Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

CMMC en NIST 800-171 vereisten

Startpagina Woordenlijst CMMC en NIST 800-171 vereisten

CMMC (Cybersecurity Maturity Model Certification) is een programma van het Amerikaanse ministerie van Defensie (DoD) dat normen vaststelt voor het beschermen van gevoelige overheidsinformatie. Het is een certificering die vereist dat organisaties voldoen aan bepaalde beveiligingsmaatregelen die zijn gebaseerd op de standaarden van het National Institute of Standards and Technology (NIST).

Het doel van CMMC is het beschermen van gecontroleerde, niet-geclassificeerde informatie (CUI) tegen cyberaanvallen of ongeautoriseerde toegang. CMMC-naleving wordt bereikt door het implementeren en onderhouden van bepaalde cyberbeveiligingspraktijken waarmee organisaties de vertrouwelijkheid, integriteit en beschikbaarheid van de CUI kunnen waarborgen. Organisaties moeten hun naleving van de toepasselijke CMMC-vereiste kunnen aantonen om de benodigde certificering te verkrijgen. CMMC-naleving is verplicht voor DoD-aannemers die CUI moeten verwerken en opslaan, en is essentieel voor organisaties om competitief te blijven in hun sector. Alle DoD-leveranciers moeten een strategie voor risicobeheer cyberbeveiliging opstellen om te zorgen dat privégegevens privé blijven en beschermd zijn in digitale DoD-uitwisselingen binnen de toeleveringsketen.

CMMC en NIST 800-171 vereisten

Waarom is CMMC-naleving belangrijk?

Het DoD verplicht alle aannemers om te voldoen aan de CMMC-vereiste om in aanmerking te komen voor overheidscontracten. Dit zorgt ervoor dat deze aannemers begrijpen welke beschermende maatregelen nodig zijn en deze actief toepassen tegen kwaadwillenden en datalekken. CMMC-naleving is ook belangrijk voor organisaties om hun inzet voor cyberbeveiliging te tonen en aan te tonen dat gevoelige klantgegevens goed worden beschermd. Door te voldoen aan de vereiste van de CMMC kunnen organisaties er zekerder van zijn dat hun interne netwerken en intellectueel eigendom voldoende beveiligd zijn tegen cyberdreigingen. Daarnaast helpt CMMC organisaties hun cyberhygiëne te verbeteren door beste practices te volgen, zoals het veilig versleutelen van opgeslagen gegevens of het implementeren van multi-factor authentication.

Naleving van de CMMC is essentieel voor organisaties om het vertrouwen van hun klanten te behouden. Klanten worden zich steeds bewuster van en bezorgder over de juiste bescherming van gegevens en privacymaatregelen. Organisaties die voldoen aan CMMC kunnen hun klanten laten zien dat hun gegevens en privacy serieus worden genomen en dat er maatregelen zijn getroffen om hun gevoelige gegevens te beschermen. Dit kan organisaties helpen klantloyaliteit te behouden, vertrouwen op te bouwen en een competitief voordeel te behalen.

CMMC zorgt er ook voor dat organisaties zich houden aan de relevante cyberbeveiligingsregelgeving. Naleving van de CMMC helpt organisaties up-to-date te blijven met het voortdurend veranderende landschap van cyberbeveiligingsregelgeving. Door te voldoen aan de CMMC-vereiste kan een organisatie aantonen dat zij relevante regelgeving volgt en de nodige stappen onderneemt om klantgegevens en privacy te beschermen.

Wat zijn de drie niveaus van CMMC?

Het DoD heeft momenteel drie niveaus van CMMC-certificering, namelijk:

Niveau 1: Basis. CMMC Level 1-certificering is vereist voor DoD-aannemers en onderaannemers die federale contractinformatie (FCI) verwerken. Het vereist dat organisaties zich houden aan basis cyberbeveiligingspraktijken gericht op het beschermen van FCI, zoals gespecificeerd in FAR Clause 52.204-21.

Het basisniveau vereist geen beoordeling door een CMMC Organisatie van derde beoordelaars (C3PAO). Het vereist een jaarlijkse zelfevaluatie met attestatie van een directielid.

Niveau 2: Geavanceerd. Niveau 2-certificering vereist dat organisaties robuustere cyberbeveiligingspraktijken hebben, zoals toegangscontrole, reactie op incidenten en mediabescherming. Dit niveau is ontworpen om de integriteit en beschikbaarheid van CUI te beschermen tegen meer complexe dreigingen. Het Geavanceerde niveau is afgestemd op National Institute of Standards & Technology SP 800-171 (NIST 800-171).

De certificering op Geavanceerd niveau vereist driejaarlijkse beoordelingen door derden via C3PAO’s.

Niveau 3: Expert. Niveau 3-certificering is het hoogste niveau van CMMC en vereist de implementatie van geavanceerde praktijken zoals systeemverharding en gegevensherstel. Dit niveau is bedoeld om de vertrouwelijkheid, integriteit en beschikbaarheid van CUI te beschermen tegen Advanced Persistent Threat (APT). Informatie over Niveau 3 wordt later vrijgegeven en zal een subset bevatten van de beveiligingsvereiste zoals gespecificeerd in SP 800-172.

Wat zijn CMMC-beveiligingsvereiste?

CMMC-beveiligingsvereiste zijn een set beveiligingsnormen die organisaties helpen hun netwerken te beveiligen, hun gegevens te beschermen en te voldoen aan toepasselijke wetten en regelgeving. De vereiste zijn onderverdeeld in de drie hierboven beschreven CMMC 2.0-niveaus en bestrijken gebieden zoals toegangscontrole, configuratiebeheer, reactie op incidenten, mediabescherming, systeem- en communicatiebescherming, personeelsbeveiliging en fysieke beveiliging. Organisaties moeten voldoen aan de CMMC-beveiligingsvereiste om competitief te blijven op de DoD-markt en hun digitale informatie te beschermen tegen cyberdreigingen.

De vereiste per niveau zijn als volgt:

Niveau 1: Basisvereiste

CMMC-vereiste op Niveau 1 omvatten 17 beveiligingsmaatregelen binnen 6 domeinen. De 6 domeinen zijn:

  1. Toegangscontrole (4 maatregelen)
  2. Identificatie en authenticatie (2 maatregelen)
  3. Mediabescherming (1 maatregel)
  4. Fysieke beveiliging (4 maatregelen)
  5. Systeem- en communicatiebescherming (2 maatregelen)
  6. Systeem- en informatie-integriteit (4 maatregelen)

Niveau 2: Geavanceerde vereiste

CMMC-vereiste op Niveau 2 omvatten 110 maatregelen gegroepeerd onder 14 domeinen. De 14 domeinen zijn:

  1. Toegangscontrole (22 maatregelen)
  2. Bewustwordingstraining (3 maatregelen)
  3. Audittrail en verantwoording (9 maatregelen)
  4. Configuratiebeheer (9 maatregelen)
  5. Identificatie en authenticatie (11 maatregelen)
  6. Reactie op incidenten (3 maatregelen)
  7. Onderhoud (6 maatregelen)
  8. Mediabescherming (9 maatregelen)
  9. Personeelsbeveiliging (2 maatregelen)
  10. Fysieke beveiliging (6 maatregelen)
  11. Risicobeoordeling (3 maatregelen)
  12. Beveiligingsbeoordeling (4 maatregelen)
  13. Systeem- en communicatiebescherming (16 maatregelen)
  14. Systeem- en informatie-integriteit (7 maatregelen)

Niveau 3: Expertvereiste

CMMC-vereiste op Niveau 3 omvatten 130 maatregelen gegroepeerd onder 16 domeinen en die onder CMMC Niveau 1 en 2. De 16 domeinen zijn:

  1. Toegangscontrole (8 maatregelen)
  2. Assetbeheer (1 maatregel)
  3. Audittrail en verantwoording (7 maatregelen)
  4. Bewustwordingstraining (1 maatregel)
  5. Configuratiebeheer (3 maatregelen)
  6. Identificatie en authenticatie (4 maatregelen)
  7. Reactie op incidenten (2 maatregelen)
  8. Onderhoud (2 maatregelen)
  9. Mediabescherming (4 maatregelen)
  10. Fysieke beveiliging (6 maatregelen)
  11. Herstel (1 maatregel)
  12. Risicobeoordeling (3 maatregelen)
  13. Beveiligingsbeoordeling (2 maatregelen)
  14. Situtioneel bewustzijn (1 maatregel)
  15. Systeem- en communicatiebescherming (15 maatregelen)
  16. Systeem- en informatie-integriteit (3 maatregelen)

Hoe verschillen CMMC-vereiste van NIST 800-171-vereiste?

CMMC 2.0 Level 2 is afgestemd op NIST SP 800-171, wat inhoudt dat organisaties binnen de Industriële defensiebasis (DIB) zichzelf kunnen certificeren—ofwel compliant zijn of concrete stappen zetten richting naleving. CMMC Niveau 2 en 3 voorzien in C3PAO’s die organisaties beoordelen en een volwassenheidsniveau toekennen op basis van de status van hun cyberbeveiligingsprogramma. Niveau 1, het basisniveau, vereist alleen een zelfevaluatie.

CMMC-beveiligingsvereiste bieden voordelen buiten het DoD

CMMC-beveiligingsvereiste bieden voordelen voor organisaties buiten de DoD-toeleveringsketen. De vereiste zijn een set cyberbeveiligingsnormen waaraan organisaties moeten voldoen om een goede positie te tonen bij het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van hun systemen. De vereiste bestrijken onder andere toegangscontrole, reactie op incidenten, audittrail en verantwoording, mediabescherming, systeem- en communicatiebescherming, personeelsbeveiliging, beveiligingsbeoordeling en autorisatie, risicobeheer toeleveringsketen, systeem- en informatie-integriteit en training.

Deze maatregelen helpen organisaties hun beveiligingsstatus te verbeteren door effectieve praktijken te implementeren, personeel op te leiden en veilige toeleveringsketens te waarborgen. Door te voldoen aan de CMMC-beveiligingsvereiste kunnen organisaties hun systemen en gegevens beter beschermen, hun risicobeheerprocessen versterken en veerkrachtiger worden tegen potentiële cyberdreigingen.

Kiteworks voor CMMC 2.0 Level 2-naleving

Kiteworks is een vertrouwde aanbieder van cyberbeveiligingsoplossingen voor federale instanties zoals het DoD en diverse leveranciers binnen de Industriële defensiebasis (DIB) die CMMC-certificering vereisen. Omdat Kiteworks FedRAMP Authorized is voor Moderate Level Impact, ondersteunt Kiteworks bijna 90% van de CMMC 2.0 Level 2-vereiste direct. Dit verkort de tijd die nodig is voor DoD-leveranciers om CMMC Level 2-naleving te behalen aanzienlijk.

Bij C3PAO-audits biedt Kiteworks ook positieve voordelen. Het Kiteworks Private Content Network helpt DoD-aannemers de CMMC-processen en auditprocedures te stroomlijnen, waardoor het hele proces sneller en efficiënter verloopt. Met de ondersteuning van Kiteworks kunnen DoD-aannemers hun DoD-activiteiten beschermen door snel en eenvoudig CMMC Level 2-naleving te behalen.

Plan een aangepaste demo om het Kiteworks-platform in actie te zien en ontdek hoe het uw CMMC-nalevingstraject vandaag nog kan versnellen.

Terug naar Risk & Compliance Glossary

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks