Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

Een gids voor CMMC 2.0 Level 2-vereisten

Startpagina Woordenlijst Een gids voor CMMC 2.0 Level 2-vereisten

De Cybersecurity Maturity Model Certification (CMMC) is een stapsgewijze maar belangrijke mijlpaal voor defensie-aannemers om aan te pakken. CMMC Level 2 richt zich op geavanceerde cyberhygiëne en vormt een logische, maar noodzakelijke stap voor organisaties om van Level 1 naar Level 3 te gaan. Naast het beschermen van Federal Contract Information (FCI) omvat Level 2 ook de bescherming van Controlled Unclassified Information (CUI). In vergelijking met Level 1 zorgen de extra praktijken in Level 2 ervoor dat DoD-leveranciers zich beter kunnen verdedigen tegen gevaarlijkere cyberdreigingen.

Een gids voor CMMC 2.0 Level 2-vereisten

CMMC Level 2 introduceert ook het element procesvolwassenheid in het model. Op CMMC Level 2 wordt van een organisatie verwacht dat zij belangrijke cyberbeveiligingsfuncties uitvoert en documenteert. Het opstellen van een gedetailleerd stappenplan voor CMMC Level 2-naleving is cruciaal voor elke DoD-leverancier die CUI uitwisselt binnen de DoD-toeleveringsketen.

Wie heeft CMMC Level 2-naleving nodig?

Aannemers en onderaannemers die momenteel samenwerken met, of van plan zijn samen te werken met, het Department of Defense, moeten aantonen dat ze compliant zijn. Als deze bedrijven informatie verwerken, behandelen of beheren die kritiek is voor de nationale veiligheid, hebben ze CMMC Level 2-naleving nodig. Om CMMC Level 2-naleving te behalen, moeten aannemers een uitgebreide CMMC Level 2-beoordeling door een derde partij ondergaan.

Er zijn 110 controls voor CMMC Level 2 die rechtstreeks afkomstig zijn uit NIST 800-171. CMMC Level 2-certificering is noodzakelijk voor wie wil inschrijven op DoD-contracten die betrekking hebben op het volgende:

  • Controlled Unclassified Information (CUI)
  • Controlled Technical Information (CTI)
  • ITAR- of export-gecontroleerde gegevens

Introductie tot CMMC 2.0: Evolutie en Doel

CMMC 2.0 vertegenwoordigt een belangrijke evolutie van de cyberbeveiligingsstandaard van het Department of Defense voor de Defense Industrial Base (DIB). Het primaire doel is het beschermen van gevoelige informatie, met name Federal Contract Information (FCI) en Controlled Unclassified Information (CUI), tegen cyberdreigingen.

Belangrijke wijzigingen ten opzichte van het oorspronkelijke framework zijn onder meer het terugbrengen van vijf naar drie niveaus, het direct afstemmen van vereisten op vastgestelde NIST-standaarden (voornamelijk NIST 800-171 voor Level 2) en het toestaan van zelfevaluatie voor bepaalde contracten op Level 1 en enkele op Level 2.

Deze wijzigingen zijn doorgevoerd na feedback van de DIB om de complexiteit en nalevingskosten te verminderen, waardoor het toegankelijker wordt voor kleine en middelgrote bedrijven, terwijl de algehele beveiligingsstatus wordt versterkt.

CMMC 2.0 streeft naar een meer samenwerkende en minder bestraffende aanpak, met de nadruk op het implementeren van solide cyberbeveiligingspraktijken in plaats van alleen het behalen van een certificeringsscore. Hierdoor wordt de weerbaarheid van de hele defensieketen vergroot.

Hoe weet ik of ik CUI heb?

CUI is een term die een breed scala aan gevoelige maar niet-geclassificeerde gegevens omvat. Dit kan persoonlijk identificeerbare informatie (PII), vertrouwelijke bedrijfsinformatie, beschermde gezondheidsinformatie (PHI), kritieke infrastructuur- en cyberbeveiligingsinformatie en beschermde informatie (CJIS) met betrekking tot wetshandhaving omvatten. Het doel van CUI is ervoor te zorgen dat, hoewel gegevens niet geclassificeerd zijn en als niet-geclassificeerd worden beschouwd, ze toch beschermd zijn en via een specifiek proces moeten worden behandeld om veilige omgang en beperkte toegang te waarborgen. CUI omvat gegevens die met een hoog beveiligingsniveau moeten worden behandeld om ze te beschermen. Het is belangrijk dat iedereen die deze gegevens behandelt goed getraind is en kennis heeft van het beschermen van CUI, om ongeautoriseerde toegang te voorkomen.

CMMC-beveiligingsvereisten voor e-mail

CMMC Level 2-naleving richt zich op het vaststellen van intermediaire cyberhygiënepraktijken, waaronder e-mailbeveiliging ter bescherming van CUI. Een Email Protection Gateway (EPG) is essentieel voor het beveiligen van e-mailcommunicatie voor CUI, waarbij encryptieprocessen transparant worden gemaakt voor eindgebruikers. Het implementeren van een EPG-oplossing helpt organisaties te voldoen aan de CMMC Level 2-vereisten door robuuste e-mailbeveiligingsfuncties te bieden zoals spamfiltering, phishingbescherming, preventie van gegevensverlies en veilige e-mailencryptie. Door aan deze vereisten te voldoen, kunnen organisaties hun gevoelige informatie beschermen, cyberdreigingen verminderen en compliant blijven in het veranderende cyberbeveiligingslandschap.

Overzicht van CMMC 2.0-niveaus en de positie van Level 2

CMMC 2.0 vereenvoudigt het framework tot drie volwassenheidsniveaus. CMMC Level 1 (Foundational) vereist dat organisaties 17 basis cyberhygiënepraktijken implementeren om Federal Contract Information (FCI) te beschermen en staat een jaarlijkse zelfevaluatie toe. CMMC Level 3 (Expert), het hoogste niveau, omvat meer dan 110 praktijken gebaseerd op NIST SP 800-172 en is ontworpen om te beschermen tegen Advanced Persistent Threats (APT’s), met door de overheid geleide beoordelingen elke drie jaar. Daartussenin bevindt zich CMMC Level 2 (Advanced), dat aansluit bij de 110 beveiligingscontrols van NIST 800-171. Level 2 is het belangrijkste focuspunt voor de meeste DoD-aannemers omdat dit het minimumniveau is voor het omgaan met gevoelige maar niet-geclassificeerde gegevens, bekend als Controlled Unclassified Information (CUI). Vanwege het kritieke karakter van CUI is het behalen en behouden van de geavanceerde bescherming van CMMC Level 2 een vereiste voor het inschrijven op en winnen van contracten waarbij dit type gegevens betrokken is. Inzicht in de specifieke controls en processen voor CMMC Level 2 is daarom essentieel voor elke leverancier in de defensie-industrie.

Welk CMMC-niveau heeft uw organisatie nodig?

Het bepalen van het juiste CMMC-niveau hangt vooral af van het type informatie dat uw organisatie verwerkt in relatie tot DoD-contracten. Als uw contracten alleen Federal Contract Information (FCI) omvatten, is CMMC Level 1 doorgaans voldoende.

Als uw organisatie echter Controlled Unclassified Information (CUI) verwerkt, opslaat of verzendt, zult u vrijwel zeker aan de CMMC Level 2-vereisten moeten voldoen. Bekijk uw huidige en potentiële contracten zorgvuldig; taal waarin de bescherming van CUI wordt geëist of waarin DFARS 252.204-7012 of NIST SP 800-171 wordt genoemd, duidt sterk op een Level 2-vereiste. Raadpleeg uw contractbeheerder voor verduidelijking als u twijfelt.

Een eenvoudig beslissingskader bestaat uit de vragen: 1) Verwerken wij FCI? (Zo ja, dan is minimaal Level 1 vereist). 2) Verwerken wij CUI? (Zo ja, dan is Level 2 vereist). Het correct identificeren van het benodigde niveau is cruciaal; te hoog inzetten leidt tot onnodige kosten, terwijl te laag inzetten resulteert in niet-naleving en mogelijk verlies van contracten. Inzicht in de specifieke CMMC Level 2-vereisten die horen bij het omgaan met CUI is van groot belang.

Wat is er nodig om CMMC Level 2-naleving te behalen?

Het behalen van CMMC Level 2-naleving vereist een allesomvattende aanpak van cyberbeveiliging. Dit omvat het implementeren van beleid en procedures, het inzetten van technische controls en het opzetten van een robuust opleidings- en trainingskanaal. Voor beleid en procedures vereist Level 2 dat organisaties een systeembeveiligingsplan, een mediabeschermingsbeleid, een noodplan, incidentrespons, patchbeheer en procedures voor accountbeheer hebben.

Op het gebied van technische controls moeten organisaties maatregelen treffen voor authenticatie, medialabeling, systeemmonitoring, systeemintegriteit, virusbescherming en auditing. Ook moet er een goedgekeurd opleidings- en onderwijsprogramma zijn voor personeel met de juiste bevoegdheden om hun rol in het beschermen van de omgeving goed te begrijpen. Het behalen van Level 2-naleving vereist een uitgebalanceerde aanpak van beveiliging, waarbij proactieve technische maatregelen worden gecombineerd met duidelijke processen en procedures en een uitgebreid opleidings- en trainingsprogramma.

Klaar voor CMMC Level 2: Een checklist

Voorbereiden op CMMC Level 2-naleving betekent dat u systematisch de cyberbeveiligingsstatus van uw organisatie verbetert. Deze CMMC Level 2-checklist kan u door het proces leiden:

  1. Maak uzelf vertrouwd met de CMMC Level 2-vereisten, inclusief alle 110 vereisten verdeeld over 14 domeinen.
  2. Voer een grondige gap-analyse uit om verbeterpunten te identificeren.
  3. Ontwikkel een herstelplan om vastgestelde gaten aan te pakken en noodzakelijke controls te implementeren.
  4. Wijs middelen toe, zoals budget en personeel, om uw nalevingsinspanningen te ondersteunen.
  5. Leid uw personeel op in CMMC-vereisten en cyberbeveiligingsbeste practices.
  6. Implementeer beleid, procedures en documentatie ter ondersteuning van nalevingsinitiatieven.
  7. Bekijk en actualiseer regelmatig uw cyberbeveiligingspraktijken om compliant te blijven.
  8. Schakel CMMC-adviseurs of C3PAO’s in voor begeleiding en ondersteuning bij de beoordeling.
  9. Voer een zelfevaluatie uit om de gereedheid te toetsen vóór de officiële CMMC-beoordeling.
  10. Plan uw CMMC-beoordeling met een geaccrediteerde C3PAO om naleving te verifiëren.

CMMC 2.0 Level 2-nalevingsvereisten

CMMC-vereisten op Level 2 omvatten 110 controls, gegroepeerd in 14 domeinen:

Domein Aantal controls
1. Access Control (AC) 22 controls
2. Audit and Accountability (AU) 9 controls
3. Awareness and Training (AT) 3 controls
4. Configuration Management (CM) 9 controls
5. Identification and Authentication (IA) 11 controls
6. Incident Response (IR) 3 controls
7. Maintenance (MA) 6 controls
8. Media Protection (MP) 9 controls
9. Personnel Security (PS) 2 controls
10. Physical Protection (PE) 6 controls
11. Risk Assessment (RA) 3 controls
12. Security Assessment (CA) 4 controls
13. System and Communications Protection (SC) 16 controls
14. System and Information Integrity (SI) 7 controls

De controls in elk van de 14 domeinen zijn als volgt:

Access Control

Deze groep vereisten is de grootste en bevat 22 controls. Binnen Access Control moeten organisaties alle toegangsgebeurtenissen in de IT-omgeving monitoren en de toegang tot systemen en gegevens beperken. De vereisten omvatten onder andere:

  • Het toepassen van het least-privilege-principe
  • Het autoriseren en beschermen van draadloze toegang via encryptie en authenticatie
  • Het scheiden van taken van individuen om onregelmatigheden te voorkomen
  • Het monitoren en controleren van externe toegang
  • Het beheersen en beperken van het gebruik van mobiele apparaten
  • Het beheersen van de stroom van CUI binnen een organisatie en het versleutelen ervan op mobiele apparaten

Audit and Accountability

Deze familie bestaat uit negen controls. Organisaties moeten auditrecords bewaren voor beveiligingsonderzoeken en om gebruikers verantwoordelijk te houden voor hun acties. Organisaties moeten auditlogs verzamelen en analyseren om ongeautoriseerde activiteiten te detecteren en snel te reageren. Verschillende stappen kunnen helpen bij de implementatie van deze controls:

  • Audit systemen beschermen tegen ongeautoriseerde toegang
  • Gemonitorde gebeurtenissen beoordelen en bijwerken
  • Rapporteren over fouten in het auditproces
  • Rapporten genereren die on-demand analyse ondersteunen en bewijs leveren voor naleving

Awareness and Training

Deze groep controls vereist dat bedrijven ervoor zorgen dat managers, systeembeheerders en andere gebruikers zich bewust zijn van de beveiligingsrisico’s die samenhangen met hun activiteiten. Ze moeten bekend zijn met het beveiligingsbeleid van de organisatie en basis cyberbeveiligingspraktijken om bedreigingen van binnenuit en buitenaf te herkennen en erop te reageren.

Configuration Management

Voor de vereisten onder Configuration Management moeten bedrijven basisconfiguraties opstellen en onderhouden, waaronder het controleren en monitoren van door gebruikers geïnstalleerde software en wijzigingen aan systemen van uw organisatie. De compliancevereisten binnen dit domein omvatten:

  • Het op een zwarte lijst plaatsen van ongeautoriseerde software
  • Het documenteren van alle gebeurtenissen waarbij toegang werd beperkt vanwege wijzigingen aan IT-systemen
  • Het beperken, uitschakelen of voorkomen van het gebruik van programma’s, functies, protocollen en diensten die niet essentieel zijn
  • Het toepassen van het least functionality-principe door systemen zo te configureren dat alleen essentiële functies beschikbaar zijn

Identification and Authentication

De Identification and Authentication-familie van vereisten zorgt ervoor dat alleen geauthenticeerde gebruikers toegang hebben tot het netwerk of de systemen van de organisatie. Het bevat 11 vereisten met betrekking tot wachtwoord- en authenticatieprocedures en -beleid. Ook de betrouwbare identificatie van gebruikers valt hieronder. Vereisten om onderscheid te maken tussen bevoorrechte en niet-bevoorrechte accounts worden weerspiegeld in netwerktoegang.

Incident Response

In deze familie moeten organisaties een incidentresponsstrategie hebben waarmee snel kan worden gereageerd op incidenten die kunnen leiden tot een datalek. Een organisatie kan mogelijkheden implementeren om beveiligingsincidenten te detecteren, analyseren en erop te reageren, en hierover rapporteren aan de juiste functionarissen—en het incidentresponsplan regelmatig testen.

Maintenance

Onjuiste systeemonderhoud kan leiden tot het lekken van CUI en vormt dus een bedreiging voor de vertrouwelijkheid van de informatie. Bedrijven zijn verplicht regelmatig onderhoud uit te voeren volgens vereisten zoals:

  • Het nauwlettend volgen van personen en teams die onderhoud uitvoeren
  • Zorgen dat media met diagnostische en testprogramma’s vrij zijn van kwaadaardige code
  • Zorgen dat apparatuur die voor onderhoud buiten de locatie wordt gebracht geen gevoelige gegevens bevat

Media Protection

De Media Protection-controlfamilie vereist dat u de beveiliging waarborgt van systeemmedia met CUI, zowel op papier als digitaal.

Personnel Security

Dit is een kleine groep controls die vereist dat bedrijven gebruikersactiviteiten monitoren en ervoor zorgen dat alle systemen met CUI beschermd zijn tijdens en na personeelsacties, zoals ontslag en overplaatsingen.

Physical Protection

Physical Protection omvat de bescherming van hardware, software, netwerken en gegevens tegen schade of verlies door fysieke gebeurtenissen. Dit domein vereist dat organisaties verschillende activiteiten uitvoeren om het risico op fysieke schade te beperken, zoals:

  • Het beheren van fysieke toegangsapparaten
  • Het beperken van fysieke toegang tot systemen en apparatuur tot geautoriseerde gebruikers
  • Het bijhouden van auditlogs van fysieke toegang

Risk Assessment

Er zijn twee vereisten die betrekking hebben op het uitvoeren en analyseren van regelmatige risicobeoordelingen. Organisaties moeten systemen regelmatig scannen op kwetsbaarheden en netwerkapparatuur en software up-to-date en veilig houden. Door kwetsbaarheden regelmatig te signaleren en te versterken, verbetert de beveiliging van het gehele systeem.

Security Assessment

Een organisatie moet haar beveiligingscontrols monitoren en beoordelen om te bepalen of deze effectief genoeg zijn om gegevens veilig te houden. Organisaties moeten een plan hebben waarin systeemgrenzen, relaties tussen verschillende systemen en procedures voor het implementeren van beveiligingsvereisten worden beschreven, en dat plan periodiek bijwerken.

System and Communications Protection

Dit is een vrij grote groep vereisten met 16 controls voor het monitoren, controleren en beschermen van informatie die door IT-systemen wordt verzonden of ontvangen. Het omvat activiteiten zoals:

  • Het voorkomen van ongeautoriseerde overdracht van informatie
  • Het implementeren van cryptografische mechanismen om ongeoorloofde openbaarmaking van CUI te voorkomen
  • Het bouwen van subnetwerken voor publiek toegankelijke systeemcomponenten die gescheiden zijn van interne netwerken
  • Standaard netwerkcommunicatietraffic weigeren

System and Information Integrity

Deze groep controls vereist dat bedrijven snel systeemfouten identificeren en corrigeren en kritieke assets beschermen tegen kwaadaardige code. Dit omvat taken zoals:

  • Het monitoren en snel reageren op beveiligingswaarschuwingen die wijzen op ongeautoriseerd gebruik van IT-systemen
  • Het periodiek scannen van IT-systemen en het scannen van bestanden van externe bronnen wanneer deze worden gedownload of gebruikt
  • Het bijwerken van mechanismen voor bescherming tegen kwaadaardige code zodra nieuwe versies beschikbaar zijn

Voor elk van deze domeinen gelden specifieke vereisten waaraan defensie-aannemers moeten voldoen om CMMC-naleving aan te tonen. We raden u aan elk domein in detail te verkennen, de vereisten te begrijpen en onze beste practice-strategieën voor naleving te overwegen: Access Control, Awareness and Training, Audit and Accountability, Configuration Management, Identification & Authentication, Incident Response, Maintenance, Media Protection, Personnel Security, Physical Protection, Risk Assessment, Security Assessment, System & Communications Protection en System and Information Integrity.

DFARS-vereisten en hun relatie tot CMMC Level 2

De Defense Federal Acquisition Regulation Supplement (DFARS) en CMMC zijn nauw met elkaar verbonden, waarbij CMMC fungeert als verificatiemechanisme voor DFARS-cyberbeveiligingsverplichtingen. De basis is DFARS-clausule 252.204-7012, die al lange tijd vereist dat aannemers CUI beschermen door de 110 beveiligingscontrols uit NIST 800-171 te implementeren. Omdat de CMMC Level 2-vereisten direct zijn gekoppeld aan deze 110 controls, bewijst het behalen van CMMC Level 2-naleving feitelijk dat aan deze kernregel van DFARS wordt voldaan. Daarnaast vereisen DFARS-clausules 252.204-7019 en 7020 dat aannemers een NIST 800-171-zelfevaluatie uitvoeren en hun score uploaden naar het Supplier Performance Risk System (SPRS) van het DoD, een noodzakelijke stap nog vóór een CMMC-beoordeling.

Tot slot introduceert DFARS 252.204-7021 CMMC officieel in de contracttaal, waardoor certificering een toekomstige vereiste wordt voor contracttoekenning. Om audits te stroomlijnen, moeten aannemers hun nalevingsinspanningen synchroniseren. Het bewijs dat wordt verzameld voor een DFARS-zelfevaluatie, inclusief het System Security Plan (SSP) en eventuele Plans of Action & Milestones (POA&M), is exact de documentatie die C3PAO’s zullen beoordelen bij een CMMC Level 2-beoordeling. Het bijhouden van één set bewijsstukken voor beide verplichtingen bespaart tijd, vermindert dubbel werk en toont een volwassen, voortdurende inzet voor cyberbeveiliging aan.

Kosten van CMMC-naleving

De kosten voor het behalen van CMMC-naleving variëren afhankelijk van de grootte, complexiteit en het specifieke certificeringsniveau van een organisatie.

Voor kleine en middelgrote bedrijven (mkb) kunnen de nalevingskosten aanzienlijk zijn. Initiële investeringen omvatten mogelijk het implementeren van beveiligingscontrols, het inhuren of opleiden van personeel voor cyberbeveiliging en het aanschaffen van tools ter ondersteuning van deze inspanningen. Organisaties moeten mogelijk ook middelen reserveren voor het onderhouden van naleving, zoals regelmatige beveiligingsaudits, software-updates en training van medewerkers.

CMMC Level 1-naleving, die zich richt op basis cyberhygiënepraktijken, vereist doorgaans een lagere investering dan hogere niveaus. Naarmate organisaties streven naar CMMC Level 2 of CMMC Level 3, nemen de kosten toe door de behoefte aan meer geavanceerde controls, documentatie en continue monitoring.

Organisaties moeten een uitgebreide risicobeoordeling en gap-analyse uitvoeren om de benodigde beveiligingsmaatregelen te identificeren en de bijbehorende kosten in te schatten. Het inschakelen van een CMMC Organisatie van derde beoordelaars (C3PAO) of een Geregistreerde aanbiedersorganisatie (RPO) kan helpen om het proces te begeleiden en een soepelere overgang naar naleving te waarborgen.

Als u nieuwsgierig bent of zich zorgen maakt over het budgetteren voor CMMC-naleving, lees dan zeker De werkelijke kosten van CMMC-naleving: waar defensie-aannemers rekening mee moeten houden

Wanneer worden CMMC 2.0-vereisten gehandhaafd?

Het Department of Defense voert CMMC 2.0 in via een gefaseerde uitrol, die naar verwachting begint zodra het officiële regelgevingsproces is afgerond.

De voorgestelde CMMC 2.0-regel werd eind 2023 gepubliceerd, gevolgd door een openbare commentaarperiode. De definitieve regel, waarin CMMC-vereisten worden vastgelegd in Titel 32 van de Code of Federal Regulations (CFR), wordt verwacht eind 2024 of begin 2025.

Zodra de regel definitief is, is het de bedoeling van het DoD om CMMC-vereisten geleidelijk in aanbestedingen op te nemen gedurende een periode van drie jaar. Fase 1 begint waarschijnlijk kort na publicatie van de regel, waarbij CMMC Level 1- of Level 2-naleving vereist is voor geselecteerde contracten die gevoelige gegevens verwerken. Volledige implementatie voor alle relevante DoD-contracten wordt verwacht op 1 oktober 2026.

Organisaties die CUI verwerken, moeten nu prioriteit geven aan de voorbereiding op het voldoen aan CMMC Level 2-vereisten, aangezien de handhavingsdeadlines naderen en het behalen van naleving tijd kost.

Wilt u meer weten over CMMC-nalevingstijdlijnen? Bekijk dan zeker ons CMMC-stappenplan voor DoD-aannemers.

Hoe moet mijn organisatie zich voorbereiden op een CMMC Level 2-beoordeling?

CMMC Level 2 (Advanced) vereist driejaarlijkse beoordelingen door derden voor DoD-aannemers die kritieke nationale veiligheidsinformatie verzenden, delen, ontvangen en opslaan. Deze beoordelingen worden uitgevoerd door een CMMC Organisatie van derde beoordelaars (C3PAO) die is geautoriseerd en gecertificeerd door het CMMC Accreditation Body (CMMC-AB) om beoordelingen uit te voeren bij aannemers en onderaannemers die certificering zoeken om naleving van de CMMC-standaard aan te tonen.

Om ervoor te zorgen dat het proces succesvol verloopt, is het belangrijk om goed voorbereid te zijn. De volgende stappen moeten worden genomen om een succesvolle voorbereiding te waarborgen:

  • Begrijp het beoordelingskader en de vereisten, inclusief standaarden, criteria en doelstellingen
  • Zorg dat relevante documenten en bewijs van naleving direct beschikbaar en up-to-date zijn
  • Plan de beoordeling goed door voldoende tijd en middelen te reserveren om aan de vereisten te voldoen
  • Wijs personeel toe om de beoordeling te faciliteren, plan de beoordeling op een geschikte locatie en zorg voor de juiste apparatuur en materialen
  • Zorg dat alle relevante stakeholders goed zijn voorbereid via uitgebreide trainingssessies

CMMC Level 2-naleving behalen

Het behalen van CMMC Level 2-naleving omvat het implementeren van intermediaire cyberhygiënepraktijken die Controlled Unclassified Information (CUI) en Federal Contract Information (FCI) beschermen. Organisaties moeten voldoen aan alle 110 vereisten verdeeld over 14 domeinen. Belangrijke stappen zijn onder meer het uitvoeren van een grondige gap-analyse, het ontwikkelen van een herstelplan, het implementeren van vereiste beveiligingscontrols en het opleiden van personeel. Het inschakelen van CMMC-adviseurs of Organisaties van derde beoordelaars (C3PAO’s) kan organisaties helpen bij het navigeren door het proces, zorgen voor een juiste implementatie en naleving verifiëren, wat uiteindelijk de cyberbeveiligingsstatus versterkt.

Geldigheid en herbevestiging van CMMC Level 2-certificering

Een CMMC Level 2-certificering is drie jaar geldig, maar naleving is een doorlopende verplichting en geen eenmalige prestatie.

Om deze certificering te behouden, moeten organisaties jaarlijks een zelfevaluatie uitvoeren om te bevestigen dat ze nog steeds aan alle 110 controls voldoen. Na deze interne review moet een senior functionaris van het bedrijf formeel de voortdurende naleving bevestigen binnen het Supplier Performance Risk System (SPRS). Deze jaarlijkse bevestiging is een cruciale stap om de driejarige certificering geldig te houden.

Beste practices voor het behouden van CMMC Level 2-naleving zijn onder meer het behandelen van beveiligingsdocumentatie, zoals het System Security Plan (SSP), als levende documenten die worden bijgewerkt wanneer er wijzigingen zijn in de beveiligingsomgeving. Organisaties moeten continue monitoring uitvoeren, regelmatige kwetsbaarheidsscans en periodieke interne audits.

Om te voorkomen dat de certificering verloopt en de geschiktheid voor DoD-contracten in gevaar komt, is het essentieel om minimaal zes maanden voor het verlopen van de huidige certificering een hercertificeringsbeoordeling met een geaccrediteerde C3PAO te plannen.

Wie is verantwoordelijk voor volledige CMMC-beoordelingen?

CMMC Organisaties van derde beoordelaars (C3PAO’s) zijn verantwoordelijk voor het uitvoeren van volledige CMMC-beoordelingen. Deze organisaties zijn geaccrediteerd door het CMMC Accreditation Body (CMMC-AB) en bestaan uit gecertificeerde beoordelaars die de cyberbeveiligingspraktijken en controls van een organisatie evalueren aan de hand van het CMMC-framework. C3PAO’s verifiëren op onpartijdige wijze de naleving van een organisatie met het vereiste CMMC-niveau, zodat wordt voldaan aan de beveiligingsstandaarden om gevoelige informatie te beschermen en contracten binnen de Department of Defense (DoD) toeleveringsketen te behouden.

CMMC 2.0 Zelfevaluatiecriteria & scoresystemen

CMMC 2.0, een bijgewerkte versie van het oorspronkelijke CMMC-framework, vereenvoudigt naleving door organisaties in staat te stellen zelfevaluaties uit te voeren. De criteria beoordelen in hoeverre een organisatie essentiële cyberbeveiligingspraktijken en controls naleeft. Op basis van de mate van implementatie bieden scoresystemen een kwantitatieve maatstaf voor de cyberbeveiligingsvolwassenheid van een organisatie. Een hogere score betekent een betere cyberbeveiligingsstatus. Door gebruik te maken van zelfevaluatiesjablonen en tools kunnen organisaties verbeterpunten identificeren, een plan ontwikkelen om gaten aan te pakken en de voortgang volgen richting het gewenste niveau van CMMC 2.0-naleving.

Wat is de rol van een C3PAO bij CMMC 2.0 Level 2-naleving?

Een C3PAO is essentieel voor het behalen van CMMC 2.0 Level 2-naleving. C3PAO-beoordelaars evalueren het bestaande beleid, de processen en controls van een organisatie aan de hand van de CMMC-vereisten. Ze beoordelen bestaande beveiligingsdocumentatie, voeren interviews uit en inspecteren systemen en fysieke beveiliging ter plaatse. Na beoordeling van het huidige nalevingsniveau levert de C3PAO een rapport op van de bevindingen. Dit rapport wordt ingediend bij het CMMC Accreditation Body voor beoordeling, evaluatie en certificering.

Zelfevaluatie versus beoordeling door derden: vereisten en verschillen

Onder CMMC 2.0 hangt het type beoordeling dat vereist is voor Level 2 af van de gevoeligheid van de CUI die betrokken is bij het specifieke DoD-contract. Een deel van de Level 2-programma’s, waarbij geen informatie die kritiek is voor de nationale veiligheid betrokken is, kan een jaarlijkse zelfevaluatie toestaan, gecombineerd met een bevestiging door het senior management van het bedrijf die wordt ingediend bij het Supplier Performance Risk System (SPRS) van het DoD.

Voor zelfevaluaties gebruiken organisaties de NIST 800-171 DoD Assessment Methodology, waarbij ze hun implementatiestatus voor elk van de 110 controls documenteren. Voor de meeste contracten die CMMC Level 2-naleving vereisen, met name die waarbij gevoeliger CUI wordt verwerkt, is echter een driejaarlijkse beoordeling door derden verplicht, uitgevoerd door een geaccrediteerde CMMC Organisatie van derde beoordelaars (C3PAO’s).

Deze C3PAO-beoordeling is een grondiger verificatieproces, wat leidt tot een formele CMMC Level 2-certificering na succesvolle afronding. Beide trajecten vereisen een System Security Plan (SSP). Organisaties die een zelfevaluatie uitvoeren, kunnen een Plan of Action and Milestones (POA&M) gebruiken voor niet-geïmplementeerde controls (met scoringsbeperkingen), terwijl C3PAO-beoordelingen doorgaans volledige implementatie van alle controls vereisen op het moment van beoordeling, hoewel beperkt gebruik van POA&M mogelijk is onder specifieke voorwaarden in de definitieve regel. Voorbereiding op beide vereist grondige documentatie en het verzamelen van bewijs.

Als u streeft naar CMMC Level 2-naleving, bekijk dan zeker onze CMMC Level 2 Assessment Guide.

Belangrijke data: wanneer CMMC 2.0 impact heeft op DoD-contracten

  • Publicatie definitieve regel: Het CMMC 2.0-programma doorloopt het officiële federale regelgevingsproces. De definitieve regel wordt verwacht te worden vastgelegd in Titel 32 van de Code of Federal Regulations (CFR), waarna de volledige implementatie begint. Aannemers moeten officiële DoD-aankondigingen volgen voor de exacte ingangsdatum.
  • Gefaseerde uitrol – Fase 1 (Doel: direct na definitieve regel): Het DoD zal beginnen met het opnemen van CMMC Level 2-vereisten in aanbestedingen. In deze eerste fase kunnen sommige contracten alleen een jaarlijkse zelfevaluatie vereisen, maar voorbereiding op beoordelingen door derden wordt essentieel.
  • Gefaseerde uitrol – Fase 2 (Doel: 6 maanden na start Fase 1): Contracten waarbij CUI die kritiek is voor de nationale veiligheid wordt verwerkt, zullen een driejaarlijkse beoordeling door derden vereisen, uitgevoerd door een geaccrediteerde C3PAO om CMMC Level 2-certificering te behalen.
  • Volledige implementatie (Doel: circa 2 jaar na start Fase 1): CMMC-vereisten worden opgenomen in alle relevante DoD-aanbestedingen en contracten waarbij FCI of CUI wordt verwerkt, waardoor CMMC Level 2-naleving een universele voorwaarde wordt voor relevant werk.
  • Handel nu: Het DoD heeft herhaaldelijk benadrukt dat aannemers niet moeten wachten op de definitieve regel. Nu voorbereiden door een gap-analyse uit te voeren op basis van NIST 800-171, een System Security Plan (SSP) op te stellen en beveiligingsgaten aan te pakken, is de meest effectieve strategie om gereed te zijn en te voorkomen dat u toekomstige contractkansen misloopt.

Kiteworks versnelt het behalen van CMMC 2.0-naleving voor DoD-leveranciers

Het Kiteworks Private Content Network is FedRAMP Authorized voor Moderate Level Impact. Dankzij deze FedRAMP-certificering ondersteunt Kiteworks bijna 90% van de CMMC 2.0 Level 2-vereisten direct. Technologieaanbieders zonder FedRAMP Authorized-certificering kunnen dit nalevingsniveau niet behalen. Kiteworks versnelt daardoor de tijd die DoD-leveranciers nodig hebben om CMMC Level 2-naleving te behalen. Met een content-gedefinieerde zero-trust aanpak beschermt Kiteworks gevoelige communicatie van CUI- en FCI-inhoud via diverse communicatiekanalen—waaronder e-mail, bestandsoverdracht, beheerde bestandsoverdracht, webformulieren en application programming interfaces (API’s).

Plan een aangepaste demo om te zien hoe het Kiteworks Private Content Network DoD-aannemers en onderaannemers in staat stelt hun CMMC-certificeringsproces te versnellen en te vereenvoudigen.

Terug naar Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks