Alles wat u moet weten over de CMMC Accreditation Body (The Cyber AB)
In het huidige digitale tijdperk is cyberbeveiliging een topprioriteit geworden voor organisaties in diverse sectoren, vooral voor organisaties die werken met gevoelige informatie. Het Amerikaanse ministerie van Defensie (DoD) heeft belangrijke stappen gezet om zijn cyberbeveiligingsmaatregelen te verbeteren door het Cybersecurity Maturity Model Certification (CMMC) te creëren.
De CMMC Accreditation Body (CMMC AB) speelt een cruciale rol bij het waarborgen dat organisaties voldoen aan de noodzakelijke beveiligingsnormen voor de bescherming van gecontroleerde niet-geclassificeerde informatie (CUI) en Federal Contract Information (FCI).
In april 2022 kondigde de CMMC AB aan dat zij een volledige rebranding zou ondergaan, met een nieuw logo, een nieuwe naam en een publiek toegankelijke website. Op 7 juni 2022 maakte de CMMC AB officieel haar publieke rebranding bekend als “The Cyber AB”, met dezelfde organisatie en verantwoordelijkheden. Juridisch behoudt de organisatie nog steeds de naam Cybersecurity Maturity Model Certification Accreditation Body, Inc.
Dit artikel helpt u het belang van The Cyber AB te begrijpen en de rol bij het autoriseren van CMMC Organisaties van derde beoordelaars (C3PAO’s).
Wat is The Cyber AB?
The Cyber AB is het officiële accreditatieorgaan dat verantwoordelijk is voor het toezicht op en de uitvoering van het CMMC-model. Deze non-profitorganisatie is in 2020 opgericht om ervoor te zorgen dat organisaties voldoen aan de vereiste cyberbeveiligingsnormen voor het omgaan met gevoelige informatie, met name voor deelnemers aan de industriële defensiebasis (DIB).
Hoewel er andere accreditatie-instanties zijn voor diverse sectoren en standaarden, is The Cyber AB specifiek verantwoordelijk voor het beheren van de CMMC-vereiste, die uniek zijn voor het DoD en haar aannemers. Het primaire doel is het waarborgen van de integriteit van het CMMC-proces en het behouden van een hoog expertiseniveau onder gecertificeerde professionals.
The Cyber AB Framework en Reikwijdte
De primaire rol van The Cyber AB is het autoriseren en accrediteren van de CMMC Organisaties van derde beoordelaars (C3PAO’s) die CMMC-beoordelingen uitvoeren bij organisaties binnen de DIB. Daarnaast beheert het de professionele certificering en training binnen het CMMC-ecosysteem, samenwerkend met partners om curricula en examenprotocollen te ontwikkelen voor CMMC-beoordelaars en CMMC-instructeurs.
The Cyber AB stelt de vereiste en processen op voor het behalen van CMMC-certificering. Het bouwt voort op bestaande regelgeving, zoals NIST SP 800-171, DFARS 252.204-7012 en andere, om een uitgebreid cyberbeveiligingsstandaard vast te stellen. Het CMMC 2.0-model bestaat uit drie volwassenheidsniveaus: Level 1, Level 2 en Level 3.
Om een specifiek volwassenheidsniveau te bereiken, moeten organisaties voldoen aan de vereiste praktijken en processen die voor dat niveau zijn vastgesteld. The Cyber AB is verantwoordelijk voor het waarborgen dat organisaties aan deze vereiste voldoen via een grondig beoordelings- en certificeringsproces. Organisaties die CUI verwerken of samenwerken met het DoD moeten het juiste CMMC-certificatieniveau behalen om in aanmerking te komen voor contracten.
The Cyber AB en CMMC Organisaties van derde beoordelaars (C3PAO’s)
The Cyber AB fungeert als de gezaghebbende bron voor CMMC-beoordeling, accreditatie en certificeringsactiviteiten. The Cyber AB is verantwoordelijk voor het opzetten en beheren van het CMMC-ecosysteem, waaronder de training, certificering en kwaliteitscontrole van Gecertificeerde Beoordelaars (CA’s) en C3PAO’s. The Cyber AB werkt nauw samen met het DoD om een succesvolle implementatie van het CMMC-framework en een verbeterde cyberbeveiligingsstatus voor de DIB te waarborgen. Het is verantwoordelijk voor het opstellen van richtlijnen, beleid en procedures voor beoordelingen, zodat elke organisatie nauwkeurig wordt beoordeeld op basis van het gewenste CMMC-niveau.
C3PAO’s vervullen een cruciale rol in het beoordelingsproces. Deze organisaties zijn verantwoordelijk voor het uitvoeren van de daadwerkelijke CMMC-beoordelingen bij organisaties die certificering zoeken. Ze zijn hoogopgeleid en geaccrediteerd door The Cyber AB om CMMC-beoordelingen uit te voeren en certificeringen af te geven op basis van het tijdens de beoordeling verzamelde bewijs. C3PAO’s moeten onpartijdig en onafhankelijk blijven van de organisatie die ze beoordelen, om een eerlijke en onbevooroordeelde evaluatie te waarborgen. Ze voeren beoordelingen uit met behulp van een combinatie van gestandaardiseerde procedures, richtlijnen en frameworks die door The Cyber AB worden geleverd.
De beoordeling door C3PAO’s is gebaseerd op het gewenste volwassenheidsniveau van de organisatie. De CMMC 2.0 volwassenheidsniveaus zijn:
CMMC 2.0 Level 1: Foundational
Het Foundational-niveau vereist een jaarlijkse zelfevaluatie met attestatie door een bedrijfsbestuurder. Dit niveau omvat de basisbeveiligingsvereiste voor FCI, gespecificeerd in FAR Clause 52.204-21.
CMMC 2.0 Level 2: Advanced
Het Advanced-niveau is afgestemd op de National Institute of Standards and Technology SP 800-171 (NIST SP 800-171). Het vereist driejaarlijkse beoordelingen door derden voor DoD-aannemers die kritieke nationale veiligheidsinformatie verzenden, delen, ontvangen en opslaan. Deze beoordelingen door derden worden uitgevoerd door C3PAO’s. Bepaalde aannemers die onder Level 2 vallen, hoeven alleen een jaarlijkse zelfevaluatie met bedrijfsattestatie uit te voeren.
Dit niveau omvat de beveiligingsvereiste voor CUI, gespecificeerd in NIST SP 800-171 Rev 2 volgens DFARS Clause 252.204-7012 [3, 4, 5].
CMMC 2.0 Level 3: Expert
Het Expert-niveau is afgestemd op en zal driejaarlijkse door de overheid geleide beoordelingen vereisen. Informatie over Level 3 wordt later vrijgegeven en zal een subset bevatten van de beveiligingsvereiste gespecificeerd in NIST SP 800-172 [6].
Elk van deze niveaus heeft een set praktijken en processen die organisaties moeten aantonen te hebben geïmplementeerd en effectief te beheren. De C3PAO’s beoordelen en valideren of de organisatie aan deze vereiste voldoet, wat leidt tot het toekennen van het juiste CMMC-certificaat.
Een van de primaire doelen van The Cyber AB en C3PAO’s is het waarborgen van de betrouwbaarheid en integriteit van het CMMC-ecosysteem.
Hoe autoriseert The Cyber AB C3PAO’s?
The Cyber AB heeft een essentiële rol in de implementatie en het succes van het CMMC-framework. The Cyber AB is verantwoordelijk voor diverse kritieke taken, waaronder het opzetten en beheren van trainings- en certificeringsprogramma’s voor CMMC-beoordelaars, het bijhouden van een register van gecertificeerde beoordelaars en het toezicht op de algehele implementatie van het CMMC-framework.
Een van de belangrijkste verantwoordelijkheden van The Cyber AB is ervoor te zorgen dat alle beoordelaars voldoen aan de hoogste normen van ethiek en professionaliteit. Het accreditatieorgaan doet dit door een ethische code voor beoordelaars te ontwikkelen en een systeem van checks and balances op te zetten om de onpartijdigheid en consistentie van beoordelingen te waarborgen.
Een organisatie die C3PAO wil worden, moet een autorisatieproces succesvol doorlopen voordat deze als C3PAO wordt gecertificeerd. Potentiële C3PAO’s moeten slagen voor een CMMC-beoordeling uitgevoerd door het Defense Industrial Base Cybersecurity Assessment Center (DIBCAC). De C3PAO moet aantonen dat zij voldoen aan de CMMC-standaard waarop zij beoordelingen zullen uitvoeren.
The Cyber AB is ook verantwoordelijk voor het waarborgen dat het certificeringsproces eerlijk, transparant en toegankelijk is voor alle bedrijven die certificering zoeken. Dit omvat het ontwikkelen van trainingsprogramma’s voor beoordelaars, het creëren van een set beoordelingsprocedures en richtlijnen, en het opzetten van een systeem voor beroep en geschiloplossing.
Al met al speelt The Cyber AB een cruciale rol in de succesvolle implementatie van het CMMC-framework, en zijn de verantwoordelijkheden essentieel om het hoogste niveau van cyberbeveiligingsvolwassenheid binnen de DIB te waarborgen. Met haar inzet voor transparantie, professionaliteit en ethische praktijken is The Cyber AB een belangrijke partner in de voortdurende inspanning om gevoelige overheidsinformatie te beschermen en de nationale veiligheid te versterken.
Rollen en verantwoordelijkheden van het personeel van The Cyber AB
The Cyber AB omvat diverse personeelsleden, waaronder bestuursleden, beoordelaars en C3PAO’s. De bestuursleden zijn verantwoordelijk voor het toezicht op de strategie, het bestuur en de operaties van de organisatie. Ze ontwikkelen ook beleid en procedures voor het accreditatieproces en zorgen voor het voortdurende onderhoud en de verbetering van het CMMC-model.
Gecertificeerde CMMC-beoordelaars zijn verantwoordelijk voor het uitvoeren van audits en beoordelingen van organisaties die CMMC-certificering zoeken. Zij evalueren de cyberbeveiligingspraktijken en -processen van de organisatie om te bepalen of deze voldoen aan de CMMC-vereiste. The Cyber AB biedt grondige trainings- en certificeringsprogramma’s voor haar beoordelaars om hun expertise en professionaliteit te waarborgen.
Belang van CMMC-naleving voor overheidsaannemers
CMMC is een uniforme cyberbeveiligingsstandaard voor DoD-aannemers, bedoeld om gecontroleerde niet-geclassificeerde informatie (CUI) binnen de toeleveringsketen te beschermen. De CMMC is door het DoD ontwikkeld en vormt een essentieel onderdeel voor organisaties die hun positie binnen de DIB willen veiligstellen.
Door het juiste niveau van CMMC-naleving te implementeren, kunnen overheidsaannemers hun inzet voor het beschermen van gevoelige content aantonen en het vertrouwen behouden van het DoD en andere overheidsinstanties. The Cyber AB speelt een essentiële rol bij het waarborgen dat overheidsaannemers het vereiste nalevingsniveau bereiken. Als het accreditatieorgaan dat verantwoordelijk is voor CMMC, stelt The Cyber AB de vereiste vast voor het certificeren van organisaties en individuele beoordelaars. The Cyber AB zorgt ervoor dat het certificeringsproces consistent en grondig is, wat een hoog beveiligingsniveau binnen de DIB bevordert. Aannemers die CMMC-certificering zoeken, moeten beoordelingen ondergaan die worden uitgevoerd door C3PAO’s.
CMMC-naleving biedt niet alleen voordelen voor de nationale veiligheid, maar levert ook competitieve voordelen op voor overheidsaannemers. CMMC-conformiteit toont de inzet van een aannemer voor cyberbeveiliging aan, wat een essentieel selectiecriterium is voor overheidsinstanties.
The Cyber AB en Cybersecurity Maturity Model Integration (CMMI)
Het CMMI-model is een raamwerk voor procesverbetering dat organisaties helpt hun processen te optimaliseren en hogere prestatieniveaus te bereiken. Het richt zich op diverse domeinen, waaronder cyberbeveiliging. The Cyber AB maakt gebruik van het CMMI-model om een volwassenheidsmodel voor cyberbeveiligingspraktijken en -processen op te stellen, waarmee organisaties hun cyberbeveiligingsstatus kunnen verbeteren.
Zowel The Cyber AB als CMMI werken samen om ervoor te zorgen dat organisaties het gewenste niveau van cyberbeveiligingsvolwassenheid bereiken en hun beveiligingsstatus continu verbeteren.
Kiteworks ondersteunt CMMC 2.0 Level 2-naleving
Omdat Kiteworks FedRAMP Authorized is voor Moderate Level Impact, ondersteunt het bijna 90% van de CMMC 2.0 Level 2-vereiste direct. Kiteworks maakt het ook eenvoudiger en sneller voor C3PAO’s om DoD-leveranciers te certificeren voor CMMC-naleving. Met content-gedefinieerde zero trust beschermt Kiteworks gevoelige communicatie van CUI- en FCI-content en biedt het beveiligd procesbeheer ter ondersteuning van de workflow en beoordeling van activiteiten en gebruikersauthenticatie om bescherming te bieden tegen kwaadwillende actoren.
Kiteworks biedt de mogelijkheid om veel van de systemen en processen die samenhangen met het voldoen aan de CMMC-vereiste te automatiseren met audit log-rapportages. Dit stelt C3PAO’s in staat hun beoordelingen van DoD-leveranciers te voltooien en eventuele hiaten in CMMC-praktijkcontroles te identificeren.
DoD-aannemers en onderaannemers die willen concurreren voor DoD-opdrachten moeten CMMC-naleving bereiken. De gefaseerde implementatie begon in mei 2023, dus het is nu tijd om te starten—en het Kiteworks Private Content Network is het perfecte startpunt.
Plan een aangepaste demo om te zien hoe Kiteworks uw CMMC-nalevingstraject vandaag nog kan versnellen.