Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

CMMC 1.0 vs. CMMC 2.0: Wat is er veranderd en wat betekent het voor uw bedrijf

Home Glossary CMMC 1.0 vs. CMMC 2.0: Wat is er veranderd en wat betekent het voor uw bedrijf

De Cybersecurity Maturity Model Certification (CMMC) is een reeks overkoepelende cybersecuritynormen en -praktijken die organisaties in de industriële defensiebasis (DIB) moeten implementeren om hun bedrijfsgegevens te beschermen. Geïntroduceerd door het Amerikaanse Ministerie van Defensie (DoD) in 2020, is CMMC ontworpen om de vertrouwelijkheid van federale contractinformatie (FCI) en gecontroleerde niet-geclassificeerde informatie (CUI) te beschermen.

Het CMMC-certificeringsproces is zwaar, maar ons CMMC 2.0-nalevingsstappenplan kan helpen.

Vanwege de gevoeligheid van informatie die wordt behandeld door bedrijven die contracten hebben met het Ministerie van Defensie (DoD), zijn aannemers en onderaannemers verplicht om te voldoen aan ten minste één niveau van de CMMC. Door dit te doen, moeten organisaties die binnen de toeleveringsketen van het DoD opereren, een goede beveiligingsstatus bereiken en behouden. De gefaseerde implementatie begint later dit jaar, met eind 2025 als doel voor volledige implementatie.

Wat is CMMC?

De Cybersecurity Maturity Model Certification, of CMMC, is een uniforme reeks cybersecuritynormen en -praktijken die van toepassing zijn op alle DoD-aannemers. Het biedt een uniforme set vereisten die organisaties moeten voldoen om FCI en CUI te beschermen tegen ongeoorloofde toegang en wijziging. CMMC is ontworpen om ervoor te zorgen dat DoD-aannemers voldoen aan overheidsreguleringen voor cyberbeveiliging en om ongeoorloofde behandeling en verspreiding van gevoelige inhoud te voorkomen.

Waarom is het belangrijk?

CMMC is om twee redenen belangrijk. Ten eerste biedt het organisaties een kader om te voldoen aan de cybersecuritynormen van het DoD. Ten tweede helpt het organisaties om de vertrouwelijkheid van FCI en CUI te beschermen. Dit is belangrijk voor DoD-aannemers, aangezien ongeoorloofde toegang of wijziging van FCI en CUI kan leiden tot aanzienlijke financiële, reputatie- en juridische gevolgen.

CMMC 1.0 vs. CMMC 2.0

Wie moet CMMC-certificering behalen?

Elke organisatie binnen de industriële defensiebasis (DIB) die federale contractinformatie (FCI) of gecontroleerde niet-geclassificeerde informatie (CUI) behandelt als onderdeel van een DoD-contract, moet CMMC-certificering behalen op het niveau dat in het contract is gespecificeerd. Dit omvat hoofdaannemers, onderaannemers op alle niveaus, adviseurs en mogelijk cloudserviceproviders of beheerde serviceproviders die deze organisaties ondersteunen.

Als uw organisatie alleen FCI behandelt, heeft u doorgaans een Level 1-certificering nodig. Als u CUI behandelt, heeft u waarschijnlijk Level 2 nodig of, voor zeer gevoelige CUI-programma’s, Level 3. Relevante contractuele clausules zoals DFARS 252.204-7012, 7019, 7020 en de aankomende 7021 verplichten deze cybersecurityvereisten en vereisen dat hoofdaannemers deze doorgeven aan onderaannemers. Bijvoorbeeld, een kleine machinewerkplaats die onderaannemer is voor een grote lucht- en ruimtevaart hoofdaannemer zal CMMC-certificering nodig hebben als hun werk CUI omvat, zoals technische tekeningen of specificaties.

Van CMMC 1.0 naar CMMC 2.0

In november 2021 kondigde het DoD aan dat het CMMC 2.0 zou implementeren ter vervanging van CMMC 1.0. Dit bijgewerkte kader implementeert verschillende wijzigingen om de cyberhygiëne van alle aannemers die DoD-contracten houden of eraan deelnemen te verbeteren. Het DoD kondigde aan dat het zich zou bezighouden met regelgeving gedurende de daaropvolgende 9 tot 24 maanden, waardoor het cruciaal is voor federale aannemers en onderaannemers om zich voor te bereiden op de implementatie van CMMC 2.0, zodat ze naleving kunnen bereiken.

CMMC 1.0, uitgebracht in 2020, omvat controledomeinen en beveiligingspraktijken, die zijn onderverdeeld in vijf beveiligingsvolwassenheidsniveaus, variërend van basis cyberhygiëne (Level 1) tot geavanceerd/progressief (Level 5). CMMC 2.0 heeft de volwassenheidsniveaus van 5 naar 3 teruggebracht. CMMC 2.0 heeft Levels 2 en 4 verwijderd. Volwassenheidsniveau 1 bleef ongewijzigd. Het heeft nog steeds 17 praktijkvereisten die overeenkomen met de 15 cybersecuritypraktijken in FAR Clause 52.204-21.

CMMC 2.0 Level 2 neemt de plaats in van het vorige volwassenheidsniveau 3, maar zonder de delta 20-praktijken, waardoor dit niveau in overeenstemming is met de 110 praktijken van NIST SP 800-171. CMMC 2.0 Level 3 is nog in ontwikkeling op basis van een subset van NIST 800-172. Het neemt de plaats in van de vorige volwassenheidsniveaus 4 en 5.

Waarom het DoD CMMC 2.0 introduceerde

De overgang van CMMC 1.0 naar 2.0 werd gedreven door verschillende strategische doelen die gericht waren op het verfijnen van het programma op basis van feedback van belanghebbenden en de evoluerende behoeften op het gebied van cyberbeveiliging.

Belangrijke doelstellingen waren onder meer: het nauwer afstemmen van CMMC-vereisten op gevestigde normen zoals NIST SP 800-171 om redundantie te verminderen; het vereenvoudigen van het model door het aantal CMMC-niveaus van vijf naar drie te verminderen; het verminderen van de beoordelingslast en kosten, met name voor kleine bedrijven, door zelfbeoordeling toe te staan voor Level 1 en sommige Level 2-contracten; en het verbeteren van de algehele beveiliging van de toeleveringsketen door inspanningen te richten op de bescherming van CUI.

Aangekondigd in november 2021, was CMMC 2.0 bedoeld om de implementatie te stroomlijnen door middel van een gefaseerde uitrol gekoppeld aan DoD-regelgeving, waardoor bedrijven meer duidelijkheid kregen over vereisten, meer flexibele beoordelingsopties en een meer schaalbare benadering van cybersecurityvolwassenheid.

CMMC 1.0 vs. CMMC 2.0: Belangrijkste Verschillen

Enkele van de belangrijkste verschillen die kwamen met de introductie van CMMC 2.0 ten opzichte van CMMC 1.0 zijn:

Certificatieniveaus

Het CMMC 1.0-model stelde vijf certificeringsniveaus vast, terwijl het CMMC 2.0-model de certificeringsniveaus heeft geconsolideerd tot drie. De certificeringsniveaus zijn cruciaal voor het bepalen van de beveiligingsvereisten voor het specifieke contract.

CMMC 2.0 Level 1 (Foundational) is noodzakelijk voor DoD-aannemers en onderaannemers die FCI behandelen. CMMC 2.0 Level 1 vereist dat organisaties zich houden aan basis cyberbeveiligingspraktijken gericht op het beschermen van FCI, zoals gespecificeerd in FAR Clause 52.204-21.

CMMC 2.0 Level 2 (Advanced) vereist dat organisaties meer robuuste cyberbeveiligingspraktijken hebben, zoals toegangscontrole, incidentrespons en mediabescherming. Dit niveau is ontworpen om de integriteit en beschikbaarheid van CUI te beschermen tegen meer geavanceerde bedreigingen. Het Advanced-niveau is afgestemd op National Institute of Standards & Technology SP 800-171 (NIST 800-171). Dit niveau vereist driejaarlijkse beoordelingen door een CMMC Third Party Assessor Organization (C3PAO).

Level 3 (Expert) is het hoogste niveau van CMMC en vereist de implementatie van geavanceerde praktijken zoals systeemverharding en gegevensherstel. Dit niveau is ontworpen om de vertrouwelijkheid, integriteit en beschikbaarheid van CUI te beschermen tegen advanced persistent threats. Informatie over Level 3 zal later worden vrijgegeven en zal een subset bevatten van de beveiligingsvereisten gespecificeerd in NIST SP 800-172.

Domeinstructuur

Het aantal beveiligingsdomeinen in het CMMC 2.0-model is aanzienlijk toegenomen in vergelijking met het CMMC 1.0-model. De extra domeinen hebben meer betrekking op dagelijkse operaties en omvatten onderwerpen zoals Incidentrespons, Anomaliedetectie, Risicobeheer van de toeleveringsketen en Systeembeveiligingsplanning. Deze nieuwe domeinen bieden een uitgebreider beeld van de operaties van een aannemer en bieden meer zekerheid over de beveiliging van hun activa.

Derde-partij Beoordelaars

Het CMMC 2.0-model vereist het gebruik van C3PAO voor Level 2 en Level 3. C3PAO’s zijn belast met het beoordelen en certificeren dat bedrijven in de DIB-toeleveringsketen hebben voldaan aan de cybersecurityvereisten van de CMMC-standaard. Hun verantwoordelijkheden omvatten het evalueren en uitgeven van certificaten van naleving van de CMMC-standaard.

 

Kernbeveiligingsdomeinen in CMMC 2.0

Het Cybersecurity Maturity Model Certification (CMMC) 2.0-kader is gestructureerd rond een reeks beveiligingsdomeinen die nauw aansluiten bij de vereisten in NIST SP 800-171 en, op het hoogste niveau, NIST 800-172. Deze domeinen vertegenwoordigen kerngebieden van cybersecuritypraktijken die organisaties moeten implementeren en ontwikkelen in de loop van de tijd, afhankelijk van het CMMC-niveau dat ze willen bereiken. Hieronder volgt een samenvatting van de belangrijkste CMMC 2.0-domeinen, waarin hun doel wordt benadrukt en hoe de vereisten schalen over CMMC-niveaus 1, 2 en 3:

  • Toegangscontrole (AC): Beperk systeemtoegang tot geautoriseerde gebruikers, processen of apparaten. Vereisten schalen aanzienlijk van Level 1 naar Level 2.
  • Bewustzijn en Training (AT): Zorg ervoor dat gebruikers zich bewust zijn van beveiligingsrisico’s en getraind zijn om hun taken veilig uit te voeren. Van toepassing op alle niveaus, met meer grondigheid op Level 2/3.
  • Audit en Verantwoording (AU): Creëer, bescherm en bewaar systeemlogboeken om monitoring, analyse, onderzoek en rapportage mogelijk te maken. Voornamelijk Level 2/3-vereiste op basis van NIST SP 800-171.
  • Configuratiebeheer (CM): Stel basisconfiguraties vast en onderhoud deze en beheer wijzigingen aan systemen. Voornamelijk Level 2/3-vereiste.
  • Identificatie en Authenticatie (IA): Identificeer en authenticeer organisatorische gebruikers (of processen die namens gebruikers handelen). Vereisten schalen van Level 1 naar Level 2.
  • Incidentrespons (IR): Stel mogelijkheden vast om incidenten te detecteren, analyseren, beheersen, uitroeien en herstellen. Voornamelijk Level 2/3-vereiste.
  • Onderhoud (MA): Voer onderhoud uit aan organisatorische systemen. Voornamelijk Level 2/3-vereiste.
  • Mediabescherming (MP): Bescherm en controleer systeemmedia die CUI bevatten. Vereisten schalen van Level 1 naar Level 2.
  • Personeelsbeveiliging (PS): Screen individuen voordat toegang wordt verleend. Voornamelijk Level 2/3-vereiste.
  • Fysieke Bescherming (PE): Beperk fysieke toegang tot systemen en faciliteiten. Vereisten schalen van Level 1 naar Level 2.
  • Risicobeoordeling (RA): Beoordeel en beheer risico’s die verband houden met het gebruik van organisatorische systemen. Voornamelijk Level 2/3-vereiste.
  • Beveiligingsbeoordeling (CA): Beoordeel de effectiviteit van beveiligingscontroles en beheer herstelacties. Voornamelijk Level 2/3-vereiste.
  • Systeem- en Communicatiebescherming (SC): Monitor, controleer en bescherm organisatorische communicatie. Vereisten schalen van Level 1 naar Level 2.
  • Systeem- en Informatie-integriteit (SI): Identificeer, rapporteer en corrigeer informatiegebreken tijdig. Vereisten schalen van Level 1 naar Level 2.
  • Herstel (RE): N.v.t. in CMMC 2.0 direct, gedekt binnen andere domeinen zoals IR, CP (Contingency Planning in NIST 800-171).
  • Situationeel Bewustzijn (SA): N.v.t. in CMMC 2.0 direct, concepten geïntegreerd in andere domeinen zoals IR, CA.
  • Asset Management (AM): Opgenomen binnen andere domeinen zoals CM, CA. Effectief gezien, komen de CMMC 2.0-domeinen direct overeen met de 14 families van vereisten die te vinden zijn in NIST SP 800-171 voor Level 2, plus de basisbeveiligingsvereisten van FAR 52.204-21 voor Level 1. Level 3 bouwt voort op Level 2 met vereisten afgeleid van NIST SP 800-172.

Deze domeinen hebben specifieke vereisten waaraan defensie-aannemers moeten voldoen om CMMC-naleving aan te tonen. Voor meer over deze domeinen, inclusief hun vereisten en beste practices voor naleving, bekijk: Toegangscontrole, Bewustzijn en Training, Audit en Verantwoording, Configuratiebeheer, Identificatie & Authenticatie, Incidentrespons, Onderhoud, Mediabescherming, Personeelsbeveiliging, Fysieke Bescherming, Risicobeoordeling, Beveiligingsbeoordeling, Systeem & Communicatiebescherming en Systeem- en Informatie-integriteit.

Nalevingsvereisten op elk CMMC 2.0-niveau

CMMC 2.0 definieert drie verschillende volwassenheidsniveaus, elk afgestemd op de gevoeligheid van de informatie die een organisatie behandelt en de bedreigingsomgeving waarin deze opereert. Naarmate organisaties van Level 1 naar Level 3 gaan, worden de vereisten steeds strenger, wat de groeiende behoefte aan robuuste cyberbeveiligingspraktijken weerspiegelt om federale informatie te beschermen. Hieronder volgt een overzicht van elk niveau, inclusief de soorten gegevens die worden beschermd, vereiste praktijken, beoordelingsverwachtingen en documentatiestandaarden:

Level 1 (Foundational):

  • Gegevensbereik: Beschermt federale contractinformatie (FCI).
  • Praktijken: 14 basisbeveiligingsvereisten afgestemd op FAR 52.204-21.
  • Beoordeling: Jaarlijkse zelfbeoordeling ingediend bij het Supplier Performance Risk System (SPRS).
  • Documentatie: Basisbeleid en procedures voldoende om de 14 praktijken te implementeren. POA&Ms zijn niet toegestaan voor naleving.

    • Level 2 (Advanced):

  • Gegevensbereik: Beschermt gecontroleerde niet-geclassificeerde informatie (CUI).
  • Praktijken: 110 praktijken volledig afgestemd op NIST SP 800-171 Rev 2.
  • Beoordeling: Afhankelijk van de behandelde CUI. Sommige contracten kunnen jaarlijkse zelfbeoordeling toestaan, terwijl andere (die kritieke CUI behandelen) een driejaarlijkse beoordeling door derden vereisen, uitgevoerd door een geaccrediteerde C3PAO.
  • Documentatie: Vereist een Systeembeveiligingsplan (SSP), Actieplan & Mijlpalen (POA&M) voor niet-nageleefde vereisten (met strikte beperkingen en tijdlijnen), en bewijs van implementatie voor alle 110 controles.

    • Level 3 (Expert):

  • Gegevensbereik: Beschermt CUI geassocieerd met programma’s die advanced persistent threats (APTs) omvatten.
  • Praktijken: Alle 110 praktijken van NIST SP 800-171 plus een subset van NIST SP 800-172-vereisten (details nog in afronding).
  • Beoordeling: Driejaarlijkse door de overheid geleide beoordeling uitgevoerd door het Defense Contract Management Agency’s (DCMA) Defense Industrial Base Cybersecurity Assessment Center (DIBCAC).
  • Documentatie: Vereist SSP, POA&M (waarschijnlijk met strengere beperkingen dan Level 2), en uitgebreid bewijs dat de implementatie van verbeterde controles tegen APT’s aantoont.

Belangrijke administratieve controles omvatten het ontwikkelen en onderhouden van de SSP, het uitvoeren van regelmatige risicobeoordelingen, het beheren van POA&Ms, het bieden van beveiligingsbewustzijnstrainingen en het hebben van incidentresponsplannen. Technische controles bestrijken gebieden zoals toegangscontrole, encryptie, systeemmonitoring, kwetsbaarheidsbeheer en configuratiebeheer, toenemend in strengheid over de CMMC-niveaus.

Beste Practices voor het Bereiken van CMMC 2.0-naleving

Voor een organisatie om succesvol te voldoen en gecertificeerd te worden voor een van de drie niveaus van CMMC 2.0-naleving, moet het enkele beste practices volgen, waaronder:

Implementeer Beveiligingscontroles

De eerste stap in het bereiken van CMMC 2.0-naleving is het implementeren van beveiligingscontroles. Om te beginnen moeten organisaties hun huidige nalevingsvereisten identificeren en een basisrisicobeoordeling vaststellen die de reikwijdte van de beveiligingscontroles schetst die moeten worden geïmplementeerd. Beveiligingscontroles moeten worden afgestemd op de specifieke behoeften van een organisatie, waarbij ervoor wordt gezorgd dat alle systemen en processen worden gedekt. Organisaties moeten rekening houden met de technische en procedurele maatregelen die nodig zijn om informatie en systemen te beschermen, zoals toegangscontrole, identiteits- en authenticatiebeheer, configuratiebeheer, scheiding van taken, gegevensbeveiliging, systeempatching en kwetsbaarheidsbeheer, beveiligingstraining en incidentresponsplannen.

Voer Continue Monitoring uit

Zodra de beveiligingscontroles zijn geïmplementeerd, moeten organisaties ervoor zorgen dat ze continu worden gemonitord. Continue monitoring omvat het regelmatig beoordelen van de omgeving om de effectiviteit van de geïmplementeerde beveiligingscontroles te waarborgen en ervoor te zorgen dat huidige bedreigingen tijdig worden geïdentificeerd en aangepakt. Organisaties moeten een proces ontwikkelen om eventuele problemen die zich tijdens monitoringactiviteiten voordoen te identificeren, te beoordelen en te herstellen. Dit proces moet maatregelen omvatten om eventuele beveiligingsincidenten te documenteren, beveiligingsactiviteiten en -trends te beoordelen en passende maatregelen te nemen wanneer nodig.

Stel Incidentresponsplannen op

Organisaties moeten ook een incidentresponsplan opstellen voordat ze proberen CMMC 2.0-naleving te bereiken. Dit plan moet de stappen beschrijven die een organisatie zal nemen als het een beveiligingsincident ervaart, zoals de soorten incidenten die een reactie zullen uitlokken, de rollen en verantwoordelijkheden van betrokken personeel, de te volgen processen en de juiste communicatieactiviteiten. Het is ook belangrijk voor organisaties om een plan te ontwikkelen voor het herstellen van een beveiligingsincident, inclusief het identificeren van de gegevens en systemen die moeten worden hersteld, de stappen die nodig zijn om ze te herstellen en het personeel dat op de hoogte moet worden gesteld. Daarnaast moeten organisaties ervoor zorgen dat hun incidentresponsplannen regelmatig worden beoordeeld en bijgewerkt om ervoor te zorgen dat ze actueel en effectief zijn.

Documenteer Naleving

Organisaties moeten hun processen en activiteiten documenteren om naleving van CMMC 2.0 aan te tonen. Documentatie moet alle beveiligingsbeleid, procedures en trainingsactiviteiten omvatten; incidentresponsplannen; en beoordelingsresultaten. Het is belangrijk om ervoor te zorgen dat alle documentatie nauwkeurig, actueel en gemakkelijk toegankelijk is. Organisaties moeten er ook voor zorgen dat al het personeel bekend is met de documentatie, inclusief hoe deze te gebruiken en wat het dekt. Daarnaast moeten organisaties procedures ontwikkelen om ervoor te zorgen dat de documentatie regelmatig wordt beoordeeld en bijgewerkt om gelijke tred te houden met veranderingen in de omgeving.

CMMC 2.0-nalevingschecklist

Het bereiken en behouden van CMMC 2.0-naleving vereist een gestructureerde en proactieve aanpak. Of het nu gaat om voorbereiding op een zelfbeoordeling of een formele beoordeling door derden van een C3PAO, organisaties moeten weloverwogen stappen ondernemen om hun beveiligingsstatus af te stemmen op het juiste volwassenheidsniveau. De volgende acties schetsen een typisch stappenplan voor organisaties die CMMC-certificering nastreven, van scoping en gap-analyse tot formele beoordeling en voortdurende naleving:

  • Bepaal Reikwijdte en Vereist Niveau: Identificeer alle systemen die FCI en CUI verwerken en bepaal het vereiste CMMC-niveau (Level 1, 2 of 3) op basis van contractclausules en gegevensgevoeligheid.
  • Voer Gap-analyse uit: Beoordeel uw huidige beveiligingsstatus ten opzichte van de specifieke praktijken die vereist zijn voor uw doelniveau (FAR 52.204-21 voor CMMC Level 1, NIST 800-171 voor CMMC Level 2, NIST SP 800-171 + NIST 800-172 subset voor CMMC Level 3).
  • Ontwikkel/Update Systeembeveiligingsplan (SSP): Documenteer hoe elke vereiste beveiligingscontrole is geïmplementeerd (of gepland om te worden geïmplementeerd). Sjablonen en richtlijnen zijn beschikbaar op de DoD CMMC-website.
  • Maak Actieplan & Mijlpalen (POA&M): Voor eventuele geïdentificeerde hiaten (voornamelijk van toepassing op Level 2-voorbereiding, hoewel POA&Ms beperkt bruikbaar zijn voor de daadwerkelijke beoordeling), documenteer het herstelplan, de benodigde middelen en de voltooiingstijdlijn.
  • Implementeer Herstelacties: Voer de POA&M-items uit, implementeer de nodige beveiligingscontroles, beleid en procedures om geïdentificeerde hiaten te dichten.
  • Voer Zelfbeoordeling uit: Voer een grondige interne zelfbeoordeling uit (vereist jaarlijks voor Level 1 en sommige Level 2-contracten) om de implementatie en gereedheid van controles te verifiëren. Dien scores in bij SPRS zoals vereist.
  • Selecteer C3PAO (indien van toepassing): Voor Level 2 (vereist beoordeling door derden) en Level 3 (overheidsbeoordeling, mogelijk ondersteund door C3PAO’s), selecteer een geaccrediteerde CMMC Third-Party Assessor Organization (C3PAO) uit de Cyber AB Marketplace.
  • Onderga Formele Beoordeling: Coördineer en voltooi de vereiste beoordeling (Zelf, C3PAO of Government DIBCAC). Verstrek de nodige documentatie en bewijs.
  • Handhaaf Continue Monitoring: Cyberbeveiliging is een doorlopend proces. Monitor, beoordeel en update continu beveiligingscontroles, documentatie (SSP, POA&M) en praktijken om naleving tussen beoordelingen te behouden. Blijf op de hoogte van CMMC-regelgevingsupdates via officiële DoD-kanalen.

Veelgestelde Vragen

Waarom is CMMC-naleving belangrijk?

Het DoD verplicht alle aannemers om zich aan de CMMC-vereisten te houden om in aanmerking te komen voor overheidscontracten. Dit zorgt ervoor dat deze aannemers begrijpen en actief beschermende maatregelen implementeren tegen kwaadwillende actoren en datalekken. CMMC-naleving is ook belangrijk voor organisaties om hun toewijding aan cyberbeveiliging aan te tonen en te laten zien dat gevoelige klantgegevens goed worden beschermd.

Wat zijn CMMC-beveiligingsvereisten?

CMMC-beveiligingsvereisten zijn een reeks beveiligingsnormen die zijn ontworpen om organisaties te helpen hun netwerken te beveiligen, hun gegevens te beschermen en te voldoen aan toepasselijke wetten en voorschriften. De vereisten zijn onderverdeeld in de drie hierboven beschreven CMMC 2.0-niveaus en bestrijken gebieden zoals toegangscontrole, configuratiebeheer, incidentrespons, mediabescherming, systeem- en communicatiebescherming, personeelsbeveiliging en fysieke bescherming.

Hoe verschillen CMMC-vereisten van NIST SP 800-171-vereisten?

CMMC 2.0 Level 2 is afgestemd op NIST SP 800-171, waarbij wordt gespecificeerd dat organisaties in de DIB zichzelf moeten certificeren—ofwel compliant zijn of concrete stappen ondernemen richting naleving. CMMC Levels 2 en 3 maken voorzieningen voor C3PAO’s om organisaties te beoordelen en een volwassenheidsniveau toe te wijzen op basis van de staat van hun cybersecurityprogramma. Level 1, het Foundational-niveau, vereist alleen zelfbeoordeling.

Versnelling van CMMC-naleving met Kiteworks

Kiteworks is een vertrouwde aanbieder van cybersecurityoplossingen voor federale agentschappen zoals het DoD en diverse DIB-leveranciers die CMMC-certificering vereisen. Omdat Kiteworks FedRAMP Authorized is voor Moderate Level Impact, profiteren DoD-leveranciers die Kiteworks gebruiken van ondersteuning voor bijna 90% van de CMMC 2.0 Level 2-vereisten out-of-the-box. Dit vermindert aanzienlijk de tijd die nodig is voor DoD-aannemers en onderaannemers om CMMC Level 2-naleving te verkrijgen.

Dit vertaalt zich in positieve resultaten wanneer een DoD-leverancier een C3PAO-audit ondergaat. Specifiek helpt het Kiteworks Private Content Network hen om de CMMC-processen en auditprocedures te stroomlijnen, waardoor het hele proces sneller en efficiënter wordt. Met de ondersteuning van Kiteworks kunnen DoD-aannemers hun DoD-bedrijf beschermen door snel en gemakkelijk CMMC-naleving te verkrijgen.

Plan een aangepaste demo om het Kiteworks-platform in actie te zien en hoe het uw CMMC-nalevingsreis kan versnellen.

 

Terug naar Risico & Naleving Glossary

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks