Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS

Leitfaden zu den CMMC-Level-2-Compliance-Anforderungen

Home Glossar Leitfaden zu den CMMC Level 2 Compliance-Anforderungen

Die Cybersecurity Maturity Model Certification (CMMC) ist ein schrittweiser, aber wichtiger Meilenstein für Verteidigungsauftragnehmer. CMMC Level 2 konzentriert sich auf fortgeschrittene Cyberhygiene und bildet eine logische, notwendige Weiterentwicklung für Unternehmen, die von Level 1 zu Level 3 aufsteigen wollen. Neben dem Schutz von Federal Contract Information (FCI) beinhaltet Level 2 auch den Schutz von Controlled Unclassified Information (CUI). Im Vergleich zu Level 1 positionieren die zusätzlichen Maßnahmen in Level 2 DoD-Lieferanten besser, um sich gegen gefährlichere Cyberbedrohungen zu verteidigen.

CMMC Level 2 Compliance

CMMC Level 2 führt zudem das Element der Prozessreife in das Modell ein. Auf CMMC Level 2 wird von einem Unternehmen erwartet, dass es zentrale Cybersecurity-Funktionen ausführt und dokumentiert. Einen detaillierten Fahrplan für die CMMC Level 2 Compliance zu erstellen, ist für jeden DoD-Lieferanten, der CUI innerhalb der DoD-Lieferkette austauscht, entscheidend.

Wer benötigt CMMC Level 2 Compliance?

Auftragnehmer und Unterauftragnehmer, die aktuell mit dem Verteidigungsministerium zusammenarbeiten oder dies planen, müssen die Compliance nachweisen. Wenn diese Unternehmen Informationen verarbeiten, verwalten oder handhaben, die für die nationale Sicherheit relevant sind, benötigen sie die CMMC Level 2 Compliance. Um diese zu erreichen, müssen Auftragnehmer eine umfassende CMMC Level 2 Drittanbieter-Prüfung durchlaufen.

CMMC 2.0 Compliance Fahrplan für DoD Auftragnehmer

Jetzt lesen

Für CMMC Level 2 gelten 110 Kontrollen, die direkt aus NIST 800-171 stammen. Die CMMC Level 2 Zertifizierung ist erforderlich für Unternehmen, die sich auf DoD-Aufträge bewerben, bei denen folgende Daten verarbeitet werden:

  • Controlled Unclassified Information (CUI)
  • Controlled Technical Information (CTI)
  • ITAR- oder exportkontrollierte Daten

Einführung in CMMC 2.0: Entwicklung und Zielsetzung

CMMC 2.0 stellt eine bedeutende Weiterentwicklung des Cybersecurity-Standards des Verteidigungsministeriums für die Defense Industrial Base (DIB) dar. Das Hauptziel ist der Schutz sensibler Informationen, insbesondere Federal Contract Information (FCI) und Controlled Unclassified Information (CUI), vor Cyberbedrohungen.

Wesentliche Änderungen gegenüber dem ursprünglichen Rahmenwerk sind die Reduzierung von fünf auf drei Level, die direkte Ausrichtung der Anforderungen an etablierte NIST-Standards (insbesondere NIST 800-171 für Level 2) sowie die Möglichkeit zur Selbstbewertung für bestimmte Verträge auf Level 1 und teilweise auf Level 2.

Diese Änderungen wurden nach Rückmeldungen aus der DIB eingeführt, um Komplexität und Compliance-Kosten zu senken und insbesondere kleinen und mittleren Unternehmen den Zugang zu erleichtern, während die allgemeine Cybersecurity gestärkt wird.

CMMC 2.0 verfolgt einen kooperativeren und weniger strafenden Ansatz, indem der Fokus auf die Umsetzung solider Cybersecurity-Praktiken gelegt wird, statt ausschließlich auf eine Zertifizierungspunktzahl. So wird die Sicherheitsresilienz der gesamten Verteidigungslieferkette gestärkt.

Wie erkenne ich, ob ich CUI habe?

CUI ist ein Begriff, der eine Vielzahl sensibler, aber nicht klassifizierter Daten umfasst. Dazu zählen personenbezogene Daten (PII), vertrauliche Unternehmensinformationen, geschützte Gesundheitsinformationen (PHI), Informationen zu kritischer Infrastruktur und Cybersecurity sowie geschützte Informationen (CJIS), die sich auf Strafverfolgungsbehörden beziehen. Ziel von CUI ist es, sicherzustellen, dass auch nicht klassifizierte Daten geschützt werden und ein spezieller Prozess für deren sicheren Umgang und Zugriff nur für Berechtigte eingehalten wird. CUI umfasst Daten, die mit einem hohen Maß an Sicherheit behandelt werden müssen. Alle, die mit diesen Daten arbeiten, müssen entsprechend geschult und sensibilisiert sein, um einen unbefugten Zugriff zu verhindern.

CMMC-Sicherheitsanforderungen für E-Mails

CMMC Level 2 Compliance konzentriert sich auf die Einführung fortgeschrittener Cyberhygiene-Praktiken, einschließlich E-Mail-Sicherheit zum Schutz von CUI. Ein Email Protection Gateway (EPG) ist entscheidend, um E-Mail-Kommunikation für CUI abzusichern und Verschlüsselungsprozesse für Endanwender transparent zu gestalten. Die Implementierung einer EPG-Lösung unterstützt Unternehmen bei der Erfüllung der CMMC Level 2 Anforderungen durch leistungsstarke E-Mail-Sicherheitsfunktionen wie Spam-Filter, Phishing-Schutz, Data Loss Prevention und sichere E-Mail-Verschlüsselung. Durch die Einhaltung dieser Anforderungen schützen Unternehmen ihre sensiblen Informationen, reduzieren Cyberbedrohungen und bleiben konform mit den sich entwickelnden Cybersecurity-Anforderungen.

Welches CMMC-Level benötigt Ihr Unternehmen?

Die Bestimmung des richtigen CMMC-Levels hängt in erster Linie von der Art der Informationen ab, die Ihr Unternehmen im Zusammenhang mit DoD-Verträgen verarbeitet. Wenn Ihre Verträge ausschließlich Federal Contract Information (FCI) betreffen, reicht in der Regel CMMC Level 1 aus.

Verarbeitet, speichert oder überträgt Ihr Unternehmen jedoch Controlled Unclassified Information (CUI), müssen Sie nahezu sicher die Anforderungen von CMMC Level 2 erfüllen. Prüfen Sie Ihre aktuellen und potenziellen Verträge sorgfältig; Formulierungen zum Schutz von CUI oder Verweise auf DFARS 252.204-7012 oder NIST SP 800-171 deuten klar auf Level 2 hin. Bei Unsicherheiten wenden Sie sich an Ihren Vertragsbeauftragten.

Eine einfache Entscheidungsstruktur: 1) Verarbeiten wir FCI? (Falls ja, mindestens Level 1 erforderlich.) 2) Verarbeiten wir CUI? (Falls ja, Level 2 erforderlich.) Die korrekte Zuordnung ist entscheidend: Zu hohe Einstufung verursacht unnötige Kosten, zu niedrige führt zu Non-Compliance und potenziellem Vertragsverlust. Das Verständnis der spezifischen CMMC Level 2 Anforderungen für den Umgang mit CUI ist unerlässlich.

Was ist nötig, um CMMC Level 2 Compliance zu erreichen?

Um die CMMC Level 2 Compliance zu erreichen, ist ein umfassender Ansatz für Cybersecurity erforderlich. Dazu gehören die Einführung von Richtlinien und Verfahren, der Einsatz technischer Kontrollen sowie ein robustes Aus- und Weiterbildungsprogramm. Für Richtlinien und Verfahren verlangt Level 2 einen System-Sicherheitsplan, eine Richtlinie zum Mediensschutz, einen Notfallplan, Incident Response, Patch-Management und Account-Management-Prozesse.

Auf technischer Ebene müssen Unternehmen Kontrollen für Authentifizierung, Medienkennzeichnung, Systemüberwachung, Systemintegrität, Virenschutz und Auditing implementieren. Zudem ist ein genehmigtes Schulungs- und Weiterbildungsprogramm für Mitarbeitende mit entsprechenden Berechtigungen erforderlich, damit diese ihre Rolle beim Schutz der Umgebung verstehen. Die Erfüllung der Level 2 Compliance erfordert einen ausgewogenen Ansatz, der proaktive technische Maßnahmen, klare Prozesse und ein umfassendes Schulungsprogramm vereint.

Vorbereitung auf CMMC Level 2: Eine Checkliste

Die Vorbereitung auf die CMMC Level 2 Compliance umfasst eine systematische Verbesserung der Cybersecurity im Unternehmen. Diese Checkliste unterstützt Sie dabei:

  1. Machen Sie sich mit den CMMC Level 2 Anforderungen vertraut, einschließlich aller 110 Anforderungen in 14 Domänen.
  2. Führen Sie eine umfassende Gap-Analyse durch, um Verbesserungsbedarf zu identifizieren.
  3. Erstellen Sie einen Maßnahmenplan zur Behebung der identifizierten Lücken und implementieren Sie die erforderlichen Kontrollen.
  4. Stellen Sie Ressourcen wie Budget und Personal für Ihre Compliance-Bemühungen bereit.
  5. Schulen Sie Ihr Personal zu CMMC-Anforderungen und Cybersecurity Best Practices.
  6. Implementieren Sie Richtlinien, Verfahren und Dokumentation zur Unterstützung der Compliance-Initiativen.
  7. Überprüfen und aktualisieren Sie Ihre Cybersecurity-Praktiken regelmäßig, um die Compliance aufrechtzuerhalten.
  8. Arbeiten Sie mit CMMC-Beratern oder C3PAOs für Beratung und Unterstützung bei der Bewertung zusammen.
  9. Führen Sie eine Selbstbewertung durch, um Ihre Bereitschaft vor der offiziellen CMMC-Prüfung zu prüfen.
  10. Planen Sie Ihre CMMC-Prüfung mit einem akkreditierten C3PAO, um die Compliance zu bestätigen.

CMMC 2.0 Level 2 Compliance-Anforderungen

Die Anforderungen auf CMMC Level 2 umfassen 110 Kontrollen, die in 15 Domänen gruppiert sind:

Domäne Anzahl der Kontrollen
1. Zugriffskontrolle (AC) 22 Kontrollen
2. Audit und Verantwortlichkeit (AU) 9 Kontrollen
3. Sensibilisierung und Schulung (AT) 3 Kontrollen
4. Konfigurationsmanagement (CM) 9 Kontrollen
5. Identifikation und Authentifizierung (IA) 11 Kontrollen
6. Incident Response (IR) 3 Kontrollen
7. Wartung (MA) 6 Kontrollen
8. Mediensschutz (MP) 9 Kontrollen
9. Personalsicherheit (PS) 2 Kontrollen
10. Physischer Schutz (PE) 6 Kontrollen
11. Wiederherstellung (RE) 2 Kontrollen
12. Risikomanagement (RM) 3 Kontrollen
13. Sicherheitsbewertung (CA) 4 Kontrollen
14. System- und Kommunikationsschutz (SC) 16 Kontrollen
15. System- und Informationsintegrität (SI) 7 Kontrollen

Die Kontrollen in den 15 Domänen sind wie folgt:

Zugriffskontrolle

Diese Anforderungsfamilie ist die größte und enthält 22 Kontrollen. Unternehmen müssen alle Zugriffsereignisse in der IT-Umgebung überwachen und den Zugriff auf Systeme und Daten beschränken. Zu den Anforderungen gehören:

  • Umsetzung des Least-Privilege-Prinzips
  • Autorisierung und Schutz von drahtlosem Zugriff durch Verschlüsselung und Authentifizierung
  • Trennung von Aufgaben, um unregelmäßige Aktivitäten zu verhindern
  • Überwachung und Steuerung von Remote-Zugriffen
  • Kontrolle und Einschränkung der Nutzung mobiler Geräte
  • Kontrolle des CUI-Flusses im Unternehmen und Verschlüsselung auf mobilen Geräten

Audit und Verantwortlichkeit

Diese Familie umfasst neun Kontrollen. Unternehmen müssen Audit-Protokolle aufbewahren, um sie für Sicherheitsuntersuchungen zu nutzen und Anwender für ihre Handlungen verantwortlich zu machen. Sie müssen Audit-Logs sammeln und analysieren, um unbefugte Aktivitäten zu erkennen und schnell zu reagieren. Folgende Schritte unterstützen die Umsetzung:

  • Schutz der Audit-Systeme vor unbefugtem Zugriff
  • Überprüfung und Aktualisierung der überwachten Ereignisse
  • Bericht über Fehler im Audit-Prozess
  • Erstellung von Berichten für Ad-hoc-Analysen und Compliance-Nachweise

Sensibilisierung und Schulung

Diese Kontrollfamilie verlangt, dass Unternehmen sicherstellen, dass Manager, Systemadministratoren und andere Anwender die Sicherheitsrisiken ihrer Tätigkeiten kennen. Sie müssen mit den Sicherheitsrichtlinien des Unternehmens und grundlegenden Cybersecurity-Praktiken vertraut sein, um interne und externe Bedrohungen zu erkennen und darauf zu reagieren.

Konfigurationsmanagement

Im Bereich Konfigurationsmanagement müssen Unternehmen Basis-Konfigurationen etablieren und pflegen, was die Kontrolle und Überwachung von nutzerinstallierter Software und Änderungen an Systemen umfasst. Die Compliance-Anforderungen beinhalten:

  • Blacklisting nicht autorisierter Software
  • Dokumentation aller Ereignisse, bei denen der Zugriff aufgrund von Änderungen an IT-Systemen eingeschränkt wurde
  • Einschränkung, Deaktivierung oder Verhinderung der Nutzung nicht notwendiger Programme, Funktionen, Protokolle und Dienste
  • Prinzip der geringsten Funktionalität durch Konfiguration der Systeme auf nur notwendige Funktionen

Identifikation und Authentifizierung

Die Familie Identifikation und Authentifizierung stellt sicher, dass nur authentifizierte Anwender Zugriff auf das Netzwerk oder die Systeme des Unternehmens erhalten. Sie umfasst 11 Anforderungen zu Passwort- und Authentifizierungsverfahren sowie zur zuverlässigen Identifizierung von Anwendern. Die Anforderungen gewährleisten die Unterscheidung zwischen privilegierten und nicht privilegierten Konten im Netzwerkzugriff.

Incident Response

In dieser Familie müssen Unternehmen eine Incident-Response-Strategie haben, die eine schnelle Reaktion auf Vorfälle wie einen Datenschutzverstoß ermöglicht. Unternehmen können Fähigkeiten implementieren, um Sicherheitsvorfälle zu erkennen, zu analysieren, darauf zu reagieren und diese an zuständige Stellen zu melden – und den Incident-Response-Plan regelmäßig testen.

Wartung

Unzureichende Systemwartung kann zur Offenlegung von CUI führen und gefährdet die Vertraulichkeit der Informationen. Unternehmen müssen regelmäßige Wartungen gemäß folgenden Anforderungen durchführen:

  • Überwachung der Personen und Teams, die Wartungsarbeiten durchführen
  • Sicherstellen, dass Medien mit Diagnose- und Testprogrammen frei von Schadcode sind
  • Sicherstellen, dass zur Wartung ausgelagerte Geräte keine sensiblen Daten enthalten

Medienschutz

Die Kontrollfamilie Mediensschutz verlangt, dass die Sicherheit von Systemmedien mit CUI gewährleistet wird – sowohl für Papier- als auch digitale Medien.

Personalsicherheit

Diese kleine Kontrollfamilie verlangt, dass Unternehmen Anwenderaktivitäten überwachen und sicherstellen, dass alle Systeme mit CUI während und nach Personalmaßnahmen wie Kündigungen und Versetzungen geschützt sind.

Physischer Schutz

Physischer Schutz umfasst den Schutz von Hardware, Software, Netzwerken und Daten vor Schäden oder Verlust durch physische Ereignisse. Unternehmen müssen dazu folgende Maßnahmen umsetzen:

  • Kontrolle physischer Zugangseinrichtungen
  • Beschränkung des physischen Zugangs zu Systemen und Geräten auf autorisierte Anwender
  • Führen von Audit-Logs für physischen Zugang

Wiederherstellung

Im Bereich Wiederherstellung müssen Unternehmen regelmäßig Backups durchführen und testen sowie die Vertraulichkeit von Backup-CUI an Speicherorten schützen.

Risikomanagement

Zwei Anforderungen betreffen die Durchführung und Analyse regelmäßiger Risikoanalysen. Unternehmen müssen Systeme regelmäßig auf Schwachstellen prüfen, Netzwerkgeräte und Software aktuell und sicher halten. Das regelmäßige Identifizieren und Beheben von Schwachstellen verbessert die Sicherheit des Gesamtsystems.

Sicherheitsbewertung

Unternehmen müssen ihre Sicherheitskontrollen überwachen und bewerten, um festzustellen, ob sie ausreichend wirksam sind, um Daten zu schützen. Sie benötigen einen Plan, der Systemgrenzen, Beziehungen zwischen Systemen und Verfahren zur Umsetzung der Sicherheitsanforderungen beschreibt und regelmäßig aktualisiert wird.

System- und Kommunikationsschutz

Diese umfangreiche Kontrollfamilie umfasst 16 Kontrollen zur Überwachung, Steuerung und zum Schutz von Informationen, die von IT-Systemen übertragen oder empfangen werden. Dazu gehören:

  • Verhinderung unbefugter Informationsübertragungen
  • Einsatz kryptografischer Mechanismen, um unbefugte Offenlegung von CUI zu verhindern
  • Aufbau von Subnetzen für öffentlich zugängliche Systemkomponenten, getrennt von internen Netzwerken
  • Standardmäßige Ablehnung von Netzwerkkommunikationsverkehr

System- und Informationsintegrität

Diese Kontrollgruppe verlangt, dass Unternehmen Systemfehler schnell erkennen und beheben sowie kritische Assets vor Schadcode schützen. Dazu gehören:

  • Überwachung und schnelle Reaktion auf Sicherheitswarnungen über unbefugte Nutzung von IT-Systemen
  • Regelmäßige Scans der IT-Systeme und Überprüfung von Dateien aus externen Quellen beim Herunterladen oder Ausführen
  • Aktualisierung von Schutzmechanismen gegen Schadcode, sobald neue Versionen verfügbar sind

Kosten der CMMC-Compliance

Die Kosten für die CMMC-Compliance variieren je nach Unternehmensgröße, Komplexität und angestrebtem Zertifizierungslevel.

Für kleine und mittlere Unternehmen (KMU) können die Compliance-Kosten erheblich sein. Anfangsinvestitionen umfassen die Implementierung von Sicherheitskontrollen, die Einstellung oder Schulung von Personal für Cybersecurity und die Beschaffung von Tools zur Unterstützung dieser Maßnahmen. Unternehmen müssen zudem Ressourcen für die Aufrechterhaltung der Compliance bereitstellen, etwa regelmäßige Sicherheitsaudits, Software-Updates und Mitarbeiterschulungen.

CMMC Level 1 Compliance, die sich auf grundlegende Cyberhygiene konzentriert, erfordert in der Regel geringere Investitionen als höhere Level. Mit dem Ziel CMMC Level 2 oder Level 3 steigen die Kosten durch den Bedarf an fortgeschritteneren Kontrollen, Dokumentation und kontinuierlichem Monitoring.

Unternehmen sollten eine umfassende Risikoanalyse und Gap-Analyse durchführen, um die erforderlichen Sicherheitsmaßnahmen und die damit verbundenen Kosten zu ermitteln. Die Zusammenarbeit mit einer CMMC Third Party Assessor Organization (C3PAO) oder einer Registered Provider Organization (RPO) kann den Prozess begleiten und einen reibungsloseren Übergang zur Compliance sicherstellen.

Wann werden CMMC 2.0-Anforderungen verbindlich?

Das Verteidigungsministerium setzt CMMC 2.0 schrittweise um, sobald der offizielle Regelsetzungsprozess abgeschlossen ist.

Die CMMC 2.0 Proposed Rule wurde Ende 2023 veröffentlicht, gefolgt von einer öffentlichen Kommentierungsphase. Die endgültige Regel, die die CMMC-Anforderungen in Titel 32 des Code of Federal Regulations (CFR) aufnimmt, wird für Ende 2024 oder Anfang 2025 erwartet.

Nach Inkrafttreten plant das DoD, die CMMC-Anforderungen innerhalb von drei Jahren schrittweise in Ausschreibungen aufzunehmen. Phase 1 beginnt voraussichtlich kurz nach Veröffentlichung der Regel und verlangt CMMC Level 1 oder Level 2 Compliance für ausgewählte Verträge mit sensiblen Daten. Die vollständige Umsetzung für alle relevanten DoD-Verträge wird bis zum 1. Oktober 2026 erwartet.

Unternehmen, die CUI verarbeiten, sollten sich jetzt auf die Erfüllung der CMMC Level 2 Anforderungen vorbereiten, da die Fristen näher rücken und die Umsetzung Zeit benötigt.

Weitere Informationen zu CMMC-Compliance-Zeitplänen finden Sie in unserem CMMC-Fahrplan für DoD-Lieferanten.

Wie sollte sich mein Unternehmen auf eine CMMC Level 2 Prüfung vorbereiten?

CMMC Level 2 (Advanced) erfordert alle drei Jahre eine Drittanbieter-Prüfung für DoD-Auftragnehmer, die kritische nationale Sicherheitsinformationen senden, teilen, empfangen und speichern. Diese Prüfungen werden von einer CMMC Third Party Assessor Organization (C3PAO) durchgeführt, die von der CMMC Accreditation Body (CMMC-AB) autorisiert und zertifiziert ist, um Unternehmen und Unterauftragnehmer auf die Einhaltung des CMMC-Standards zu prüfen.

Für einen erfolgreichen Ablauf ist eine sorgfältige Vorbereitung entscheidend. Folgende Schritte sollten Sie beachten:

  • Verstehen Sie den Bewertungsrahmen und die Anforderungen, einschließlich Standards, Kriterien und Ziele
  • Halten Sie relevante Dokumente und Compliance-Nachweise aktuell und griffbereit
  • Planen Sie die Prüfung sorgfältig, indem Sie ausreichend Zeit und Ressourcen einplanen
  • Stellen Sie Personal zur Unterstützung der Prüfung bereit, wählen Sie einen geeigneten Ort und sorgen Sie für die richtige Ausstattung
  • Sorgen Sie dafür, dass alle relevanten Stakeholder durch umfassende Schulungen vorbereitet sind

Erreichen der CMMC Level 2 Compliance

Die Erfüllung der CMMC Level 2 Compliance umfasst die Umsetzung fortgeschrittener Cyberhygiene-Praktiken zum Schutz von Controlled Unclassified Information (CUI) und Federal Contract Information (FCI). Unternehmen müssen alle 110 Anforderungen in 14 Domänen erfüllen. Wichtige Schritte sind eine gründliche Gap-Analyse, Entwicklung eines Maßnahmenplans, Implementierung erforderlicher Sicherheitskontrollen und Mitarbeiterschulungen. Die Zusammenarbeit mit CMMC-Beratern oder Third Party Assessor Organizations (C3PAOs) unterstützt Unternehmen bei der Umsetzung, Prüfung und Verifizierung der Compliance und stärkt letztlich ihre Cybersecurity.

Wer ist für vollständige CMMC-Prüfungen verantwortlich?

CMMC Third Party Assessor Organizations (C3PAOs) sind für die Durchführung vollständiger CMMC-Prüfungen verantwortlich. Diese Organisationen sind von der CMMC Accreditation Body (CMMC-AB) akkreditiert und bestehen aus zertifizierten Prüfern, die die Cybersecurity-Praktiken und -Kontrollen eines Unternehmens anhand des CMMC-Rahmenwerks bewerten. C3PAOs überprüfen neutral die Einhaltung des erforderlichen CMMC-Levels, um sicherzustellen, dass Sicherheitsstandards zum Schutz sensibler Informationen und zur Aufrechterhaltung von Verträgen innerhalb der DoD-Lieferkette eingehalten werden.

CMMC 2.0 Selbstbewertungskriterien & Bewertungssysteme

CMMC 2.0, die aktualisierte Version des ursprünglichen CMMC-Rahmenwerks, vereinfacht die Compliance durch die Möglichkeit zur Selbstbewertung. Die Kriterien bewerten die Einhaltung grundlegender Cybersecurity-Praktiken und -Kontrollen. Bewertungssysteme liefern eine quantitative Einschätzung des Cybersecurity-Reifegrads. Ein höherer Score steht für eine bessere Sicherheitslage. Mithilfe von Selbstbewertungs-Templates und Tools können Unternehmen Verbesserungsbedarf identifizieren, einen Maßnahmenplan entwickeln und den Fortschritt auf dem Weg zur gewünschten CMMC 2.0 Compliance verfolgen.

Welche Rolle spielt ein C3PAO bei der CMMC 2.0 Level 2 Compliance?

Ein C3PAO ist entscheidend für die Erreichung der CMMC 2.0 Level 2 Compliance. C3PAO-Prüfer bewerten die bestehenden Richtlinien, Prozesse und Kontrollen eines Unternehmens anhand der CMMC-Anforderungen. Sie prüfen Sicherheitsdokumentationen, führen Interviews und Vor-Ort-Inspektionen von Systemen und physischer Sicherheit durch. Nach der Bewertung erstellt der C3PAO einen Bericht über die Ergebnisse, der zur Überprüfung, Bewertung und Zertifizierung an die CMMC Accreditation Body übermittelt wird.

Selbstbewertung vs. Drittanbieter-Prüfung: Anforderungen und Unterschiede

Unter CMMC 2.0 hängt die Art der erforderlichen Prüfung für Level 2 von der Sensibilität der CUI im jeweiligen DoD-Vertrag ab. Ein Teil der Level 2 Programme, die keine Informationen mit kritischer Bedeutung für die nationale Sicherheit betreffen, erlaubt eine jährliche Selbstbewertung mit Bestätigung durch die Geschäftsleitung, die im Supplier Performance Risk System (SPRS) des DoD eingereicht wird.

Für Selbstbewertungen nutzen Unternehmen die NIST 800-171 DoD Assessment Methodology und dokumentieren den Umsetzungsstatus für jede der 110 Kontrollen. Die Mehrheit der Verträge mit CMMC Level 2 Anforderungen, insbesondere bei sensibler CUI, verlangt jedoch eine dreijährliche Drittanbieter-Prüfung durch eine akkreditierte CMMC Third Party Assessor Organization (C3PAOs).

Diese C3PAO-Prüfung ist ein strengerer Verifizierungsprozess, der bei erfolgreichem Abschluss zur formalen CMMC Level 2 Zertifizierung führt. Beide Wege erfordern einen System Security Plan (SSP). Unternehmen, die eine Selbstbewertung durchführen, können einen Plan of Action and Milestones (POA&M) für nicht umgesetzte Kontrollen nutzen (mit Score-Beschränkungen), während C3PAO-Prüfungen in der Regel die vollständige Umsetzung aller Kontrollen zum Zeitpunkt der Prüfung verlangen, wobei eine begrenzte Nutzung von POA&M unter bestimmten Bedingungen der endgültigen Regel möglich ist. Für beide Ansätze ist eine umfassende Dokumentation und Nachweiserbringung erforderlich.

Wenn Sie CMMC Level 2 Compliance anstreben, lesen Sie unseren CMMC Level 2 Assessment Guide.

Kiteworks beschleunigt die CMMC 2.0 Compliance für DoD-Lieferanten

Das Kiteworks Private Data Network ist FedRAMP Authorized für Moderate Level Impact. Dank der FedRAMP-Zertifizierung unterstützt Kiteworks nahezu 90% der CMMC 2.0 Level 2 Anforderungen direkt. Technologieanbieter ohne FedRAMP Authorized Zertifizierung können dieses Compliance-Niveau nicht erreichen. Kiteworks beschleunigt damit die Zeit, die DoD-Lieferanten benötigen, um die CMMC Level 2 Compliance zu erreichen. Mit einem content-definierten zero-trust-Ansatz schützt Kiteworks sensible Kommunikation von CUI- und FCI-Inhalten über zahlreiche Kommunikationskanäle – darunter E-Mail, Filesharing, Managed File Transfer, Web-Formulare und Application Programming Interfaces (APIs).

Vereinbaren Sie eine individuelle Demo, um zu sehen, wie das Kiteworks Private Data Network DoD-Auftragnehmern und Unterauftragnehmern hilft, den CMMC-Zertifizierungsprozess zu beschleunigen und zu vereinfachen.

Zurück zum Risk & Compliance Glossar

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN
Teilen
Twittern
Teilen
Explore Kiteworks