
CMMC vs. ITAR: Müssen Rüstungsunternehmen eine oder beide Vorgaben erfüllen?
Im Bereich der Verteidigungsaufträge ist die Einhaltung von gesetzlichen Vorgaben ein entscheidender Bestandteil des Geschäfts. Das Cybersecurity Maturity Model Certification (CMMC) 2.0 und die International Traffic in Arms Regulations (ITAR) sind zentrale regulatorische Rahmenwerke, die die Branche maßgeblich beeinflussen. Diese Vorschriften dienen dem Schutz sensibler Informationen und der nationalen Sicherheit, sorgen jedoch bei Verteidigungsunternehmen für Unsicherheit, wenn es darum geht, welches Rahmenwerk für ihre Tätigkeiten gilt. Dieser Blogbeitrag gibt einen Überblick über CMMC 2.0 und ITAR, vergleicht deren grundlegende Unterschiede und gibt Hinweise darauf, welche Verteidigungsunternehmen eine oder beide Vorschriften einhalten müssen.
Der CMMC-Zertifizierungsprozess ist anspruchsvoll, aber unser CMMC 2.0 Compliance-Fahrplan kann dabei unterstützen.
CMMC 2.0: Ein einheitlicher Cybersecurity-Standard für die Verteidigungsindustrie
Die Cybersecurity Maturity Model Certification, kurz CMMC, ist ein einheitlicher Cybersecurity-Standard, der vom US-Verteidigungsministerium (DoD) entwickelt wurde, um die Sicherheit sensibler Informationen innerhalb der Defense Industrial Base (DIB) zu gewährleisten. Die CMMC-Compliance ist für alle Verteidigungsunternehmen verpflichtend, die mit dem DoD zusammenarbeiten und kontrollierte, nicht klassifizierte Informationen (CUI) verarbeiten. Diese Informationen können technische Daten, Forschungs- und Entwicklungsdaten oder andere sensible, aber nicht klassifizierte Daten im Zusammenhang mit Verteidigungsoperationen umfassen.
Im November 2021 führte das DoD CMMC 2.0 ein – eine überarbeitete Version des ursprünglichen Modells, um den Zertifizierungsprozess zu vereinfachen und die Belastung für kleine Unternehmen zu reduzieren. CMMC 2.0 basiert auf drei Stufen, die jeweils spezifische Verfahren und Praktiken für die Compliance erfordern:
CMMC 2.0 Level 1: Grundlegende Cybersecurity für FCI
Diese Stufe konzentriert sich auf grundlegende Cybersecurity-Hygiene und umfasst die im National Institute of Standards and Technology (NIST) Special Publication 800-171 beschriebenen Praktiken, ergänzt um einige zusätzliche Anforderungen. Diese Stufe ist der Mindeststandard für Verteidigungsunternehmen, die mit Federal Contract Information (FCI) arbeiten.
CMMC 2.0 Level 2: Erweiterter Schutz für CUI
Verteidigungsunternehmen, die CUI verarbeiten, müssen Level 2 einhalten, das zusätzliche Sicherheitspraktiken über die Anforderungen von NIST SP 800-171 hinaus beinhaltet. Diese Stufe soll sensible Informationen vor fortgeschrittenen Cyberbedrohungen schützen.
CMMC 2.0 Level 3: Experten-Schutz für kritische Programme
Diese Stufe ist für kritische Programme und Technologien reserviert, die den höchsten Schutzbedarf im Bereich Cybersecurity haben. Level 3 umfasst strengere Sicherheitsanforderungen, einschließlich kontinuierlicher Überwachung und fortschrittlicher Bedrohungserkennung.
ITAR: Schutz von Verteidigungstechnologien vor globalen Bedrohungen
Die International Traffic in Arms Regulations (ITAR) sind Vorschriften, die den Export, Import und die Vermittlung von Rüstungsgütern, Verteidigungsdienstleistungen und zugehörigen technischen Daten regeln. ITAR wird vom Directorate of Defense Trade Controls (DDTC) des US-Außenministeriums durchgesetzt und soll den unbefugten Transfer sensibler Verteidigungstechnologien an ausländische Akteure verhindern.
Verteidigungsunternehmen, die Produkte auf der United States Munitions List (USML) herstellen, exportieren oder Dienstleistungen dazu anbieten, müssen sich beim DDTC registrieren und ITAR einhalten. Die USML umfasst verschiedene verteidigungsrelevante Güter, darunter Waffensysteme, militärische Elektronik und Schutzausrüstung.
CMMC 2.0 vs. ITAR: Die entscheidenden Unterschiede verstehen
Obwohl CMMC 2.0 und ITAR für Verteidigungsunternehmen essenziell sind, verfolgen sie unterschiedliche Ziele und stellen verschiedene Anforderungen. Der folgende Abschnitt vergleicht die beiden regulatorischen Rahmenwerke.
Geltungsbereich von CMMC vs. ITAR: Cybersecurity vs. Exportkontrolle
CMMC 2.0 konzentriert sich auf Cybersecurity und richtet sich explizit an Verteidigungsunternehmen, die mit dem DoD zusammenarbeiten und FCI oder CUI verarbeiten. ITAR hingegen ist breiter gefasst und regelt den Export, Import und die Vermittlung von Rüstungsgütern, Verteidigungsdienstleistungen und technischen Daten.
Anwendbarkeit: Tätigkeiten und Rollen, die Compliance auslösen
CMMC 2.0 gilt für alle Verteidigungsunternehmen, die mit dem DoD arbeiten – unabhängig von Größe oder Art der Tätigkeit. ITAR gilt für Unternehmen, die Produkte auf der USML herstellen, exportieren oder Dienstleistungen dazu anbieten.
Durchsetzung und Strafen: Was steht auf dem Spiel?
CMMC 2.0 wird vom DoD durchgesetzt und verlangt von Verteidigungsunternehmen eine Überprüfung durch Dritte, um die Compliance zu bestätigen. Die Zertifizierung muss während der gesamten Vertragslaufzeit aufrechterhalten werden. Das DDTC des US-Außenministeriums überwacht die Einhaltung von ITAR. Verstöße können zu schweren zivil- und strafrechtlichen Sanktionen führen, darunter Geldstrafen, Freiheitsstrafen und Ausschluss von künftigen Verträgen.
Compliance-Anforderungen: Kontrollen vs. Registrierung und Lizenzen
CMMC 2.0 definiert Cybersecurity-Praktiken und -Prozesse auf drei Ebenen, mit spezifischen Anforderungen je nach Einbindung des Unternehmens mit FCI oder CUI. ITAR-Compliance erfordert die Registrierung beim DDTC, die Implementierung eines Exportkontrollprogramms und den Erhalt entsprechender Lizenzen für den Export, Import oder die Vermittlung von Rüstungsgütern, Verteidigungsdienstleistungen und technischen Daten.
WICHTIGE ERKENNTNISSE
-
Compliance ist entscheidend für Verteidigungsunternehmen
Die Einhaltung von CMMC 2.0 und ITAR entscheidet über die Vergabe von Regierungsaufträgen – daher ist das Verständnis der Anforderungen unerlässlich.
-
Überblick zu CMMC 2.0
CMMC 2.0 ist ein dreistufiger, vom DoD entwickelter Cybersecurity-Standard, der die Cybersecurity-Praktiken für Verteidigungsunternehmen mit CUI stärkt.
-
Überblick zu ITAR
ITAR wird vom US-Außenministerium durchgesetzt und regelt den Export, Import und die Vermittlung von Rüstungsgütern und technischen Daten, um unbefugte Transfers zu verhindern.
-
Unterschiede zwischen CMMC 2.0 und ITAR
CMMC und ITAR unterscheiden sich in Geltungsbereich, Anwendbarkeit und Anforderungen. CMMC konzentriert sich auf Cybersecurity, ITAR auf Exportkontrolle.
-
Duale Compliance meistern
Verteidigungsunternehmen müssen je nach Geschäftstätigkeit sowohl CMMC 2.0 als auch ITAR einhalten. Duale Compliance erfordert eine integrierte Strategie.
CMMC oder ITAR: So erkennen Sie, welche Vorschrift für Ihre Geschäftstätigkeit gilt
Die Notwendigkeit zur Einhaltung von CMMC 2.0 und ITAR hängt von den konkreten Tätigkeiten und Dienstleistungen eines Verteidigungsunternehmens ab. Je nach Geschäftsmodell kann die Einhaltung einer oder beider Vorschriften erforderlich sein.
CMMC 2.0-Compliance für DoD-Auftragnehmer
Alle Verteidigungsunternehmen, die mit dem DoD arbeiten und FCI oder CUI verarbeiten, müssen CMMC 2.0 einhalten. Die erforderliche Compliance-Stufe richtet sich nach der Art der verarbeiteten Informationen:
CMMC 2.0 Level 1: Für Unternehmen mit FCI
Grundlegende Cybersecurity – die erste Stufe von CMMC 2.0 – legt den Fokus auf grundlegende Cybersecurity-Hygiene zum Schutz von Unternehmen, die FCI verarbeiten. FCI bezeichnet Informationen, die im Rahmen eines Vertrags von der Regierung bereitgestellt oder für sie erstellt werden und nicht für die Öffentlichkeit bestimmt sind.
Durch die Einhaltung von Level 1 weisen Verteidigungsunternehmen nach, dass sie eine solide Grundlage für das Management von Cybersecurity-Risiken geschaffen und FCI vor unbefugtem Zugriff und Offenlegung geschützt haben. Auf dieser Stufe müssen die Unternehmen die in NIST SP 800-171 beschriebenen Cybersecurity-Praktiken sowie einige zusätzliche Anforderungen umsetzen. Dazu zählen der gesicherte Zugang zu Informationssystemen, sichere Passwort-Richtlinien und aktuelle Antivirensoftware.
CMMC 2.0 Level 2: Für Unternehmen mit CUI
Erweiterte Cybersecurity – die zweite Stufe von CMMC 2.0 – richtet sich an Unternehmen, die mit CUI arbeiten. CUI ist eine Kategorie sensibler Informationen, die Schutz- oder Verbreitungsbeschränkungen unterliegt, da ein unbefugter Zugriff die nationale Sicherheit gefährden könnte.
Zusätzlich zu den Anforderungen aus Level 1 müssen Unternehmen auf dieser Stufe fortschrittlichere Cybersecurity-Praktiken implementieren, um CUI vor ausgefeilten Cyberbedrohungen zu schützen. Diese Maßnahmen gehen über NIST SP 800-171 hinaus und können Mehrfaktor-Authentifizierung, doppelte Verschlüsselung und Intrusion-Detection-Systeme umfassen. Mit der Einhaltung von Level 2 zeigen Unternehmen ihr Engagement für den Schutz von CUI und die Risikominimierung bei Cybervorfällen mit potenziell gravierenden Auswirkungen auf die nationale Sicherheit.
CMMC 2.0 Level 3: Für Unternehmen mit kritischen Programmen
Experten-Cybersecurity – die dritte und höchste Stufe von CMMC 2.0 – ist für Unternehmen reserviert, die an kritischen Programmen und Technologien arbeiten, die höchsten Schutzbedarf erfordern. Diese Programme können Informationen oder Fähigkeiten betreffen, deren Kompromittierung der nationalen Sicherheit erheblich schaden würde.
Unternehmen müssen auf dieser Stufe ein umfassendes und robustes Cybersecurity-Programm umsetzen, das strenge Sicherheitsanforderungen und fortschrittliche Fähigkeiten beinhaltet. Dazu gehören kontinuierliche Überwachung, fortschrittliche Bedrohungserkennung und proaktive Maßnahmen zur Identifizierung und Abwehr neuer Cyberbedrohungen. Mit Level 3 weisen Unternehmen nach, dass sie die sensibelsten und kritischsten Vermögenswerte der Defense Industrial Base schützen und so die Sicherheit der fortschrittlichsten Technologien und Fähigkeiten des Landes gewährleisten.
ITAR-Compliance für Exporteure und Dienstleister im Verteidigungsbereich
Verteidigungsunternehmen, die Produkte auf der USML herstellen, exportieren oder Dienstleistungen dazu anbieten, müssen ITAR einhalten. Dies gilt für Unternehmen, die Rüstungsgüter entwickeln, produzieren oder warten, sowie für Anbieter von Schulungen, technischer Unterstützung oder Beratungsleistungen im Zusammenhang mit Verteidigungsgütern.
CMMC 2.0 und ITAR: Duale Compliance managen
Das Verständnis und Management der dualen Compliance ist entscheidend, um die Berechtigung für DoD-Aufträge zu erhalten und potenzielle Strafen bei Nichteinhaltung zu vermeiden. In manchen Fällen müssen Unternehmen die Komplexität der gleichzeitigen Einhaltung von CMMC 2.0 und ITAR meistern. Solche Situationen entstehen typischerweise, wenn Unternehmen Tätigkeiten ausüben, die unter beide Vorschriften fallen. Die folgenden Szenarien erfordern häufig die duale Einhaltung von CMMC 2.0 und ITAR:
FCI oder CUI in DoD-Verträgen: Wann CMMC greift
Unternehmen, die mit dem DoD zusammenarbeiten und FCI oder CUI verwalten, müssen das jeweils passende CMMC 2.0-Level für ihre Informationsverarbeitung einhalten – ob Grundlegend, Erweitert oder Experten-Cybersecurity.
USML-Güter und ITAR: Wann Compliance erforderlich ist
Unternehmen, die Produkte auf der USML herstellen, exportieren oder Dienstleistungen dazu anbieten, müssen die ITAR-Vorgaben einhalten. Dazu gehört das Einholen der erforderlichen Lizenzen und die Umsetzung eines effektiven Exportkontrollprogramms.
Ein Beispiel: Ein Unternehmen entwickelt und produziert ein fortschrittliches Radarsystem, das auf der USML gelistet ist. Neben der Verarbeitung von CUI im Rahmen eines DoD-Vertrags exportiert das Unternehmen das Radarsystem auch an ausländische Partner. In diesem Fall muss das Unternehmen sowohl CMMC 2.0 als auch ITAR einhalten.
Integrierte Compliance-Strategie für Unternehmen
Um die duale Compliance effektiv zu managen, sollten Unternehmen eine integrierte Strategie umsetzen, die die spezifischen Anforderungen von CMMC 2.0 und ITAR abdeckt. Diese Strategie kann beinhalten:
- Ein umfassendes Cybersecurity-Programm, das sich am CMMC 2.0-Framework orientiert und Exportkontrollanforderungen integriert
- Aufbau und Pflege eines Exportkontrollprogramms, das nahtlos mit der bestehenden Cybersecurity-Infrastruktur des Unternehmens zusammenarbeitet
- Regelmäßige Assessments, Audits und Schulungen zur Sicherstellung der Einhaltung von CMMC 2.0 und ITAR
Mit einem ganzheitlichen Compliance-Ansatz können Unternehmen die Komplexität der Einhaltung von CMMC 2.0 und ITAR erfolgreich meistern, sensible Informationen schützen und ihre Fähigkeit zur Zusammenarbeit mit dem DoD und anderen Behörden sichern.
CMMC 2.0 vs. ITAR-Compliance: Praxisbeispiele
Die folgenden Use Cases verdeutlichen die Notwendigkeit der Einhaltung von CMMC 2.0 oder ITAR.
Use Case 1: Cybersecurity-Dienstleistungen für das DoD
Ein Unternehmen bietet dem DoD Cybersecurity-Dienstleistungen an und verarbeitet dabei CUI. In diesem Fall ist die Einhaltung von CMMC 2.0 Level 2: Erweiterte Cybersecurity erforderlich. Da das Unternehmen keine Produkte auf der USML herstellt, exportiert oder entsprechende Dienstleistungen anbietet, ist ITAR-Compliance nicht notwendig.
Use Case 2: Herstellung und Export von Verteidigungselektronik
Ein Unternehmen produziert Verteidigungselektronik, die auf der USML gelistet ist, und exportiert diese an ausländische Partner. Aufgrund des Exports von USML-Gütern ist die Einhaltung von ITAR erforderlich. Verarbeitet das Unternehmen zudem CUI im Rahmen eines DoD-Vertrags, muss zusätzlich CMMC 2.0 Level 2: Erweiterte Cybersecurity eingehalten werden.
Use Case 3: F&E in sensiblen Verteidigungstechnologien
Ein Unternehmen erbringt Forschungs- und Entwicklungsleistungen für das DoD im Bereich fortschrittlicher Materialien für militärische Anwendungen. Dabei werden sowohl FCI als auch CUI verarbeitet. In diesem Fall ist die Einhaltung von CMMC 2.0 Level 2: Erweiterte Cybersecurity erforderlich. Geht die Forschung mit USML-Gütern einher und werden diese exportiert, importiert oder entsprechende Dienstleistungen angeboten, ist zusätzlich ITAR-Compliance erforderlich.
Use Case 4: Militärische Ausbildung und Support
Ein Unternehmen bietet militärische Ausbildungs- und Supportdienstleistungen an, einschließlich der Arbeit mit auf der USML gelisteten Rüstungsgütern. Das Unternehmen verarbeitet im Rahmen seiner Tätigkeit FCI oder CUI. In diesem Fall ist ITAR-Compliance aufgrund der Arbeit mit USML-Gütern erforderlich. CMMC 2.0-Compliance ist nicht notwendig, da keine FCI oder CUI verarbeitet werden.
Beschleunigen Sie Ihre CMMC 2.0 Level 2 Compliance mit Kiteworks
Die Navigation durch das CMMC 2.0-Framework ist komplex – insbesondere für DoD-Auftragnehmer und Subunternehmer, die Level 2 erreichen müssen. Die Zusammenarbeit mit CMMC-Experten ist eine kluge Entscheidung, um einen reibungslosen Compliance-Prozess zu gewährleisten.
Spezialisierte Beratungsunternehmen wie Optiv unterstützen Sie dabei, Ihre bestehenden Kontrollen und Technologien an die Anforderungen von Level 2 anzupassen. Diese Experten begleiten Sie bei der Umsetzung von Plans of Action & Milestones (POA&Ms) und arbeiten mit zertifizierten CMMC Third Party Assessor Organizations (C3PAOs) für Assessments und Akkreditierung zusammen.
Neben fachkundiger Beratung kann die Wahl der passenden Plattform für die Kommunikation sensibler Inhalte Ihren CMMC 2.0 Level 2-Compliance-Prozess erheblich beschleunigen. Statt mehrere Tools für den Versand, Austausch, Empfang und die Speicherung sensibler Informationen wie CUI und FCI zu nutzen, reduziert eine einheitliche Lösung Komplexität, Ineffizienzen und Risiken.
Mehr als 3.800 Organisationen setzen auf die Kiteworks-Plattform – eine FedRAMP-autorisierte Lösung für Moderate Level Impact (seit sechs Jahren in Folge). Unter anderem hebt sich Kiteworks durch seine FedRAMP-Compliance von anderen Lösungen ab, die DoD-Zulieferer für Datei- und E-Mail-Kommunikation nutzen. Dank FedRAMP-Compliance und gehärteter virtueller Appliance unterstützt Kiteworks nahezu 90 % der 110 Practice Controls in CMMC 2.0 Level 2 – mehr als jede andere vergleichbare Lösung am Markt.
Erfahren Sie, wie Sie der Konkurrenz einen Schritt voraus sind und Ihre CMMC 2.0 Level 2 Compliance beschleunigen, indem Sie noch heute eine individuelle Demo von Kiteworks vereinbaren.
CMMC vs. ITAR – Häufig gestellte Fragen
Nein, DoD-Auftragnehmer müssen nicht zwangsläufig sowohl CMMC als auch ITAR einhalten. Die Notwendigkeit zur Compliance hängt von den konkreten Tätigkeiten und Dienstleistungen eines Unternehmens innerhalb der Defense Industrial Base (DIB) ab. Je nach Geschäftsmodell kann die Einhaltung einer oder beider Vorschriften erforderlich sein.
Alle Verteidigungsunternehmen, die mit dem DoD arbeiten und FCI oder CUI verarbeiten, müssen CMMC 2.0 einhalten. Die erforderliche Compliance-Stufe richtet sich nach der Art der verarbeiteten Informationen. Unternehmen, die Produkte auf der USML herstellen, exportieren oder Dienstleistungen dazu anbieten, müssen ITAR einhalten. In manchen Fällen müssen Unternehmen die Komplexität der gleichzeitigen Einhaltung von CMMC 2.0 und ITAR bewältigen, wenn ihre Tätigkeiten unter beide Vorschriften fallen.
CMMC 2.0 konzentriert sich auf Cybersecurity und richtet sich explizit an Unternehmen, die mit dem DoD zusammenarbeiten und FCI oder CUI verarbeiten. ITAR ist breiter gefasst und regelt den Export, Import und die Vermittlung von Rüstungsgütern, Verteidigungsdienstleistungen und technischen Daten. CMMC 2.0 gilt für alle Unternehmen, die mit dem DoD arbeiten, während ITAR speziell für Unternehmen gilt, die Produkte auf der USML herstellen, exportieren oder dazu Dienstleistungen anbieten.
Nein. CMMC 2.0 und ITAR verfolgen unterschiedliche Ziele und stellen verschiedene Anforderungen. CMMC 2.0 konzentriert sich auf Cybersecurity für Unternehmen, die mit dem DoD zusammenarbeiten und FCI oder CUI verarbeiten, mit spezifischen Cybersecurity-Praktiken auf drei Ebenen. ITAR-Compliance umfasst die Registrierung beim DDTC, die Umsetzung eines Exportkontrollprogramms und das Einholen der erforderlichen Lizenzen für Export, Import oder Vermittlung von Rüstungsgütern. Die reine ITAR-Compliance erfüllt die CMMC-Anforderungen nicht.
Nein. Unternehmen, die beide Vorschriften einhalten müssen, benötigen eine integrierte Strategie, die die spezifischen Anforderungen beider Rahmenwerke abdeckt. Dazu gehört der Aufbau eines umfassenden Cybersecurity-Programms gemäß CMMC unter Berücksichtigung der Exportkontrollanforderungen, die Pflege eines Exportkontrollprogramms, das mit der Cybersecurity-Infrastruktur integriert ist, sowie regelmäßige Assessments für beide Rahmenwerke. Die CMMC-Compliance allein erfüllt nicht die Exportkontrollanforderungen von ITAR.
Weitere Ressourcen
- Brief Top 5 Wege, wie Kiteworks ITAR-kritische Inhalte für Regierungsauftragnehmer schützt
- Blog Post ITAR-Compliance: Vorschriften, Standards und Sanktionen
- Feature Kiteworks schützt ITAR-kritische Inhalte für Regierungsauftragnehmer
- Webinar CMMC-Anforderungen für sicheres File Transfer erfüllen
- White Paper Sichere Inhaltskommunikation für CMMC 2.0