Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > CMMC-naleving > CMMC-nalevingschecklist: CMMC 2.0-vereisten beheersen
CMMC-nalevingschecklist: CMMC 2.0-vereisten beheersen

CMMC-nalevingschecklist: CMMC 2.0-vereisten beheersen

by Danielle Barbour updated december 1, 2024 CMMC-naleving
Reading Time: 18 minutes

Gezien de complexiteit van het Cybersecurity Maturity Model Certification (CMMC)-raamwerk is het essentieel voor overheidsaannemers en onderaannemers om een uitgebreide CMMC-nalevingschecklist te hebben om te waarborgen dat zij aan alle vereisten voldoen.

Het CMMC-certificeringsproces is zwaar, maar ons CMMC 2.0-nalevingsstappenplan kan helpen.

Deze Blog Post behandelt de CMMC-nalevingsvereisten voor het CMMC 2.0-raamwerk, biedt een uitgebreide CMMC-nalevingschecklist en geeft defensie-aannemers van het Department of Defense (DoD) praktische inzichten in hoe zij CMMC-naleving kunnen bereiken.

Wat is CMMC-naleving?

CMMC is een cyberbeveiligingsraamwerk dat producenten in de Defense Industrial Base (Defense Industrial Base) reguleert, een uitgebreide lijst van DoD-partners in de toeleveringsketen. Elke aannemer of onderaannemer die gecontroleerde niet-geclassificeerde informatie (CUI) of federale contractinformatie (FCI) verwerkt, verzendt, deelt of ontvangt, moet aantonen dat hij aan de CMMC voldoet.

Het doel van het CMMC-raamwerk is om uiteenlopende vereisten en standaarden, samen met diverse modellen voor zelfevaluatie en attestatie, te bundelen tot betrouwbare, grondige en robuuste beveiligingspraktijken waarmee elk bedrijf zich kan aligneren.

De componenten van CMMC die het onderscheiden van andere federale overheidsreguleringen, zoals de International Traffic in Arms Regulations (ITAR), de Federal Information Security Management Act (FISMA) of het Federal Risk and Authorization Management Program (FedRAMP), omvatten:

  • Controlled Unclassified Information (CUI) en Federal Contract Information (FCI): CMMC dekt expliciet de opslag, verwerking, overdracht en vernietiging van CUI. CUI is een unieke vorm van data die niet onder de Secret-classificatie valt, maar wel speciale bescherming vereist om de nationale veiligheid te waarborgen. Voorbeelden van CUI zijn financiële informatie gerelateerd aan overheidscontracten, persoonlijk identificeerbare of beschermde gezondheidsinformatie (PII/PHI) van overheidsmedewerkers, of gevoelige technische gegevens over defensiesystemen.

    FCI is een andere, minder gevoelige vorm van informatie met betrekking tot contractuele relaties tussen aannemers en overheidsinstanties. CMMC is ontworpen om beide gevallen te behandelen.

  • NIST-standaarden: CMMC, net als andere federale cyberbeveiligingsraamwerken, is gebaseerd op standaarden die zijn opgesteld en onderhouden door het National Institute of Standards and Technology (NIST). Specifiek vertrouwt CMMC op NIST 800-171, “Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations”.

    Bovendien zal Level 3 van CMMC-naleving voortbouwen op NIST SP 800-172, “Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171”.

  • Maturiteitsniveaus: Om defensie-aannemers en overheidsinstanties te helpen afstemmen op het vereiste beveiligingsniveau voor samenwerking, verdeelt CMMC de naleving in drie maturiteitsniveaus op basis van de implementatie van NIST SP 800-171 (en mogelijk SP 800-172) controles door de aannemer.
  • Beoordelingen door derden: Net als bij FedRAMP vertrouwt CMMC op beoordelingen door derden, uitgevoerd door Certified Third Party Assessor Organizations (C3PAO’s) zoals vermeld hier.

Belangrijkste inzichten

  1. Gestroomlijnde maturiteitsniveaus

    Het CMMC 2.0-raamwerk kent slechts drie maturiteitsniveaus: Foundational (Level 1), Advanced (Level 2) en Expert (Level 3). Deze reductie is bedoeld om de structuur van vereisten voor defensie-aannemers en onderaannemers te vereenvoudigen.

  2. Afstemming op NIST-standaarden

    CMMC 2.0 legt meer nadruk op afstemming met bestaande NIST-standaarden. Level 2-naleving is specifiek afgestemd op NIST SP 800-171, terwijl Level 3 elementen bevat van NIST SP 800-172, met als doel de consistentie met gevestigde cyberbeveiligingsraamwerken te vergroten.

  3. Zelfevaluaties en beoordelingen door derden

    Defensie-aannemers die Federal Contract Information (FCI) op Level 1 verwerken, kunnen jaarlijkse zelfevaluaties uitvoeren, waardoor certificering door derden niet nodig is. Voor Level 2 is een mix van zelfevaluaties en beoordelingen door derden vereist, afhankelijk van het type gecontroleerde niet-geclassificeerde informatie (CUI) dat wordt verwerkt.

  4. Nalevingschecklist

    Bepaal het gewenste maturiteitsniveau, voer een zelfevaluatie uit, maak gebruik van bestaande raamwerken, stel een POA&M en SSP op, kies een C3PAO en stel een tijdlijn en budget vast.

Wanneer is CMMC-naleving vereist?

De verwachte ingangsdatum voor CMMC 2.0 is 16 december 2024, precies 60 dagen na publicatie.

De vereiste om CMMC-naleving te behalen hangt samen met het gefaseerde implementatieschema van het Department of Defense, dat begon na de publicatie van de definitieve regel en betrekking heeft op 32 CFR-vereisten en 48 CFR CMMC Proposed Rule. Hoewel de CFR CMMC-regel de wettelijke basis van het programma heeft gelegd, vindt de daadwerkelijke opname van CMMC-vereisten in contracten geleidelijk plaats over meerdere jaren.

Het DoD voert CMMC-clausules gefaseerd in bij Requests for Information (RFIs) en Requests for Proposals (RFPs), op basis van programmaprioriteit en de gevoeligheid van de betrokken informatie. Aannemers moeten nieuwe aanbestedingen nauwlettend volgen om te bepalen wanneer specifieke CMMC-niveaus verplicht worden voor deelname.

Voor Level 1 zijn jaarlijkse zelfevaluaties vereist bij gunning van het contract.

Voor Level 2, waarbij kritieke CUI betrokken is, is een driejaarlijkse beoordeling door een C3PAO noodzakelijk vóór gunning van het contract, terwijl voor andere Level 2-contracten jaarlijkse zelfevaluaties toegestaan kunnen zijn.

Level 3 vereist door de overheid geleide driejaarlijkse beoordelingen. Bestaande contracten vereisen doorgaans niet automatisch CMMC-naleving, tenzij ze worden aangepast, maar alle nieuwe DoD-contracten waarbij FCI of CUI betrokken is, zullen uiteindelijk deze vereisten bevatten naarmate de gefaseerde uitrol vordert.

Gezien de tijd die nodig is om je voor te bereiden op beoordelingen, vooral certificeringen door derden, moeten organisaties ruim van tevoren beginnen met hun CMMC-nalevingsinspanningen voordat zij contracten met deze eisen verwachten.

Moet je een succesvolle C3PAO-beoordeling waarborgen? Bekijk dan zeker onze CMMC Level 2 Assessment Guide.

Wie heeft CMMC-certificering nodig?

CMMC-certificering is in feite onvermijdelijk als je producten of diensten levert aan het DoD. De volgende typen organisaties moeten CMMC-naleving aantonen en CMMC-certificering behalen, of het nu Level 1, 2 of 3 is:

  • Alle DoD-aannemers en onderaannemers: Elke organisatie, ongeacht de omvang, die Federal Contract Information (FCI) of Controlled Unclassified Information (CUI) verwerkt als onderdeel van een DoD-contract, moet het vereiste niveau van CMMC-naleving behalen. Dit geldt voor de volledige Defense Industrial Base (DIB) toeleveringsketen.
  • Hoofdaannemers: Organisaties die rechtstreeks met het DoD contracteren, zijn verantwoordelijk voor hun eigen naleving én het verifiëren van de naleving van hun onderaannemers.
  • Onderaannemers (alle niveaus): Bedrijven die werken voor hoofdaannemers, of zelfs voor andere onderaannemers, moeten voldoen aan de CMMC-vereisten die aan hen worden doorgegeven, op basis van het type informatie dat zij verwerken (FCI of CUI). Als een onderaannemer CUI verwerkt in verband met een contract dat CMMC Level 2 vereist, moet die onderaannemer ook Level 2-naleving of certificering behalen.
  • Leveranciers en verkopers: Zelfs organisaties die commerciële standaardproducten (COTS) leveren, kunnen CMMC Level 1 nodig hebben als zij FCI verwerken tijdens het aanbestedingsproces. Als zij CUI verwerken, gelden hogere niveaus. Voorbeelden van bedrijfstypen: Dit omvat producenten, ingenieursbureaus, softwareontwikkelaars, IT-dienstverleners, onderzoeksinstellingen, adviseurs, logistieke bedrijven en elke andere entiteit die deelneemt aan de DoD-toeleveringsketen en gevoelige contractinformatie verwerkt.
  • Verschil in vereisten: Het specifieke vereiste CMMC-niveau (Level 1, 2 of 3) hangt direct af van het type en de gevoeligheid van de verwerkte informatie. Level 1 richt zich op bescherming van FCI (basis cyberhygiëne en zelfevaluatie vereist). Levels 2 en 3 richten zich op bescherming van CUI, met steeds robuustere beveiligingspraktijken afgestemd op NIST SP 800-171 en NIST SP 800-172, vaak met verplichte beoordelingen door derden of de overheid voor CMMC-certificering.

Begrijp het verschil tussen CMMC-certificering en CMMC-naleving.

CMMC 2.0-vereisten

De overgang van CMMC 1.0 naar CMMC 2.0 weerspiegelt een stroomlijning en verfijning van het raamwerk en de CMMC-vereisten om CMMC-naleving efficiënter en praktischer te maken voor defensie-aannemers in de Defense Industrial Base (DIB). Wijzigingen in CMMC-vereisten zijn onder meer:

1. Minder CMMC-maturiteitsniveaus

CMMC 1.0 kende vijf niveaus, van basis cyberhygiëne (Level 1) tot geavanceerd/progressief (Level 5). CMMC 2.0 vereist daarentegen dat defensie-aannemers nu voldoen aan slechts drie maturiteitsniveaus: Level 1 (Foundational), Level 2 (Advanced) en Level 3 (Expert).

2. Afstemming op NIST-standaarden

CMMC 2.0 legt meer nadruk op afstemming van certificeringsvereisten met bestaande NIST-standaarden (NIST SP 800-171 voor Level 2 en NIST SP 800-172 voor Level 3). Deze afstemming is bedoeld om de complexiteit te verminderen en de consistentie met gevestigde raamwerken te vergroten.

