. Die Regel verlangt, dass Verteidigungsauftragnehmer die jeweils erforderlichen CMMC-Zertifizierungsstufen als Voraussetzung für die Vergabe von Verträgen erreichen.

32 CFR – Nationale Verteidigungsvorschriften

Titel 32 CFR enthält Vorschriften zur nationalen Verteidigung, einschließlich Teil 170, der das CMMC-Programm etabliert. 32 CFR wurde im Oktober 2024 veröffentlicht. Abschnitt 170.14 beschreibt das CMMC-Modell im Detail und legt die Cybersicherheitsanforderungen für jede Stufe fest. Dieses regulatorische Rahmenwerk beschreibt, wie das DoD die Einhaltung der Informationsschutzanforderungen bei Auftragnehmern bewertet.

CMMC 2.0 – Cybersecurity Maturity Model Certification

CMMC ist ein einheitlicher Standard zur Verbesserung des Schutzes von FCI und CUI innerhalb der DIB. Wie im DoD CMMC Model Overview Dokument dargelegt, integriert CMMC Sicherheitsanforderungen aus FAR-Klausel 52.204-21 (Grundlegende Schutzmaßnahmen für abgedeckte Auftragnehmer-Informationssysteme), NIST SP 800-171 Rev 2 (Schutz kontrollierter, nicht klassifizierter Informationen in nicht-bundesstaatlichen Systemen und Organisationen) sowie einen Teil der Anforderungen aus NIST SP 800-172 (Erweiterte Sicherheitsanforderungen zum Schutz kontrollierter, nicht klassifizierter Informationen).

Wer muss die CMMC 2.0-Zertifizierung erwerben?

Unternehmen, die Teil der Verteidigungslieferkette sind, müssen eine CMMC-Zertifizierung erwerben. Die CMMC-Compliance und letztlich die CMMC-Zertifizierung belegen, dass ein Unternehmen das CMMC 2.0-Rahmenwerk einhält. Dieser Zertifizierungsprozess ist entscheidend, da er sicherstellt, dass Unternehmen, die mit sensiblen Daten im Zusammenhang mit der nationalen Verteidigung arbeiten, spezifische Cybersicherheitsstandards erfüllen. Mit der CMMC-Zertifizierung zeigen diese Unternehmen ihr Engagement für die Integrität und Vertraulichkeit kritischer Informationen.

Der Zertifizierungsprozess umfasst eine umfassende Bewertung der Cybersicherheitspraktiken eines Unternehmens, die je nach Komplexität und Sensibilität der verarbeiteten Daten in verschiedene Stufen unterteilt sind. Dies schafft nicht nur eine sicherere Umgebung für Bundesvertragsinformationen und kontrollierte, nicht klassifizierte Informationen, sondern trägt auch wesentlich zur Stärkung der nationalen Sicherheitsinfrastruktur bei. Die Sicherung einer CMMC-Zertifizierung dient daher nicht nur der Compliance, sondern ist ein Beitrag zum Schutz nationaler Interessen vor Cyberbedrohungen und stellt sicher, dass Gegner keine Schwachstellen in der Verteidigungslieferkette ausnutzen können.

CMMC 2.0: Zeitplan und Umsetzungsphasen

Die Umsetzung der CMMC-Anforderungen erfolgt schrittweise, wie im DoD CMMC 101 Brief beschrieben. Phase 1 (Erstimplementierung) beginnt mit dem Inkrafttreten der 48 CFR-Regel, wobei relevante Ausschreibungen eine Level-1- oder Level-2-Selbsteinschätzung erfordern. Phase 2 startet 12 Monate nach Beginn von Phase 1; dann verlangen relevante Ausschreibungen eine Level-2-Zertifizierung. Phase 3 beginnt 24 Monate nach Start von Phase 1 und erfordert für relevante Ausschreibungen eine Level-3-Zertifizierung. Phase 4 (Vollständige Implementierung) startet 36 Monate nach Beginn von Phase 1; dann enthalten alle Ausschreibungen und Verträge die jeweils geltenden CMMC-Level-Anforderungen als Voraussetzung für die Vertragsvergabe. Zu beachten ist, dass das DoD in einigen Beschaffungen CMMC-Anforderungen auch vor den geplanten Phasen einführen kann.

Wesentliche Bestandteile des CMMC 2.0-Rahmenwerks

CMMC-Stufen

Das CMMC-Modell besteht aus drei aufeinander aufbauenden Stufen der Cybersicherheitsreife. Stufe 1 konzentriert sich auf den Schutz von FCI und umfasst 15 Sicherheitsanforderungen gemäß FAR 52.204-21, die eine jährliche Selbsteinschätzung und Bestätigung erfordern. Stufe 2 zielt auf den Schutz von CUI ab und beinhaltet alle 110 Anforderungen aus NIST SP 800-171 Rev 2. Hier ist entweder alle drei Jahre eine C3PAO-Zertifizierungsprüfung oder für ausgewählte Programme eine Selbsteinschätzung alle drei Jahre sowie eine jährliche Bestätigung erforderlich. Stufe 3 verstärkt den Schutz von CUI mit 134 Anforderungen (110 aus NIST SP 800-171 plus 24 aus NIST SP 800-172) und verlangt alle drei Jahre eine DIBCAC-Zertifizierungsprüfung sowie eine jährliche Bestätigung.

CMMC-Domänen

Das CMMC-Modell umfasst 14 Domänen, die den Sicherheitsanforderungsfamilien in NIST SP 800-171 Rev 2 entsprechen: Access Control (AC), Awareness & Training (AT), Audit & Accountability (AU), Configuration Management (CM), Identification & Authentication (IA), Incident Response (IR), Maintenance (MA), Media Protection (MP), Personnel Security (PS), Physical Protection (PE), Risk Assessment (RA), Security Assessment (CA), System and Communications Protection (SC) und System and Information Integrity (SI).

CMMC-Bewertungsmethodik

CMMC beinhaltet eine definierte Bewertungsmethodik für jede Stufe. Für Stufe 1 ist keine Punktebewertung erforderlich; Anforderungen gelten als ERFÜLLT oder NICHT ERFÜLLT. In Stufe 2 sind Sicherheitsanforderungen mit 1, 3 oder 5 Punkten bewertet, mit einer Bandbreite von -203 bis 110 Punkten und einer Mindestpunktzahl von 88. In Stufe 3 sind alle Anforderungen mit je 1 Punkt bewertet, mit maximal 24 Punkten, wobei ein Level-2-Voraussetzungsergebnis von 110 erforderlich ist.

Sicherheitsvorteile der CMMC 2.0-Implementierung

Die Implementierung von CMMC bietet Unternehmen erhebliche Sicherheitsvorteile. Das Rahmenwerk ermöglicht einen umfassenden Schutzansatz für vertrauliche Informationen, indem es Kontrollen über mehrere Cybersicherheitsdomänen hinweg adressiert. Es etabliert standardisierte Sicherheitsgrundlagen für die gesamte DIB und schafft so ein einheitliches Schutzniveau für DoD-Informationen. CMMC stärkt die Sicherheit der Lieferkette, indem es Zertifizierungen auf allen Ebenen der Lieferkette verlangt und so Schwachstellen durch Drittparteienbeziehungen minimiert. Der stufenbasierte Ansatz ermöglicht Sicherheitskontrollen, die auf die Sensibilität der verarbeiteten Informationen zugeschnitten sind, und verhindert unnötigen Aufwand für Auftragnehmer, die keine CUI verarbeiten. Jährliche Bestätigungen und regelmäßige Prüfungen gewährleisten kontinuierliches Monitoring und laufende Compliance statt punktueller Bewertungen.

Risiken für DoD-Auftragnehmer und Unterauftragnehmer bei Nichteinhaltung

Unternehmen, die die erforderliche CMMC-Zertifizierung nicht erreichen, sind erheblichen Risiken ausgesetzt. Aus vertraglicher und geschäftlicher Sicht können Auftragnehmer ohne den geforderten CMMC-Level keine DoD-Verträge erhalten, die CMMC-Anforderungen vorsehen. Hauptauftragnehmer müssen sicherstellen, dass Unterauftragnehmer die CMMC-Anforderungen erfüllen, und könnten wichtige Zulieferer verlieren, wenn diese nicht konform sind. Mit der vollständigen Umsetzung von CMMC werden nicht zertifizierte Unternehmen von einem erheblichen Teil der DoD-Beschaffungen ausgeschlossen. Im Hinblick auf regulatorische und rechtliche Risiken kann die Nichteinhaltung bestehender CMMC-Anforderungen zu Vertragskündigungen oder anderen Maßnahmen führen. Nicht bestandene Prüfungen können formale Sicherheitsfeststellungen nach sich ziehen, die behoben werden müssen. Werden Pläne zur Mängelbeseitigung (POA&Ms) nicht innerhalb der vorgeschriebenen 180 Tage abgeschlossen, verfällt der CMMC-Status. Im Bereich der Datensicherheit sind Unternehmen ohne angemessene Cybersicherheitskontrollen anfälliger für Datenschutzverletzungen bei FCI und CUI, und schwache Sicherheitspraktiken in der Lieferkette können Angriffsflächen für Bedrohungsakteure schaffen, die DoD-Informationen ins Visier nehmen.

Anforderungen für die CMMC-Implementierung

Unternehmen, die eine CMMC-Zertifizierung anstreben, müssen zunächst ermitteln, welcher CMMC-Level für die Art der verarbeiteten Informationen (FCI oder CUI) gilt, die Systeme und Komponenten identifizieren, die FCI oder CUI verarbeiten, speichern oder übertragen, erforderliche Dokumentationen wie System Security Plans (SSPs) und POA&Ms erstellen und sich auf die Prüfung durch eine C3PAO oder DIBCAC für Level 2 oder 3 vorbereiten.

Technische Anforderungen

Die technische Umsetzung variiert je nach CMMC-Level, aber gemeinsame Anforderungen sind unter anderem die Implementierung eines effektiven Zugriffsmanagements für Anwender, Systeme und externe Verbindungen, angemessene Schutzmaßnahmen für Daten im ruhenden Zustand und während der Übertragung, die Einrichtung von System-Auditing, Bedrohungserkennung und Incident-Response-Fähigkeiten, die Pflege sicherer Basiskonfigurationen und die Kontrolle von Änderungen sowie regelmäßige Tests und Bewertungen der Sicherheitskontrollen.

Best Practices für die Implementierung und Aufrechterhaltung der CMMC 2.0-Compliance

Die Implementierung und Aufrechterhaltung der CMMC 2.0-Compliance erfordert eine strategische Herangehensweise und kontinuierliches Engagement. Eine der wichtigsten Best Practices ist es, den Zertifizierungsprozess so früh wie möglich zu starten. Mit der Veröffentlichung von 32 CFR und 48 CFR gilt: Wenn Ihr Unternehmen den Weg zur CMMC-Compliance noch nicht begonnen hat, ist jetzt der richtige Zeitpunkt. Aufgrund der umfassenden Anforderungen kann die Erreichung der Compliance zeitaufwendig sein. Ein früher Start stellt sicher, dass Unternehmen ausreichend Zeit haben, notwendige Änderungen umzusetzen und Herausforderungen zu begegnen.

Wir empfehlen, die folgenden Best Practices zu befolgen, um sowohl eine reibungslose Implementierung der für die CMMC-Zertifizierung erforderlichen Prozesse und Verfahren als auch die Aufrechterhaltung der CMMC-Compliance nach erfolgreicher Zertifizierung sicherzustellen – unabhängig davon, welchen CMMC-Reifegrad Ihr Unternehmen anstrebt.

1. Einbindung der Führungsebene in den CMMC-Compliance-Prozess

Die Einbindung der Führungsebene ist entscheidend für eine erfolgreiche CMMC-Implementierung. Die Unterstützung des Top-Managements gewährleistet, dass ausreichend Ressourcen für den Zertifizierungsprozess bereitgestellt werden und Cybersicherheit im gesamten Unternehmen Priorität erhält. Führungskräfte fördern zudem eine Sicherheitskultur im Unternehmen.

2. Stetige Überprüfung der Cybersicherheitsbereitschaft und CMMC-Compliance

Regelmäßige Selbsteinschätzungen sind essenziell für die Aufrechterhaltung der CMMC-Compliance. Unternehmen sollten ihre Cybersicherheitslage kontinuierlich an den CMMC-Anforderungen messen – auch nach erfolgreicher Zertifizierung. Diese Bewertungen helfen, Verbesserungsbedarf zu erkennen und sicherzustellen, dass Sicherheitsmaßnahmen angesichts neuer Bedrohungen wirksam bleiben.

3. Mitarbeiterschulungen zu Cybersecurity Best Practices

Die Einführung eines umfassenden Schulungsprogramms ist eine weitere wichtige Best Practice. Alle Mitarbeitenden sollten in Cybersecurity Best Practices und die für ihre Rolle relevanten CMMC-Anforderungen eingewiesen werden. Diese Schulungen sollten fortlaufend und regelmäßig aktualisiert werden, um auf neue Bedrohungen und Änderungen im CMMC-Programm zu reagieren.

4. Dokumentation der CMMC-Compliance-Maßnahmen

Eine lückenlose Dokumentation ist für die CMMC-Compliance unerlässlich. Unternehmen sollten detaillierte Aufzeichnungen zu Sicherheitspraktiken, Richtlinien und Verfahren führen. Diese Dokumentation unterstützt nicht nur den Zertifizierungsprozess, sondern sorgt auch für Konsistenz in den Sicherheitsmaßnahmen im gesamten Unternehmen.

5. Überwachung von Änderungen am CMMC-Rahmenwerk

Über aktuelle CMMC-Programm-Änderungen und Updates informiert zu bleiben, ist für die Compliance essenziell. Die Cybersicherheitslandschaft entwickelt sich ständig weiter, und das CMMC-Programm kann angepasst werden, um neuen Bedrohungen oder Anforderungen zu begegnen. Unternehmen sollten Verantwortliche benennen, die diese Änderungen überwachen und Sicherheitsmaßnahmen entsprechend anpassen.

6. Nutzung bestehender Cybersecurity-Rahmenwerke

Die Nutzung bestehender Cybersecurity-Rahmenwerke kann den CMMC-Implementierungsprozess effizienter gestalten. Viele Unternehmen haben bereits Maßnahmen zur Einhaltung anderer Standards wie NIST SP 800-171 umgesetzt. Die Abstimmung der CMMC-Aktivitäten mit diesen Rahmenwerken hilft, Doppelarbeit zu vermeiden und einen ganzheitlichen Ansatz für Cybersicherheit zu gewährleisten.

7. Einbindung von Cybersecurity-Experten

Die Zusammenarbeit mit Cybersecurity-Experten bietet wertvolle Unterstützung während der gesamten CMMC-Implementierung. Dies kann die Zusammenarbeit mit CMMC-Beratern oder zertifizierten Third Party Assessment Organizations (C3PAOs) umfassen, die Einblicke in Best Practices geben und bei der Bewältigung der Komplexität des Zertifizierungsprozesses helfen.

8. Überwachung von Datenverkehr und Systemen zur Sicherstellung der CMMC-Compliance

Die Einführung kontinuierlicher Überwachungstools und -prozesse ist für die Aufrechterhaltung der CMMC-Compliance unerlässlich. Diese Tools ermöglichen es Unternehmen, ihre Sicherheitslage in Echtzeit zu überwachen, potenzielle Schwachstellen zu erkennen und schnell auf Sicherheitsvorfälle zu reagieren.

9. Aufbau einer Sicherheitskultur

Die Förderung einer Sicherheitskultur ist vielleicht die wichtigste Best Practice für die CMMC-Compliance. Dies bedeutet, dass alle Mitarbeitenden Cybersicherheit in ihren täglichen Aufgaben priorisieren, offen über Sicherheitsfragen kommunizieren und gutes Sicherheitsverhalten anerkannt und belohnt wird.

CMMC 2.0 ist da

Das Cybersecurity Maturity Model Certification-Programm markiert einen bedeutenden Wandel in der Art und Weise, wie das US-Verteidigungsministerium den Schutz vertraulicher, nicht klassifizierter Informationen in seiner Lieferkette sicherstellt. Mit der Veröffentlichung von 48 CFR als endgültige Regelung verfügt das CMMC-Programm nun über eine klare regulatorische Grundlage durch die DFARS-Klausel 252.204-7021, unterstützt durch die Programmstruktur in 32 CFR Teil 170. Das dreistufige Rahmenwerk bietet einen skalierbaren Ansatz für Sicherheit, mit Anforderungen, die auf die Sensibilität der verarbeiteten Informationen zugeschnitten sind. Unternehmen müssen je nach CMMC-Level entweder eine Selbsteinschätzung oder eine Prüfung durch Dritte absolvieren. Die Umsetzung erfolgt in vier Phasen, wobei die vollständige Implementierung 36 Monate nach Inkrafttreten der Regelung erforderlich ist. Zur Vorbereitung sollten Unternehmen Gap-Analysen durchführen, umfassende Sicherheitsdokumentationen erstellen, risikobasierte Maßnahmen umsetzen, Prozesse zur Überprüfung der Lieferkette etablieren und kontinuierliche Compliance-Praktiken pflegen. Mit den in diesem Leitfaden beschriebenen Best Practices können Verteidigungsauftragnehmer die CMMC-Anforderungen erfolgreich umsetzen, ihre Vergabefähigkeit für DoD-Verträge sichern und zur verbesserten Sicherheitslage der Defense Industrial Base beitragen.

Weitere Ressourcen

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks