32 CFR-vereisten: Belangrijke updates voor CMMC-naleving

De implementatie van de Final Rule 32 CFR op 16 december 2024 versnelt de CMMC-nalevingstijdlijn en vereist onmiddellijke actie van organisaties binnen de Defense Industrial Base (DIB).

De publicatie van 32 CFR in het Federal Register is belangrijk omdat het een nieuw tijdperk inluidt in de cyberbeveiligingsprotocollen van het Department of Defense (DoD), wat een dringende herziening van bestaande beveiligingskaders noodzakelijk maakt. Deze paradigmaverschuiving is bedoeld om de cyberbeveiligingsstatus van entiteiten die gevoelige Controlled Unclassified Information (CUI) en Federal Contract Information (FCI) verwerken, te versterken.

Deze regelgeving legt grondige cyberbeveiligingsvereisten op die niet genegeerd kunnen worden. Defensie-aannemers moeten nu handelen om de operationele en contractuele gevolgen van deze baanbrekende regelgeving te begrijpen en zich hierop aan te passen. Niet-naleving kan leiden tot ernstige consequenties, waaronder het verlies van contracten en risico’s voor de nationale veiligheid.

In deze post analyseren we de belangrijkste onderdelen van 32 CFR, de impact ervan op organisaties die CUI en FCI verwerken, en de aanstaande transformatie van het Cybersecurity Maturity Model Certification (CMMC) 2.0-programma.

Wat is 32 CFR?

De 32 CFR beschrijft specifieke vereisten die cruciaal zijn voor het handhaven van robuuste cyberbeveiligingsmaatregelen binnen de DIB. 32 CFR is een essentieel onderdeel voor het waarborgen van de nationale veiligheid door de regelgeving vast te stellen voor het omgaan met en beveiligen van FCI en CUI. Naleving van de 32 CFR-vereisten helpt defensie-aannemers om gevoelige gegevens die met het DoD worden gedeeld te beschermen en zo de nationale veiligheid te versterken.

Bovendien is CMMC 2.0 geïntroduceerd om cyberbeveiligingspraktijken verder af te stemmen op de vereisten van 32 CFR. De CMMC-tijdlijn laat de voortgang van regels en updates zien, zoals de voorgestelde CMMC-regel en de definitieve regel, waarmee de cyberbeveiligingsstatus van aannemers wordt verbeterd. Onder CMMC 2.0 moeten defensie-aannemers en onderaannemers voldoen aan specifieke niveaus van cyberbeveiligingsvolwassenheid om certificering te behalen. Deze strategische afstemming tussen 32 CFR en CMMC 2.0 verbetert niet alleen de gegevensbeveiliging, maar bevordert ook vertrouwen en veerkracht binnen de DIB.

Het CMMC-certificeringsproces is veeleisend, maar ons CMMC 2.0-nalevingsstappenplan kan helpen.

Het begrijpen en naleven van 32 CFR en CMMC 2.0 is cruciaal voor defensie-aannemers in de hele toeleveringsketen. Het volgen van de drie certificeringsniveaus van het CMMC 2.0-framework zorgt voor een sterke verdediging tegen cyberdreigingen en beschermt gevoelige informatie tegen ongeautoriseerde toegang.

32 CFR-vereisten

De 32 CFR-vereisten zijn essentieel voor het waarborgen van cyberbeveiligingsnaleving binnen de Defense Industrial Base (DIB). Deze vereisten, afgestemd op het CMMC 2.0-framework, leggen de nadruk op het beschermen van FCI en CUI. Organisaties moeten aan deze cyberbeveiligingsnormen voldoen om in aanmerking te komen voor CMMC-certificering.

Het overzicht van 32 CFR legt de specifieke rapportagevereisten uit waaraan aannemers onder de definitieve regel moeten voldoen. Dit omvat tijdige incidentrapportage en het bijhouden van documentatie van cyberbeveiligingspraktijken. De tekst binnen 32 CFR biedt een gedetailleerde uitleg van de precieze rapportagevereisten die aannemers verplicht zijn te volgen volgens de definitieve regel. Vereisten omvatten:

• Cyberbeveiligingsincidenten onmiddellijk rapporteren om ervoor te zorgen dat potentiële dreigingen of datalekken zonder vertraging aan de juiste autoriteiten worden gemeld.
• Uitgebreide documentatie bijhouden van cyberbeveiligingspraktijken, inclusief documentatie van de maatregelen die organisaties hebben geïmplementeerd om gevoelige informatie te beschermen en eventuele updates of wijzigingen in hun cyberbeveiligingsprotocollen.

Deze en andere vereisten zorgen ervoor dat aannemers voldoen aan federale cyberbeveiligingsnormen en bijdragen aan de bescherming van kritieke informatie. Voor een uitgebreide uitleg van de 32 CFR-cyberbeveiligingsvereisten wordt organisaties geadviseerd de voorgestelde en definitieve regels te raadplegen.

Impact van 32 CFR

De voorgestelde regelwijzigingen binnen CMMC 32 CFR zijn bedoeld om de nationale veiligheid te versterken door strenge cyberbeveiligingspraktijken af te dwingen in de gehele DIB.

De voorgestelde regelwijzigingen binnen CMMC 32 CFR zijn gericht op het verbeteren van cyberbeveiliging voor de DIB, te beginnen met de implementatie van CMMC 2.0. Dit omvat het stroomlijnen van het certificeringsproces, het vaststellen van een duidelijke tijdlijn en het afstemmen van organisaties op CMMC 2.0 om FCI en CUI beter te beschermen. De herzieningen verduidelijken hoe 32 CFR en het CMMC-framework, inclusief de drie volwassenheidsniveaus, een gestructureerde nalevingsaanpak bieden. Naarmate de tijdlijn vordert, benadrukken de updates de noodzaak van CMMC 2.0-certificering om sterke cyberbeveiligingspraktijken te behouden. Inzicht in deze veranderingen is cruciaal voor naleving.

Voor defensie-aannemers is het essentieel om op de hoogte te blijven van updates binnen de CMMC 2.0-tijdlijn en het behalen van CMMC 2.0-certificering. Dit voortdurende proces waarborgt niet alleen hun positie binnen de defensietoeleveringsketen, maar draagt ook aanzienlijk bij aan het bredere doel van nationale veiligheid. Met de definitieve CMMC-regel in aantocht blijft de nadruk op afstemming met 32 CFR een topprioriteit voor alle betrokken partijen.

CMMC-certificering: een framework voor verbeterde cyberbeveiliging

32 CFR verandert de benadering van cyberbeveiliging binnen de defensiesector; door het opstellen van een duidelijk en gestructureerd geheel aan richtlijnen wordt beoogd dat alle aannemers en onderaannemers binnen de DIB voldoen aan de noodzakelijke cyberbeveiligingsnormen om CUI en FCI te beschermen. Deze regelgeving is een reactie op aanhoudende cyberbeveiligingsdreigingen en kwetsbaarheden die een risico vormen voor de nationale veiligheid en de integriteit van defensie-inkoopprocessen.

Een van de belangrijkste onderdelen van 32 CFR is de integratie met CMMC 2.0, die voortbouwt op het oorspronkelijke Cybersecurity Maturity Model Certification-programma (CMMC 1.0). CMMC 2.0 is bedoeld om het certificeringsproces te stroomlijnen door het aantal volwassenheidsniveaus te verminderen en de beoordelingsvereisten te vereenvoudigen. Dit maakt een meer gerichte en efficiënte aanpak van cyberbeveiligingsnaleving mogelijk. Het nieuwe model legt de nadruk op flexibiliteit en schaalbaarheid, waardoor een meer aanpasbare reactie op het dynamische cyberbeveiligingslandschap mogelijk is.

CMMC 2.0 introduceert drie primaire certificeringsniveaus, elk overeenkomend met verschillende gradaties van cyberbeveiligingsvolwassenheid. Voor defensie-aannemers is het van groot belang deze niveaus en de bijbehorende vereisten te begrijpen. Organisaties moeten hun huidige cyberbeveiligingsstatus beoordelen, beveiligingsgaten identificeren en de nodige maatregelen implementeren om het juiste certificeringsniveau te behalen. Naleving zorgt niet alleen voor contractuele vervulling, maar versterkt ook de algehele cyberbeveiligingsveerkracht van de organisatie.

CMMC Level 1: Foundational

CMMC Level 1 van CMMC 2.0, bekend als “Foundational”, vormt de basis voor cyberbeveiliging door het afdwingen van basale cyberhygiënepraktijken. Dit niveau richt zich primair op het beschermen van FCI. Organisaties moeten fundamentele beveiligingsmaatregelen implementeren, zoals het gebruik van sterke wachtwoorden, het regelmatig bijwerken van software en het waarborgen van veilige toegangscontroles.

CMMC Level 1 is bedoeld om gevoelige overheidsinformatie te beschermen tegen ongeautoriseerde toegang en cyberdreigingen. Het is essentieel voor organisaties die FCI verwerken om deze basispraktijken te volgen om datalekken te voorkomen en vertrouwen in overheidscontracten te behouden, en zo te voldoen aan de normen van 32 CFR en CMMC 2.0.

CMMC Level 2: Advanced

CMMC Level 2, “Advanced” genoemd, is nauw afgestemd op de vereisten in NIST SP 800-171 en richt zich op de bescherming van Controlled Unclassified Information (CUI). Organisaties die dit niveau willen bereiken, moeten een robuust cyberbeveiligingskader aantonen dat verder gaat dan basismaatregelen. Ze moeten verbeterde beveiligingscontroles implementeren, zoals multi-factor authentication, incident response planning en voortdurende monitoring van netwerkactiviteit. CMMC Level 2 is essentieel voor defensie-aannemers die CUI willen beveiligen, omdat het cyberbeveiligingspraktijken afstemt op strenge federale regelgeving, met name binnen de 32 CFR- en CMMC-richtlijnen.

CMMC Level 3: Expert

CMMC Level 3, bekend als “Expert”, vertegenwoordigt het hoogste niveau van cyberbeveiligingsvolwassenheid binnen CMMC 2.0. Dit niveau vereist de hoogste normen van cyberbeveiligingspraktijken en is voorbehouden aan contracten met een hoog risico waarbij kritieke nationale veiligheidsinformatie betrokken is. Organisaties moeten geavanceerde technologieën en strategieën implementeren, zoals geavanceerde dreigingsdetectie, incident response-mogelijkheden en continue risicobeoordelingen. Naleving op dit niveau voldoet niet alleen aan de strenge eisen van NIST 800-171 maar ook aan NIST 800-171. Door het behalen van CMMC Level 3-certificering tonen aannemers een ongeëvenaarde toewijding aan het beschermen van gevoelige informatie van het land.

Integratie van 32 CFR met bestaande vereisten

Nu 32 CFR van kracht wordt, is het voor organisaties binnen de DIB van groot belang om de integratie met bestaande kaders te begrijpen, met name de gepubliceerde interimregel 48 CFR en de Defense Federal Acquisition Regulation Supplement (DFARS).

De 48 CFR part 204 CMMC Acquisition Interim Rule, die nu is gepubliceerd, is van cruciaal belang voor het voorschrijven van de inkoopgerelateerde aspecten van CMMC-naleving. Deze nieuwe regel stelt het Department of Defense (DoD) in staat om specifieke CMMC-niveaus te eisen in aanbestedingen en contracten, waardoor het belang van naleving toeneemt.

Onder de 48 CFR-regel hebben contractbeheerders de bevoegdheid om contracttoekenningen te onthouden aan aannemers die niet beschikken over de vereiste CMMC-certificeringsbeoordeling of continue nalevingsbevestiging voor FCI en CUI. Deze vereisten stromen door naar onderaannemers, zodat zelfs leveranciers op lagere niveaus voldoen aan de noodzakelijke cyberbeveiligingsnormen.

Voor defensie-aannemers betekent dit een cruciale verschuiving, waarbij niet alleen gereedheid voor de 32 CFR-vereisten vereist is, maar ook voor de 48 CFR-inkoopverplichtingen. Organisaties moeten proactief omgaan met deze veranderende vereisten om contractgeschiktheid te waarborgen en hun positie binnen de DIB veilig te stellen. Proactief zijn betekent voortdurende beoordeling en aanpassing van cyberbeveiligingsmaatregelen om te voldoen aan de 32 CFR- en 48 CFR-verplichtingen.

Door op de hoogte te blijven en robuuste nalevingsstrategieën te implementeren, kunnen organisaties niet alleen hun geschiktheid voor defensiecontracten beschermen, maar ook hun reputatie als betrouwbare partners binnen de defensiegemeenschap versterken. Deze proactieve aanpak is essentieel om te floreren in een competitieve omgeving waarin cyberbeveiliging een kritieke factor is voor operationeel succes en nationale veiligheid.

CMMC 2.0 en NIST SP 800-171: versterking van de cyberbeveiligingsstatus

Het Defense Industrial Base Cybersecurity Assessment Center (DCMA DIBCAC) van het Defense Contract Management Agency speelt een cruciale rol bij het beschermen van gevoelige informatie van het DoD door het beoordelen en waarborgen van cyberbeveiligingsnaleving binnen de defense industrial base.

Als onderdeel van haar verantwoordelijkheden verifieert DCMA DIBCAC de implementatie van de NIST SP 800-171-standaarden door aannemers, ter ondersteuning van de DFARS-clausules 252.204-7012 en 252.204-7020. DCMA DIBCAC hanteert een strategisch prioriteringsproces voor haar beoordelingen, waarbij wordt ingespeeld op veranderende cyberdreigingen en DoD-prioriteiten. Het centrum richt zich op missie-kritieke programma’s, technologieën en infrastructuur, evenals de aannemers (zowel hoofdaannemers als leveranciers op lagere niveaus) die DoD-capaciteiten ondersteunen.

Bovendien houdt DCMA DIBCAC rekening met cyberdreigingen, kwetsbaarheden, incidenten en specifieke verzoeken van DoD-leiderschap bij het bepalen van de beoordelingsprioriteiten. Tot nu toe heeft het centrum 357 entiteiten beoordeeld, waaronder grote hoofdaannemers, waarmee haar toewijding aan uitgebreide cyberbeveiligingstoezicht wordt aangetoond.

Huidige vereisten voor het omgaan met CUI en FCI

Op dit moment moeten defensie-aannemers en onderaannemers voldoen aan specifieke vereisten bij het verwerken van FCI en CUI. Voor contracten waarbij FCI betrokken is, moeten aannemers voldoen aan Federal Acquisition Regulation (FAR) clausule 52.204-21, die 15 basismaatregelen voor beveiliging voorschrijft.

Deze maatregelen vormen de minimale beveiligingsbasis voor elke entiteit die FCI ontvangt van de Amerikaanse overheid. Bij het verwerken van CUI worden de vereisten strenger. DFARS-clausule 252.204-7012 vereist dat aannemers 110 beveiligingsvereisten implementeren zoals gespecificeerd in NIST SP 800-171.

Deze uitgebreide set vereisten is bedoeld om adequate beveiliging te bieden op alle betrokken informatiesystemen van aannemers. Daarnaast moeten aannemers ervoor zorgen dat eventuele Cloud Service Providers (CSP’s) die zij gebruiken voor het verwerken van CUI voldoen aan het Federal Risk and Authorization Management Program (FedRAMP) Moderate Baseline of gelijkwaardige vereisten.

Beoordeling van CMMC-gereedheid

Om naleving aan te tonen, moeten aannemers een System Security Plan (SSP) opstellen waarin het beleid en de procedures worden beschreven die zijn geïmplementeerd om te voldoen aan de NIST SP 800-171-normen. De SSP dient als basisdocument voor de verplichte NIST SP 800-171-zelfevaluatie.

Moet u voldoen aan CMMC? Hier is uw complete CMMC-nalevingschecklist.

Aannemers moeten vervolgens hun zelfevaluatiescores indienen bij het SPRS. Een perfecte score van 110 geeft aan dat alle beveiligingsvereisten volledig zijn geïmplementeerd. Als de score van een aannemer lager is dan 110 en beveiligingsgaten aan het licht komen, moeten zij een actieplan opstellen waarin de beveiligingstaken die nog moeten worden uitgevoerd, worden geïdentificeerd. DFARS-clausules 252.204-7019 en 252.204-7020 versterken deze vereisten. Clausule 252.204-7019 vereist dat aannemers een NIST SP 800-171-beoordeling (basis, gemiddeld of hoog) ondergaan volgens de DoD Assessment Methodology.

De resulterende scores moeten worden gerapporteerd aan het DoD via SPRS en mogen niet ouder zijn dan drie jaar op het moment van contracttoekenning. Clausule 252.204-7020 geeft het DoD het recht om hogere beoordelingen van de cyberbeveiligingsnaleving van aannemers uit te voeren, waarbij aannemers volledige toegang moeten verlenen tot hun faciliteiten, systemen en personeel.

CMMC 2.0-naleving voor onderaannemers

Een cruciaal aspect van deze vereisten is de toepassing ervan op onderaannemers. Hoofdaannemers zijn verantwoordelijk voor het doorgeven van deze cyberbeveiligingsvereisten aan hun onderaannemers die CUI verwerken, opslaan of verzenden. Voordat contracten aan onderaannemers worden toegekend, moeten hoofdaannemers verifiëren dat hun onderaannemers actuele SPRS-scores hebben, zodat een alomvattende benadering van cyberbeveiliging in de hele toeleveringsketen wordt gewaarborgd.

Overgang naar CMMC 2.0: uitdagingen en aanbevelingen

CMMC 2.0-naleving brengt aanzienlijke uitdagingen met zich mee voor defensie-aannemers, met name wat betreft de overgang van huidige praktijken naar het uitgebreide cyberbeveiligingsframework dat wordt voorgeschreven door CMMC 2.0 Levels 1, 2 en 3. Ondanks deze uitdagingen biedt de verschuiving een gestructureerd pad om cyberbeveiligingsveerkracht te versterken. Succesvolle aanpassing vereist een gezamenlijke inspanning om bestaande cyberbeveiligingsmaatregelen te beoordelen, beveiligingsgaten te identificeren en de nodige verbeteringen door te voeren in lijn met de CMMC-vereisten.

Om deze uitdagingen het hoofd te bieden, wordt organisaties binnen de DIB aangeraden om continu in gesprek te blijven met contractbeheerders en cyberbeveiligingsexperts om afstemming met veranderende normen te waarborgen. Investeren in training van medewerkers en up-to-date cyberbeveiligingstools zal essentieel zijn voor het behalen van CMMC-certificering.

Bovendien kan het benutten van samenwerkingsfora en bronnen die door brancheverenigingen worden aangeboden, waardevolle ondersteuning en inzichten bieden in beste practices voor naleving en verbetering van cyberbeveiliging.

32 CFR: omarm de toekomst van cyberbeveiliging binnen de DIB

Met de inwerkingtreding van de Final Rule 32 CFR staat het cyberbeveiligingslandschap binnen de DIB op het punt van een grote transformatie. De integratie van 32 CFR met bestaande kaders, zoals de interimregel 48 CFR en NIST SP 800-171, zorgt voor een robuuste, gelaagde aanpak van cyberbeveiliging.

Terwijl organisaties zich voorbereiden om aan deze strenge normen te voldoen, ligt de nadruk niet alleen op het behalen van naleving, maar ook op het versterken van de algehele cyberbeveiligingsveerkracht. Door de vereisten van 32 CFR en de gepubliceerde 48 CFR-interimregel te begrijpen en te implementeren, kan de DIB haar verdediging tegen complexe cyberdreigingen aanzienlijk versterken.

Hoewel deze overgang uitdagingen met zich meebrengt, biedt het ook een unieke kans om cyberbeveiligingspraktijken op alle niveaus te verbeteren en gevoelige informatie die cruciaal is voor de nationale defensie te beveiligen. Door proactieve aanpassing en strategische planning kunnen defensie-aannemers dit complexe landschap navigeren, zodat niet alleen aan de vereisten wordt voldaan, maar ook vitale defensie-informatie voor de komende jaren wordt beschermd.

Kiteworks helpt organisaties CMMC-naleving te bereiken met een Private Content Network

De Final Rule 32 CFR markeert een cruciale verschuiving in het cyberbeveiligingslandschap voor de Defense Industrial Base, met nadruk op de noodzaak van strikte naleving van de bijgewerkte normen. Door afstemming met CMMC 2.0 en bestaande kaders zoals NIST SP 800-171 kunnen organisaties hun cyberbeveiligingsveerkracht versterken. Deze veranderingen omarmen draait niet alleen om naleving, maar ook om het versterken van verdediging tegen steeds evoluerende cyberdreigingen. Door strategische aanpassing krijgen defensie-aannemers de kans hun cyberbeveiligingsstatus te verbeteren en de bescherming van kritieke nationale defensie-informatie te waarborgen.

Kiteworks kan helpen. Het Kiteworks Private Content Network, een FIPS 140-2 Level gevalideerd platform voor beveiligde bestandsoverdracht en file sharing, consolideert e-mail, bestandsoverdracht, webformulieren, SFTP, beheerde bestandsoverdracht en next-generation digital rights management-oplossingen zodat organisaties elk bestand kunnen controleren, beschermen en volgen zodra het de organisatie binnenkomt of verlaat.

Kiteworks ondersteunt bijna 90% van de CMMC 2.0 Level 2-vereisten direct uit de doos. Hierdoor kunnen DoD-aannemers en onderaannemers hun CMMC 2.0 Level 2-accreditatieproces versnellen door te zorgen dat ze het juiste platform voor gevoelige contentcommunicatie hebben.

Kiteworks maakt snelle CMMC 2.0-naleving mogelijk met kernmogelijkheden en functies, waaronder:

• Certificering met belangrijke Amerikaanse overheidsnormen en vereisten, waaronder SSAE-16/SOC 2, NIST SP 800-171 en NIST SP 800-172
• FIPS 140-2 Level 1-validatie
• FedRAMP Authorized voor Moderate Impact Level CUI
• AES 256-bit encryptie voor data at rest, TLS 1.2 voor data in transit en exclusief eigendom van encryptiesleutels

Meer weten over Kiteworks? Plan vandaag nog een aangepaste demo.

32 CFR-vereisten: veelgestelde vragen