3. Zelfevaluaties

Onder CMMC 2.0 hoeven bedrijven die Federal Contract Information (FCI) op Level 1 verwerken alleen jaarlijkse zelfevaluaties uit te voeren, in plaats van certificering door een gecertificeerde derde beoordelaar (C3PAO). Let op: CMMC Level 2-naleving vereist een mix van zelfevaluaties en beoordelingen door derden, afhankelijk van het type informatie dat wordt verwerkt.

4. Afschaffing van bepaalde praktijken en processen

Het CMMC 2.0-raamwerk mist de maturiteitsprocessen die onderdeel waren van de niveaus in CMMC 1.0 en richt zich in plaats daarvan puur op cyberbeveiligingspraktijken, wat de CMMC-vereisten vereenvoudigt.

Uiteindelijk weerspiegelt de overgang van CMMC 1.0 naar CMMC 2.0 een meer gestroomlijnde en afgestemde benadering van cyberbeveiligingsvereisten voor defensie-aannemers.

Ondanks de reductie en vereenvoudiging van niveaus kan het belang van het voldoen aan deze vereisten niet genoeg benadrukt worden. CMMC-naleving is niet alleen essentieel voor het behouden van bestaande contracten en het verkrijgen van nieuwe DoD-contracten, maar is ook van cruciaal belang voor het beschermen van gevoelige informatie en het waarborgen van de integriteit en betrouwbaarheid van de defensieketen.

CMMC 1.0 vs CMMC 2.0: Belangrijkste verschillen

CMMC 2.0 betekent een aanzienlijke evolutie ten opzichte van het oorspronkelijke CMMC 1.0-raamwerk, ontworpen om vereisten te vereenvoudigen, kosten te verlagen en beter aan te sluiten op bestaande standaarden. Het begrijpen van deze verschillen is cruciaal voor effectieve CMMC-nalevingsplanning. Dit zijn de belangrijkste verschillen:

  • Maturiteitsniveaus: CMMC 1.0 kende vijf maturiteitsniveaus. CMMC 2.0 stroomlijnt dit tot drie niveaus: Level 1 (Foundational), Level 2 (Advanced) en Level 3 (Expert). Deze vereenvoudiging richt de inspanningen op belangrijke cyberbeveiligingsstandaarden.
  • Afstemming op NIST-standaarden: CMMC 1.0 bevatte unieke CMMC-praktijken en maturiteitsprocessen naast NIST-standaarden. CMMC 2.0 stemt Level 1 af op FAR 52.204-21 basisbeveiligingsvereisten, Level 2 direct op alle 110 controles in NIST SP 800-171 en Level 3 op NIST SP 800-171 plus een subset van NIST SP 800-172-controles. Dit elimineert CMMC-specifieke controles en maakt gebruik van gevestigde cyberbeveiligingsraamwerken.
  • Beoordelingsvereisten: CMMC 1.0 vereiste beoordelingen door derden voor Levels 3-5. CMMC 2.0 verandert dit aanzienlijk: Level 1 vereist jaarlijkse zelfevaluaties. Level 2 vereist driejaarlijkse beoordelingen door derden (C3PAO) voor contracten met kritieke CUI, maar staat jaarlijkse zelfevaluaties toe voor sommige Level 2-contracten (afhankelijk van de gevoeligheid van de informatie). Level 3 vereist driejaarlijkse beoordelingen door de overheid (uitgevoerd door DIBCAC).
  • Plans of Action & Milestones (POA&Ms): CMMC 1.0 vereiste volledige naleving van alle praktijken op het moment van beoordeling. CMMC 2.0 staat beperkt gebruik van POA&Ms toe voor bepaalde vereisten onder strikte voorwaarden (bijv. moeten binnen 180 dagen worden afgesloten, mogen niet gelden voor de zwaarst wegende vereisten, minimale beoordelingsscore vereist). Dit biedt enige flexibiliteit, maar elimineert de noodzaak voor robuuste CMMC-naleving niet.
  • Kostenimplicaties: Door het aantal niveaus te verminderen, CMMC-eigen vereisten te schrappen en zelfevaluaties toe te staan voor Level 1 en sommige Level 2-scenario’s, wil CMMC 2.0 de nalevingslast en kosten verlagen, vooral voor kleine bedrijven.
  • Wijzigingen in tijdlijn: De implementatie van CMMC 2.0 volgt een gefaseerde uitrol over meerdere jaren, geleidelijk geïntegreerd in DoD-contracten, in tegenstelling tot het mogelijk snellere oorspronkelijke plan voor CMMC 1.0.
  • Impact op nalevingsstrategie: Organisaties die zich al voorbereidden op CMMC 1.0 moeten hun streefniveau opnieuw beoordelen onder de CMMC 2.0-structuur. Inspanningen om aan NIST SP 800-171-vereisten te voldoen blijven zeer relevant voor CMMC 2.0 Level 2. De focus moet liggen op het dichten van resterende gaten ten opzichte van NIST-standaarden, het opstellen van het Systeembeveiligingsplan (SSP) en het bepalen van het juiste beoordelingspad (zelfevaluatie of C3PAO).

Wanneer worden CMMC 2.0-vereisten opgenomen in contracten?

De opname van CMMC 2.0-vereisten in Department of Defense (DoD)-contracten vindt plaats via een gestructureerde, gefaseerde implementatie die begon na de inwerkingtreding van de definitieve CMMC-programmaregel (vastgelegd in Titel 32 CFR) en de bijbehorende inkoopregel (met impact op DFARS in Titel 48 CFR).

Hoewel specifieke data afhangen van de definitieve vaststelling en ingangsdatum van deze regels (verwacht begin 2025), heeft het DoD een meerjarige uitrolstrategie geschetst. Dit betekent dat CMMC 2.0-vereisten niet in alle contracten tegelijk verschijnen. In plaats daarvan zal het DoD CMMC-clausules geleidelijk introduceren in nieuwe aanbestedingen (RFIs, RFPs) op basis van het strategisch belang van het contract en de gevoeligheid van de betrokken informatie (FCI of CUI). De uitrol begint naar verwachting met een kleiner aantal contracten en breidt zich in de loop van de tijd uit, uiteindelijk omvattend alle relevante DoD-contracten.

In de tussenliggende periode voordat CMMC-vereisten in een specifiek contract verschijnen, moeten aannemers die CUI verwerken nog steeds voldoen aan de bestaande DFARS 252.204-7012-clausule, die vereist dat NIST SP 800-171 wordt geïmplementeerd en beoordelingsscores worden gerapporteerd aan het Supplier Performance Risk System (SPRS).

Er zijn geen grootschalige pilotprogramma’s aangekondigd voor CMMC 2.0 zoals aanvankelijk bij 1.0, maar aannemers moeten elk contract met een CMMC-clausule behandelen als verplicht voor naleving bij gunning (of zoals gespecificeerd).

Het belangrijkste is dat het behalen van CMMC-naleving, vooral Levels 2 en 3 waarbij beoordelingen nodig zijn, veel tijd en middelen kost. Aannemers moeten nu proactief voorbereiden door hun status te beoordelen ten opzichte van de relevante CMMC 2.0-vereisten (NIST SP 800-171/172), hun Systeembeveiligingsplan (SSP) te ontwikkelen en te plannen voor noodzakelijke beoordelingen, in plaats van te wachten tot de vereisten in een aanbesteding verschijnen.

CMMC-vereisten per maturiteitsniveau

Het is cruciaal voor defensie-aannemers om de specifieke vereisten van elk CMMC-maturiteitsniveau te begrijpen voordat ze beginnen met het CMMC-nalevings- en certificeringsproces (inclusief het verschil tussen CMMC-certificering en CMMC-naleving). Elk van de drie maturiteitsniveaus in het CMMC 2.0-raamwerk, Foundational, Advanced en Expert, heeft zijn eigen set praktijken en processen, gericht op het stapsgewijs verbeteren van de cyberbeveiligingsstatus van een defensie-aannemer in lijn met de gevoeligheid van de informatie die zij verwerken en delen met het DoD. De belangrijkste vereisten voor elk CMMC 2.0-maturiteitsniveau zijn onder meer:

CMMC 2.0 Level 1-vereisten: Fundamentele cyberbeveiliging

CMMC Level 1 richt zich op fundamentele cyberbeveiligingspraktijken voor organisaties die federale contractinformatie (FCI) verwerken. Dit niveau is bedoeld voor organisaties die basis cyberhygiëne willen aantonen. De belangrijkste vereisten zijn:

  1. Basisbeveiligingspraktijken: Organisaties moeten 17 praktijken implementeren die zijn afgestemd op de Federal Acquisition Regulation (FAR) 52.204-21, met fundamentele beveiligingsvereisten voor het beschermen van FCI.
  2. Toegangsbeheer: Beperk toegang tot informatiesystemen tot geautoriseerde gebruikers en apparaten.
  3. Bewustwording en training: Geef beveiligingsbewustzijnstraining aan personeel.
  4. Configuratiebeheer: Stel basisconfiguraties op en onderhoud deze voor informatiesystemen.
  5. Identificatie en authenticatie: Identificeer gebruikers, processen en apparaten van informatiesystemen en verifieer hun identiteit voordat toegang wordt verleend.
  6. Bescherming van media: Bescherm informatiesysteemmedia zowel tijdens als na gebruik.
  7. Fysieke bescherming: Beperk fysieke toegang tot informatiesystemen en hun componenten.
  8. Risicobeoordeling: Voer periodiek risicobeoordelingen uit en evalueer risico’s voor de organisatie.
  9. Beveiligingsbeoordeling: Voer periodieke beveiligingsbeoordelingen uit om naleving van beveiligingsvereisten te waarborgen.
  10. Systeem- en communicatiebeveiliging: Monitor, beheer en bescherm communicatie van de organisatie aan externe grenzen en belangrijke interne punten.
  11. Systeem- en informatie-integriteit: Identificeer, rapporteer en corrigeer tijdig fouten in informatie en informatiesystemen.

Over het algemeen vereist CMMC 2.0 Level 1 basis cyberbeveiligingspraktijken die voor de meeste organisaties bekend en eenvoudig te implementeren zouden moeten zijn, en bieden ze essentiële bescherming voor het verwerken van FCI.

CMMC 2.0 Level 2-vereisten: Geavanceerde cyberbeveiliging

CMMC Level 2 is bedoeld voor defensie-aannemers die gecontroleerde niet-geclassificeerde informatie (CUI) verwerken als onderdeel van hun contracten met het DoD. Dit zijn de kernvereisten voor het behalen van CMMC 2.0 Level 2:

  1. Afstemming op NIST SP 800-171: Level 2 is primair afgestemd op de 110 beveiligingspraktijken uit de National Institute of Standards and Technology Special Publication 800-171 (NIST SP 800-171). Dit omvat controles over diverse domeinen zoals toegangsbeheer, incidentrespons en risicobeheer.
  2. Beoordeling en certificering: Organisaties moeten een beoordeling door derden ondergaan door een gecertificeerde CMMC Third-Party Assessment Organization (C3PAO) om naleving te verifiëren. Dit is verplicht voor contracten waarbij CUI betrokken is.
  3. Tweejaarlijkse zelfevaluaties: Organisaties moeten ook jaarlijkse zelfevaluaties uitvoeren om voortdurende naleving en verbetering van hun cyberbeveiligingspraktijken te waarborgen.
  4. Documentatie en beleidsontwikkeling: Bedrijven moeten gedocumenteerd beleid en procedures hebben ter ondersteuning van elke beveiligingspraktijk. Dit omvat regelmatig bijgewerkte registraties en audittrails.
  5. Risicobeheer: Organisaties moeten een risicobeheerbenadering implementeren die cyberbeveiligingsrisico’s continu identificeert, beoordeelt en beheert.
  6. Incidentrapportage: Er moeten procedures zijn voor het rapporteren van incidenten aan het DoD, zodat tijdige communicatie en reactie op potentiële datalekken gewaarborgd zijn.
  7. Continue monitoring: Bedrijven moeten mechanismen hebben voor continue monitoring van hun informatiesystemen om snel beveiligingsdreigingen te detecteren en erop te reageren.
  8. Beveiligingsbewustzijn en training: Implementeer een beveiligingstrainingsprogramma zodat alle medewerkers hun cyberbeveiligingsverantwoordelijkheden en het belang van het beschermen van CUI begrijpen.

Door aan deze vereisten te voldoen, kunnen organisaties gevoelige informatie beschermen en hun geschiktheid behouden voor DoD-contracten waarbij CUI betrokken is.

CMMC 2.0 Level 3-vereisten: Expert cyberbeveiliging

CMMC Level 3 is bedoeld voor organisaties die gecontroleerde niet-geclassificeerde informatie (CUI) verwerken en vereist dat zij meer geavanceerde cyberbeveiligingspraktijken implementeren. De vereisten voor Level 3 zijn nog niet volledig openbaar gemaakt, maar hier is een algemeen overzicht op basis van beschikbare informatie:

  1. Afstemming op NIST-standaarden: Level 3 sluit nauw aan bij NIST SP 800-172, dat voortbouwt op de controles uit NIST SP 800-171 met focus op geavanceerdere cyberbeveiligingspraktijken en -bescherming.
  2. Geavanceerde beveiligingspraktijken: Organisaties moeten voldoen aan meer dan 110 praktijken, inclusief die van lagere CMMC-niveaus (Level 1 en Level 2), aangevuld met extra vereisten gericht op complexe dreigingsdetectie en respons.
  3. Incidentrespons en -beheer: Robuuste incidentresponspraktijken zijn vereist, met mogelijkheden om cyberbeveiligingsincidenten effectief te beheren en te rapporteren.
  4. Continue monitoring: Organisaties moeten systemen voor continue monitoring implementeren om snel cyberbeveiligingsgebeurtenissen te detecteren, erop te reageren en ervan te herstellen.
  5. Risicobeheer: Een volwassen risicobeheerraamwerk is vereist om risico’s continu te beoordelen, te prioriteren en te beperken.
  6. Beoordeling op expertniveau: Organisaties op dit niveau moeten driejaarlijkse beoordelingen ondergaan door gecertificeerde derde beoordelaars.
  7. Bescherming van Federal Contract Information (FCI) en CUI: Organisaties moeten sterke capaciteiten aantonen in het beschermen van zowel FCI als CUI.

Aangezien dit richtlijnen op hoofdlijnen zijn, moeten organisaties die streven naar CMMC 2.0 Level 3-naleving updates van het Department of Defense (DoD) nauwgezet volgen en overleggen met cyberbeveiligingsexperts om te waarborgen dat zij aan alle specifieke vereisten voldoen naarmate deze zich ontwikkelen.

CMMC-nalevingschecklist

CMMC-certificering, de voorloper van CMMC-naleving, is een grondig proces. Om CMMC-gecertificeerd te worden, moeten bedrijven voldoen aan een uitgebreid pakket vereisten dat door het DoD is vastgesteld. Hieronder vind je onze CMMC-checklist met punten waaraan organisaties moeten voldoen om CMMC-certificering te behalen.

Bepaal het juiste CMMC-maturiteitsniveau voor jouw organisatie

De eerste stap naar CMMC 2.0-naleving is bepalen welk CMMC-maturiteitsniveau het meest geschikt is voor jouw organisatie. Het CMMC-certificeringsproces is een gelaagde aanpak, en bedrijven moeten het juiste niveau kiezen op basis van de gevoeligheid van de data die zij verwerken. Er zijn drie niveaus van CMMC-certificering (zie hierboven).

Voer een CMMC-zelfevaluatie uit om je gereedheid voor CMMC-naleving te bepalen

Nadat je het maturiteitsniveau hebt bepaald dat jouw organisatie wil of moet behalen, is de volgende stap het uitvoeren van een zelfevaluatie van het cyberbeveiligingsprofiel van je organisatie. Deze beoordeling moet een evaluatie omvatten van de cyberbeveiligingsvolwassenheid van je organisatie, inclusief beleid en procedures, netwerkbeveiliging, toegangsbeheer en incidentresponsmogelijkheden.

Maak gebruik van andere cyberbeveiligingsraamwerken om CMMC-nalevingsinspanningen te stroomlijnen

Hoewel het behalen van CMMC-certificering een complex proces kan zijn, kunnen organisaties de overgang vergemakkelijken door gebruik te maken van bestaande raamwerken en certificeringen die aansluiten bij CMMC-vereisten. CMMC is ontwikkeld op basis van bestaande raamwerken, en er is aanzienlijke overlap tussen CMMC en andere gevestigde cyberbeveiligingsraamwerken die worden gebruikt voor naleving van regelgeving.

Een van deze raamwerken is het National Institute of Standards and Technology Cybersecurity Framework (NIST CSF), dat richtlijnen en beste practices biedt voor het beheren en beperken van cyberbeveiligingsrisico’s. Door het CSF te implementeren, kunnen organisaties hun cyberbeveiligingspraktijken afstemmen op CMMC-vereisten, wat het certificeringsproces waarschijnlijk eenvoudiger en gestroomlijnder maakt.

Andere raamwerken en certificeringen die organisaties kunnen helpen bij het behalen van CMMC-certificering zijn onder meer FedRAMP, FISMA, de International Organization for Standardization 27000 normen (ISO 27001) en NIST Special Publication 800-171. Door deze raamwerken en certificeringen te benutten, kunnen organisaties hun algehele cyberbeveiligingsstatus verbeteren en aantonen dat zij voldoen aan de CMMC-vereisten.

Stel een Plan of Action and Milestones (POA&M) op voor CMMC-naleving

Een Plan of Action and Milestones (POA&M) is een essentieel document dat de strategie van een organisatie beschrijft om zwakke plekken en tekortkomingen in haar cyberbeveiligingsmaatregelen aan te pakken. Het speelt een belangrijke rol bij het aantonen van CMMC-naleving. Het opstellen van een POA&M vereist een aantal stappen. Nadat je het juiste niveau hebt vastgesteld, identificeer je de gaten tussen je huidige cyberbeveiligingsstatus en de vereiste certificeringen. Dit vereist een grondige beoordeling van het bestaande beleid, procedures en technische maatregelen van je organisatie.

Op basis van de geïdentificeerde gaten geef je prioriteit aan de gebieden die als eerste moeten worden aangepakt. Ontwikkel vervolgens een tijdlijn voor elke taak, inclusief deadlines voor het afronden van elke actie. Wijs taken toe aan teamleden met duidelijke verantwoordelijkheden en houd hen verantwoordelijk voor het volgen van de planning. Documenteer tenslotte alle stappen richting naleving en houd de voortgang regelmatig bij, waarbij je het plan van aanpak en mijlpalen indien nodig bijwerkt. Deze aanpak zorgt voor een gestructureerde en methodische benadering van CMMC-naleving, wat leidt tot meer efficiëntie en tijdige resultaten.

Ontwikkel een Systeembeveiligingsplan (SSP) om CMMC-naleving te behalen

Om CMMC-naleving te behalen, moeten organisaties een systeembeveiligingsplan (SSP) opstellen met details over elk systeem in hun IT-omgeving dat gecontroleerde niet-geclassificeerde informatie (CUI) opslaat of verzendt, in overeenstemming met NIST 800-171.

Het SSP beschrijft de informatiestroom tussen systemen en authenticatie- en autorisatieprocedures, evenals bedrijfsreglementen, beveiligingsverplichtingen van personeel, netwerkdiagrammen en administratieve taken. Het SSP is een levend document dat moet worden bijgewerkt wanneer er significante wijzigingen zijn in het beveiligingsprofiel of de procedures van het bedrijf.

Tijdens het aanbestedings- en gunningsproces beoordeelt het Department of Defense de SSP’s van aannemers. Om DoD-opdrachten te winnen, moeten aannemers een actief en geldig SSP hebben.

Het opstellen (en bijwerken) van het SSP kan een arbeidsintensief proces zijn, maar het is essentieel voor het behouden van CMMC-certificeringscriteria. Daarom moeten aannemers ervoor zorgen dat zij over de benodigde middelen beschikken om het SSP op te stellen en bij te werken.

Kies een CMMC Third Party Assessor Organization om CMMC-naleving te waarborgen

Nadat je de zelfevaluatie hebt afgerond, moet je een CMMC Third Party Assessor Organization (C3PAO) selecteren. Een C3PAO is een organisatie die door de Accreditation Body (AB) is gemachtigd om CMMC-beoordelingen uit te voeren. De C3PAO is verantwoordelijk voor het beoordelen van de naleving van jouw organisatie met het CMMC-raamwerk.

Samenwerken met een C3PAO is een cruciale stap in het proces om CMMC-naleving te bereiken. Er zijn echter meerdere C3PAO’s op de markt, en het kiezen van de juiste kan overweldigend zijn.

Hier zijn enkele overwegingen bij het selecteren en samenwerken met een C3PAO:

  • Controleer de CMMC-AB-website voor een lijst van geautoriseerde C3PAO’s
  • Kies een C3PAO met ervaring in jouw branche
  • Controleer de accreditatiestatus van de C3PAO
  • Vraag om referenties en feedback van eerdere klanten
  • Overweeg hun prijsstructuur

Nadat je een C3PAO hebt geselecteerd, moet je nauw met hen samenwerken om CMMC-naleving te behalen. De C3PAO biedt begeleiding gedurende het nalevingsproces en beoordeelt de naleving van jouw organisatie met het CMMC-raamwerk.

Stel een tijdlijn op voor CMMC-naleving

Het CMMC-certificeringsproces is tijdrovend, en bedrijven moeten hierop anticiperen. Dit zijn enkele factoren waarmee bedrijven rekening moeten houden bij het plannen van het certificeringsproces:

  • Omvang van de organisatie
  • Huidige cyberbeveiligingsstatus
  • Het certificeringsproces kan tot 12 maanden duren, afhankelijk van het certificeringsniveau
  • De C3PAO voert een gap-analyse uit vóór de daadwerkelijke beoordeling, wat tot drie maanden kan duren
  • Het certificeringsproces vereist doorlopend onderhoud en periodieke beoordelingen

Reserveer voldoende middelen om CMMC-naleving te behalen

Het CMMC-certificeringsproces kan kostbaar zijn, zowel qua financiën als personele inzet, en bedrijven moeten hierop budgetteren. Aannemers moeten rekening houden met kosten voor cyberbeveiligingsbeoordelingen, herstelmaatregelen en doorlopend onderhoud. Dit zijn enkele factoren waarmee bedrijven rekening moeten houden bij het plannen van hun budget:

  • De kosten van het certificeringsproces kunnen variëren afhankelijk van het CMMC-niveau
  • De kosten voor het inhuren van een C3PAO kunnen variëren afhankelijk van hun ervaring en accreditatiestatus
  • Het certificeringsproces vereist doorlopend onderhoud, wat de nalevingskosten kan verhogen

Hoe bereid je je voor op een CMMC-beoordeling?

Er zijn specifieke stappen die organisaties kunnen nemen om zich voor te bereiden op een CMMC-beoordeling. Enkele van deze stappen zijn:

  • Begrijp NIST-vereisten: NIST publiceert beveiligingsdocumentatie gratis op hun website. Er is dus weinig reden waarom jouw organisatie geen basiskennis zou hebben van de categorieën beveiligingscontroles die bij een beoordeling aan bod komen. Zorg er in elk geval voor dat er binnen je organisatie iemand of een team is dat kan communiceren met beoordelaars en de overheid; dit is cruciaal.
  • Voer een gap-analyse uit: Huur een beveiligingsbedrijf in om je IT-infrastructuur te analyseren en te vergelijken met de CMMC-vereisten. Zo krijg je een duidelijk beeld van waar je nu staat en waar je naartoe moet, zodat je de benodigde aanpassingen en upgrades kunt doorvoeren.
  • Voer een risicobeoordeling uit: Hoewel de standaarden van CMMC duidelijk zijn gedefinieerd, kun je overwegen om branche-standaarden of bedrijfsdoelen te betrekken voordat je ze als checklist gebruikt. Een risicobeoordeling helpt je te begrijpen wat je moet implementeren voor naleving, zonder de groeimogelijkheden van je bedrijf te beperken.
  • Kies een C3PAO: De CMMC Accreditation Body (CMMC-AB) biedt een online marktplaatsdirectory van geaccrediteerde C3PAO’s. Gebruik deze tool om een bedrijf te selecteren waarmee je wilt samenwerken.

    Let op: de CMMC-AB staat niet toe dat aannemers buiten de beoordelingsrelatie met een C3PAO samenwerken. Om belangenconflicten te voorkomen, mag een C3PAO bijvoorbeeld geen advies of IT-beveiligingswerkzaamheden uitvoeren vóór hun beoordeling van het bedrijf.

  • Bereid je voor op doorlopende beoordeling: Na de initiële CMMC-certificering moet je organisatie zorgen voor doorlopende hercertificering en monitoring. Afhankelijk van het maturiteitsniveau van je certificering kan dit betekenen: jaarlijkse zelfevaluaties of driejaarlijkse C3PAO-audits.

Kosten van CMMC-naleving

Het begrijpen van de werkelijke kosten van CMMC-naleving is cruciaal voor elke organisatie die met het DoD wil samenwerken. De kosten kunnen sterk variëren, afhankelijk van factoren zoals de omvang van je organisatie, de complexiteit van je netwerk en het CMMC-niveau dat je wilt behalen. CMMC-nalevingskosten kunnen bestaan uit cyberbeveiligingsupgrades, advieskosten en extra training voor personeel.

Ondanks deze uitgaven is het behalen van CMMC-naleving niet alleen een vereiste voor DoD-aannemers, maar ook een waardevolle investering in de cyberbeveiligingsstatus van je organisatie. Naast deze initiële kosten moeten organisaties ook rekening houden met de doorlopende uitgaven die gepaard gaan met CMMC-naleving. Denk hierbij aan regelmatige cyberbeveiligingsaudits, periodieke netwerkupgrades en de noodzaak van voortdurende training van medewerkers om voorop te blijven lopen bij nieuwe dreigingen. Extra kosten kunnen ontstaan door het bijhouden van de vereiste documentatie of als je ervoor kiest een externe dienstverlener in te schakelen voor het beheer van je nalevingsproces.

Een belangrijke factor die de kosten van CMMC-naleving beïnvloedt, is het CMMC-niveau dat je organisatie nastreeft. Het CMMC-model bestond oorspronkelijk uit vijf niveaus, waarbij Level 1 het meest basaal is en Level 5 het meest geavanceerd. Elk niveau vereist een steeds grondigere set cyberbeveiligingsmaatregelen, wat betekent dat de kosten toenemen naarmate je naar hogere niveaus gaat. Het is essentieel voor organisaties om hun benodigde nalevingsniveau nauwkeurig te beoordelen en hierop te budgetteren.

Een andere kostenfactor is de omvang en complexiteit van je organisatie. Grotere organisaties met complexe netwerken zullen waarschijnlijk hogere nalevingskosten hebben vanwege de grotere complexiteit van hun cyberbeveiligingsbehoeften. Kleinere organisaties kunnen de kosten wellicht beter beheersen, maar moeten nog steeds investeren in de benodigde infrastructuur en training om naleving te waarborgen.

Hoewel de kosten van CMMC-naleving aanzienlijk kunnen zijn, is het belangrijk om het, opnieuw, te zien als een investering in de toekomst van je organisatie en niet alleen als een uitgave. Door CMMC-naleving te behalen, voldoet je organisatie niet alleen aan de vereisten om met het DoD samen te werken, maar versterk je ook aanzienlijk de algehele cyberbeveiliging, waarmee je mogelijk dure cyberaanvallen in de toekomst voorkomt. Daarom, hoewel het beheren en plannen van de kosten van CMMC-naleving een uitdaging kan zijn, wegen de potentiële voordelen ruimschoots op tegen de initiële en doorlopende kosten. Bovendien kan niet-naleving leiden tot verlies van opdrachten van het DoD, wat een grote klap kan zijn voor organisaties die afhankelijk zijn van deze contracten, waardoor de kosten van naleving een waardevolle investering zijn.

Bereid je voor op CMMC-naleving met Kiteworks

Moderne, datagedreven bedrijven vertrouwen op een veilige en soepele IT-infrastructuur om hun activiteiten te ondersteunen. Voor overheidsaannemers betekent dit het gebruik van veilige oplossingen voor bestandsoverdracht die CMMC-conform zijn.

Het Kiteworks Private Content Network is zo’n oplossing.

Met Kiteworks krijgen defensie-aannemers en andere organisaties in sterk gereguleerde sectoren veilige toegang via ons exclusieve Private Content Network. Dit privé en beschermde communicatieplatform biedt organisaties veilige en conforme e-mail, bestandsoverdracht, beheerde bestandsoverdracht (MFT), webformulieren en application programming interfaces (API’s).

Kiteworks beschikt over een hardened virtual appliance, end-to-end encryptie, veilige inzetopties waaronder een FedRAMP virtual private cloud, granulaire controles, authenticatie, integraties met beveiligingsinfrastructuren en uitgebreide logging en auditrapportages, waarmee organisaties eenvoudig en veilig kunnen aantonen dat ze voldoen aan beveiligingsstandaarden.

Kiteworks helpt organisaties bij het aantonen van naleving van tal van federale en internationale privacyregelgeving en standaarden, waaronder FedRAMP, Federal Information Processing Standards (FIPS), FISMA, ITAR, de General Data Protection Regulation (GDPR), het Australische Information Security Registered Assessors Program (IRAP), NIST CSF, ISO 27001, UK Cyber Essentials Plus, de NIS 2-richtlijn van de Europese Unie en nog veel meer.

Tot slot stelt Kiteworks DoD-aannemers en onderaannemers in de DIB in staat om direct te voldoen aan bijna 90% van de CMMC Level 2-praktijken out-of-the-box.

Vraag een aangepaste demo aan om meer te weten te komen over Kiteworks en hoe het Private Content Network je kan helpen om aan je CMMC-nalevingsvereisten te voldoen, inclusief het aantonen van naleving van CMMC 2.0 Level 2.

Veelgestelde vragen

De Cybersecurity Maturity Model Certification, of CMMC, is een raamwerk dat Defense Industrial Base (DIB)-aannemers reguleert. Elke aannemer of onderaannemer die gecontroleerde niet-geclassificeerde informatie (CUI) of federale contractinformatie (FCI) verwerkt, verzendt, deelt of ontvangt, moet naleving aantonen. Dit geldt voor alle DoD-aannemers en onderaannemers, hoofdaannemers, alle niveaus van onderaannemers en leveranciers/verkopers die gevoelige informatie verwerken.

CMMC 2.0 heeft het raamwerk gestroomlijnd van vijf naar drie niveaus: Foundational (CMMC Level 1), Advanced (CMMC Level 2) en Expert (CMMC Level 3). Het sluit direct aan op NIST-standaarden, elimineert CMMC-specifieke controles en wijzigt de beoordelingsvereisten. CMMC 2.0 staat beperkt gebruik van Plans of Action & Milestones (POA&M) toe, verlaagt kosten door zelfevaluaties voor Level 1 en sommige Level 2-scenario’s, en volgt een gefaseerde implementatietijdlijn.

CMMC Level 1 richt zich op fundamentele cyberbeveiliging voor organisaties die federale contractinformatie (FCI) verwerken. Het vereist de implementatie van 17 basispraktijken afgestemd op FAR 52.204-21, waaronder toegangsbeheer, bewustwording en training, configuratiebeheer, identificatie & authenticatie, mediabescherming, fysieke bescherming, risicobeoordeling, beveiligingsbeoordeling, systeem- & communicatiebeveiliging en systeem- en informatie-integriteit.

De definitieve CMMC-regel werd gepubliceerd op 15 oktober 2024 en werd van kracht op 16 december 2024. Het bevat een gefaseerde implementatietijdlijn die leidt tot volledige handhaving in FY2028.

De implementatie is geleidelijk, waarbij CMMC-clausules verschijnen in nieuwe aanbestedingen op basis van strategisch belang en gevoeligheid van de informatie. Aannemers moeten proactief voorbereiden in plaats van te wachten tot vereisten in aanbestedingen verschijnen, omdat naleving veel tijd en middelen kost.

Belangrijke voorbereidende stappen zijn: het begrijpen van NIST-vereisten, het uitvoeren van een gap-analyse van je IT-infrastructuur ten opzichte van CMMC-vereisten, het uitvoeren van een risicobeoordeling, het selecteren van een Certified Third-Party Assessor Organization (C3PAO) uit de CMMC AB-marktplaats en het voorbereiden op doorlopende beoordelingsvereisten zoals hercertificering en monitoring passend bij je certificeringsniveau.

Aanvullende bronnen

  • Blog Post Een stappenplan voor CMMC 2.0-naleving voor DoD-aannemers

  • Blog Post 12 zaken die leveranciers in de Defense Industrial Base moeten weten bij de voorbereiding op CMMC 2.0-naleving

  • Guide CMMC 2.0 Compliance Mapping voor gevoelige contentcommunicatie

  • Video Word lid van de Kiteworks Discord-server en kom in contact met gelijkgestemde professionals voor CMMC 2.0-nalevingsondersteuning

  • Blog Post Navigeren naar CMMC Level 2-naleving: inzichten en tips van een expert

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks