In der heutigen digitalen Ära ist die Cybersicherheit zu einer obersten Priorität für Organisationen in verschiedenen Branchen geworden, insbesondere für diejenigen, die mit sensiblen Informationen arbeiten. Das Verteidigungsministerium (DoD) hat bedeutende Schritte unternommen, um seine Cybersicherheitsmaßnahmen durch die Schaffung des Cybersecurity Maturity Model Certification (CMMC) zu verbessern.

Die CMMC-Akkreditierungsstelle (CMMC AB) spielt eine entscheidende Rolle dabei, sicherzustellen, dass Organisationen die notwendigen Sicherheitsstandards zum Schutz von kontrollierten nicht klassifizierten Informationen (CUI) und Bundesvertragsinformationen (FCI) erfüllen.

Cyber AB

Im April 2022 kündigte die CMMC AB an, dass sie eine vollständige Neugestaltung durchführen und ein neues Logo, einen neuen Namen und eine neue öffentlich zugängliche Website annehmen würde. Am 7. Juni 2022 enthüllte die CMMC AB offiziell ihre öffentliche Neugestaltung als The Cyber AB.

Was ist das Cyber AB?

The Cyber AB ist die offizielle Akkreditierungsstelle, die für die Überwachung und Implementierung des CMMC-Modells verantwortlich ist. Diese gemeinnützige Organisation wurde 2020 gegründet, um sicherzustellen, dass Organisationen die erforderlichen Cybersicherheitsstandards für den Umgang mit sensiblen Informationen erfüllen, hauptsächlich für Teilnehmer der Defense Industrial Base (DIB).

Obwohl es andere Akkreditierungsstellen für verschiedene Industrien und Standards gibt, ist The Cyber AB speziell dafür verantwortlich, die CMMC-Anforderungen zu verwalten, die einzigartig für das DoD und dessen Auftragnehmer sind. Ihr Hauptzweck ist es, die Integrität des CMMC-Prozesses zu schützen und ein hohes Maß an Fachkompetenz unter ihren zertifizierten Fachleuten zu erhalten.

Das Cyber AB-Rahmenwerk und der Umfang

Die Hauptrolle von The Cyber AB besteht darin, die CMMC Third Party Assessor Organizations (C3PAOs) zu autorisieren und zu akkreditieren, die CMMC-Bewertungen von Organisationen innerhalb des DIB durchführen. Sie verwaltet auch die professionelle Zertifizierung und Ausbildung innerhalb des CMMC-Ökosystems und arbeitet mit unseren Partnern zusammen, um die Lehrpläne und Prüfprotokolle für CMMC-Bewerter und CMMC-Ausbilder zu entwickeln.

The Cyber AB legt die Anforderungen und Prozesse fest, um eine CMMC-Zertifizierung zu erreichen. Sie baut auf bestehenden Vorschriften, wie NIST SP 800-171, DFARS 252.204-7012 und anderen auf, um einen umfassenden Cybersicherheitsstandard zu etablieren. Das CMMC 2.0-Modell besteht aus drei Reifegraden: Level 1, Level 2, und Level 3.

Um eine bestimmte Reifestufe zu erreichen, müssen Organisationen die erforderlichen Praktiken und Prozesse erfüllen, die für diese Stufe vorgeschrieben sind. Das Cyber AB ist dafür verantwortlich, sicherzustellen, dass Organisationen diese Anforderungen durch einen strengen Bewertungs- und Zertifizierungsprozess erfüllen. Organisationen, die CUI verarbeiten oder mit dem DoD zusammenarbeiten, müssen die entsprechende CMMC-Zertifizierungsstufe erreichen, um für Vertragsvergaben in Frage zu kommen.

Das Cyber AB und CMMC Dritte Prüfungsorganisationen (C3PAOs)

Das Cyber AB fungiert als maßgebliche Quelle für CMMC-Bewertungen, Akkreditierungen und Zertifizierungsaktivitäten. Das Cyber AB ist verantwortlich für die Einrichtung und Verwaltung des CMMC-Ökosystems, das die Schulung, Zertifizierung und Qualitätskontrolle von zertifizierten Prüfern (CAs) und C3PAOs umfasst. Das Cyber AB arbeitet eng mit dem DoD zusammen, um eine erfolgreiche Implementierung des CMMC-Frameworks und eine verbesserte Cybersicherheitspostur für das DIB zu gewährleisten. Es ist verantwortlich für die Festlegung der Richtlinien, Politiken und Verfahren fürBewertungen, um sicherzustellen, dass jede Organisation gemäß ihrem gewünschten CMMC-Niveau korrekt bewertet wird.

C3PAOs spielen eine entscheidende Rolle im Bewertungsprozess. Diese Organisationen sind verantwortlich für die Durchführung der eigentlichen CMMC-Bewertungen bei Organisationen, die eine Zertifizierung suchen. Sie sind hochqualifiziert und vom Cyber AB akkreditiert, um CMMC-Bewertungen durchzuführen und Zertifizierungen auf der Grundlage der während der Bewertung gesammelten Beweise auszustellen. C3PAOs müssen unparteiisch und unabhängig von der zu bewertenden Organisation bleiben, um eine faire und unvoreingenommene Bewertung zu gewährleisten. Sie führen Bewertungen unter Verwendung einer Kombination von standardisierten Verfahren, Richtlinien und Rahmenwerken durch, die vom Cyber AB bereitgestellt werden.

Die von C3PAOs durchgeführte Bewertung basiert auf dem gewünschten Reifegrad der Organisation. Die Reifegrade von CMMC 2.0 sind:

CMMC 2.0 Level 1: Grundlegend

Grundlegendes Niveauerfordert eine jährliche Selbstbewertung mit Bestätigung durch einen Unternehmensleiter. Dieses Niveau umfasst die grundlegenden Sicherheitsanforderungen für FCI, wie in FAR-Klausel 52.204-21 festgelegt.

CMMC 2.0 Level 2: Fortgeschritten

Fortgeschrittenes Niveauist abgestimmt auf das National Institute of Standards and Technology SP 800-171 (NIST SP 800-171). Es erfordert dreijährige Fremdbewertungen für DoD-Vertragspartner, die kritische Informationen zur nationalen Sicherheit senden, teilen, empfangen und speichern. Diese Fremdbewertungen werden von C3PAOs durchgeführt. Ausgewählte Vertragspartner, die in Stufe 2 fallen, benötigen nur jährliche Selbstbewertungen mit Unternehmensbestätigung.

Dieses Niveau umfasst die Sicherheitsanforderungen für CUI, wie in NIST SP 800-171 Rev 2 gemäß DFARS-Klausel 252.204-7012 [3, 4, 5] festgelegt.

CMMC 2.0 Level 3: Experte

Experten-Niveauist abgestimmt auf und erfordert dreijährige, von der Regierung geleitete Bewertungen. Informationen zu Stufe 3 werden später veröffentlicht und enthalten eine Teilmenge der in NIST SP 800-172 [6] festgelegten Sicherheitsanforderungen.

Jedes dieser Niveaus hat eine Reihe von Praktiken und Prozessen, die Organisationen nachweisen müssen, dass sie implementiert und effektiv verwaltet werden. Die C3PAOs bewerten und validieren, ob die Organisation diese Anforderungen erfüllt, was zur Vergabe der entsprechenden CMMC-Zertifizierung führt.

Eines der Hauptziele von The Cyber AB und C3PAOs ist es, die Vertrauenswürdigkeit und Integrität des CMMC-Ökosystems sicherzustellen.

Wie autorisiert das Cyber AB C3PAOs?

Das Cyber AB spielt eine wesentliche Rolle bei der Implementierung und dem Erfolg des CMMC-Rahmenwerks. Das Cyber AB ist für mehrere kritische Aufgaben verantwortlich, einschließlich der Einrichtung und Verwaltung der Schulungs- und Zertifizierungsprogramme für CMMC-Bewerter, der Pflege eines Registers zertifizierter Bewerter und der Überwachung der gesamten Implementierung des CMMC-Rahmenwerks.

Eine der wichtigsten Aufgaben des Cyber AB besteht darin, sicherzustellen, dass alle Bewerter den höchsten Standards an Ethik und Professionalität entsprechen. Die Akkreditierungsstelle erreicht dies durch die Entwicklung eines Ethikkodex für Bewerter und die Einrichtung eines Systems von Kontrollen und Ausgleichsmaßnahmen, um die Unparteilichkeit und Konsistenz der Bewertungen zu gewährleisten.

Eine Organisation, die ein C3PAO werden möchte, muss einen Autorisierungsprozess erfolgreich durchlaufen, bevor sie als C3PAO zertifiziert wird. Zukünftige C3PAOs müssen eine CMMC-Bewertung bestehen, die vom Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) durchgeführt wird. Das C3PAO muss seine Konformität mit dem CMMC-Standard nachweisen, nach dem es Bewertungen durchführen wird.

Das Cyber AB ist ebenfalls dafür verantwortlich, sicherzustellen, dass der Zertifizierungsprozess fair, transparent und für alle Unternehmen, die eine Zertifizierung suchen, zugänglich ist. Dies umfasst die Entwicklung von Schulungsprogrammen für Bewerter, die Erstellung eines Satzes von Bewertungsverfahren und Richtlinien sowie die Einrichtung eines Systems für Berufungen und Streitbeilegung.

Insgesamt spielt The Cyber AB eine entscheidende Rolle bei der erfolgreichen Implementierung des CMMC-Rahmenwerks, und ihre Verantwortlichkeiten sind entscheidend, um die höchsten Standards der Cybersicherheitsreife im gesamten DIB zu gewährleisten. Mit ihrem Engagement für Transparenz, Professionalität und ethische Praktiken ist The Cyber AB ein wichtiger Partner im fortlaufenden Bemühen, sensible Regierungsinformationen zu schützen und die nationale Sicherheit zu stärken.

Rollen und Verantwortlichkeiten des Cyber AB-Personals

The Cyber AB umfasst verschiedene Personen, darunter Vorstandsmitglieder, Prüfer und C3PAOs. Die Vorstandsmitglieder sind verantwortlich für die Überwachung der Strategie, Governance und Betriebsabläufe der Organisation. Sie entwickeln auch Richtlinien und Verfahren für den Akkreditierungsprozess und gewährleisten die fortlaufende Wartung und Verbesserung des CMMC-Modells.

Zertifizierte CMMC-Prüfer sind verantwortlich für die Durchführung von Audits und Bewertungen von Organisationen, die eine CMMC-Zertifizierung anstreben. Sie bewerten die Cybersicherheitspraktiken und -prozesse der Organisation, um ihre Übereinstimmung mit den CMMC-Anforderungen festzustellen. The Cyber AB bietet strenge Schulungs- und Zertifizierungsprogramme für seine Prüfer, um deren Fachkenntnis und Professionalität sicherzustellen.

Bedeutung der CMMC-Compliance für Regierungsvertragspartner

CMMC ist ein einheitlicher Cybersicherheitsstandard für DoD-Vertragspartner, der darauf abzielt, kontrollierte nicht klassifizierte Informationen (CUI) innerhalb der Lieferkette zu schützen. Der CMMC wurde vom DoD erstellt und ist eine wesentliche Komponente für Organisationen, die ihre Position innerhalb des DIB sichern möchten.

Durch die Implementierung des angemessenen Levels der CMMC-Konformität können Regierungsvertragspartner ihr Engagement für den Schutz sensibler Inhalte demonstrieren und die Aufrechterhaltung des Vertrauens des DoD und anderer Regierungsbehörden. Das Cyber AB spielt eine entscheidende Rolle dabei, sicherzustellen, dass Regierungsunternehmer die erforderliche Compliance erreichen. Als Akkreditierungsstelle für CMMC legt das Cyber AB die Anforderungen für die Zertifizierung von Organisationen und einzelnen Prüfern fest. Das Cyber AB gewährleistet, dass der Zertifizierungsprozess konsistent und streng ist, und fördert ein hohes Sicherheitsniveau im gesamten DIB. Auftragnehmer, die eine CMMC-Zertifizierung anstreben, müssen Bewertungen durch C3PAOs durchlaufen.

Die Einhaltung von CMMC bietet nicht nur Vorteile für die nationale Sicherheit, sondern verschafft Regierungsauftragnehmern auch Wettbewerbsvorteile. Die CMMC-Compliance demonstriert das Engagement eines Auftragnehmers für Cybersicherheit, was ein wesentliches Auswahlkriterium für Regierungsbehörden ist.

Das Cyber AB und die Cybersecurity Maturity Model Integration (CMMI)

Das CMMI-Modell ist ein Rahmenwerk zur Verbesserung von Prozessen, das Organisationen hilft, ihre Prozesse zu verbessern und höhere Leistungsstufen zu erreichen. Es konzentriert sich auf verschiedene Bereiche, einschließlich Cybersicherheit. Das Cyber AB nutzt das CMMI-Modell, um ein Reifegradmodell für Cybersicherheitspraktiken und -prozesse zu etablieren, das Organisationen ein robustes Framework bietet, um ihre Cybersicherheitsposition zu verbessern.

Das Cyber AB und CMMI arbeiten zusammen, um sicherzustellen, dass Organisationen das gewünschte Niveau an Cybersicherheitsreife erreichen und kontinuierlich ihre Sicherheitslage verbessern.

Kiteworks unterstützt CMMC 2.0 Level 2 Compliance

Weil Kiteworks FedRAMP-zugelassen für Moderate Level Impact ist, unterstützt es fast 90% der Anforderungen von CMMC 2.0 Level 2 direkt ab Werk. Kiteworks erleichtert und beschleunigt auch die Zertifizierung von DoD-Lieferanten für CMMC-Compliance. Unter Verwendung von content-defined zero trustKiteworks schützt sensible Kommunikationen von CUI- und FCI-Inhalten und umfasst sicheres Prozessmanagement zur Unterstützung des Workflows und der Überprüfung von Aktivitäten sowie Benutzerauthentifizierung, um gegen böswillige Akteure zu schützen.

Kiteworks bietet die Möglichkeit, viele der Systeme und Prozesse, die für die Erfüllung der CMMC-Anforderungen notwendig sind, zu automatisieren, einschließlich der Berichterstattung über Prüfprotokolle. Dies ermöglicht C3PAOs, ihre Bewertungen von DoD-Lieferanten durchzuführen und etwaige Lücken in den CMMC-Praxiskontrollen zu identifizieren.

DoD-Vertragspartner und Subunternehmer, die sich um DoD-Aufträge bewerben wollen, müssen die CMMC-Compliance erreichen. Die schrittweise Einführung begann im Mai 2023, daher ist jetzt der Zeitpunkt, zu beginnen – und das Kiteworks Private Content Network ist der perfekte Ausgangspunkt.

Planen Sie eine individuelle Demo, zugeschnitten darauf, wie Kiteworks Ihre CMMC-Compliance-Reise noch heute beschleunigen kann.

Zurück zum Glossar für Risiko & Compliance

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Teilen
Twittern
Teilen
Explore Kiteworks