Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Wat u moet weten over 32 CFR-naleving nu CMMC bijna wordt geïmplementeerd
Wat u moet weten over 32 CFR-naleving nu CMMC bijna wordt geïmplementeerd

Wat u moet weten over 32 CFR-naleving nu CMMC bijna wordt geïmplementeerd

by Danielle Barbour updated oktober 16, 2024 CMMC-naleving
Reading Time: 6 minutes

Het Cybersecurity Maturity Model Certification (CMMC) programma staat op het punt een belangrijke stap vooruit te zetten. Met de publicatie van de definitieve regel 32 CFR Part 170 in het Federal Register op 15 oktober 2024, wordt deze van kracht op 16 december 2024 en kan deze mogelijk al in contracten voorkomen vanaf Q1 2025.

In deze post bekijken we 32 CFR van dichterbij en wat dit betekent voor defensie-aannemers die CMMC-naleving moeten aantonen als zij willen blijven samenwerken met het Department of Defense (DoD).

Het CMMC-certificeringsproces is intensief, maar ons CMMC-nalevingsstappenplan kan helpen.

Wat is 32 CFR en waarom is het belangrijk?

32 CFR vormt het regelgevend kader voor het CMMC-programma. Het definieert drie CMMC-niveaus, elk overeenkomend met een toenemende volwassenheid op het gebied van cyberbeveiliging voor de bescherming van Federal Contract Information (FCI) en Controlled Unclassified Information (CUI):

  • CMMC Level 1: CMMC Level 1 richt zich op basis cyberhygiëne en vereist dat organisaties fundamentele cyberbeveiligingspraktijken implementeren, specifiek 15 vereisten binnen zes unieke domeinen. Deze praktijken sluiten aan bij Federal Acquisition Regulation (FAR) vereisten en zijn bedoeld om Federal Contract Information (FCI) te beschermen via eenvoudige beveiligingsmaatregelen, waaronder toegangsbeheer, fysieke beveiliging en basisbewaking, zonder formele documentatie of procesvolwassenheid.
  • CMMC Level 2: CMMC Level 2 is bedoeld voor organisaties die CUI verwerken en vereist naleving van 110 beveiligingspraktijken gebaseerd op NIST 800-171. Dit niveau legt de nadruk op geavanceerde cyberhygiëne met strengere controles, waaronder encryptie, toegangsbeheer en regelmatige monitoring, terwijl procesdocumentatie en volwassenheid worden aangetoond via zelfevaluaties of audits door derden.
  • CMMC Level 3: CMMC Level 3 richt zich op organisaties die zeer gevoelige CUI en kritieke nationale veiligheidsinformatie beheren. Voor Level 3 zijn 134 vereiste controles (110 uit NIST SP 800-171 en nog eens 24 uit NIST SP 800-172). Level 3 vereist voortdurende beoordelingen, gedetailleerde documentatie en certificeringen door derden om topniveau beveiliging te waarborgen.

De 32 CFR-regelgeving beschrijft specifieke beveiligingsvereisten voor elk niveau, gebaseerd op gevestigde standaarden zoals NIST 800-171 en 800-172.

Belangrijkste punten

  1. CMMC-implementatie nadert

    Nu de beoordeling van 32 CFR is afgerond, kan de handhaving van CMMC al in Q1 2025 beginnen, waardoor defensie-aannemers zich nu moeten voorbereiden.

  2. Drie CMMC-niveaus

    32 CFR beschrijft drie CMMC-niveaus, met toenemende cyberbeveiligingsvereisten voor de bescherming van FCI en CUI, gebaseerd op standaarden zoals NIST SP 800-171 en 800-172.

  3. Betrek C3PAO’s vroegtijdig

    Defensie-aannemers moeten vroegtijdig in gesprek gaan met Certified Third-Party Assessment Organizations (C3PAO’s) om hun plek voor certificeringsbeoordelingen veilig te stellen.

  4. De rol van Kiteworks in CMMC-naleving

    Oplossingen zoals Kiteworks kunnen CMMC-naleving vereenvoudigen door tot 90% van de Level 2-vereisten te ondersteunen, met onder andere beveiligde bestandsoverdracht, e-mailbescherming en uitgebreide audit logs.

  5. Proactieve voorbereiding

    Bedrijven moeten hun huidige beveiligingsstatus beoordelen en de nodige controles implementeren om aan de CMMC-vereisten te voldoen, zodat zij contractgeschikt blijven binnen de industriële defensiebasis (DIB).

Belangrijk is dat 32 CFR CMMC transformeert van een conceptueel model naar een afdwingbare set vereisten voor de industriële defensiebasis (DIB). Het beschrijft de beoordelings- en certificeringsprocessen, inclusief criteria voor Certified Third-Party Assessment Organizations (C3PAO’s) en procedures voor het uitvoeren van beoordelingen.

De klok tikt: tijdlijn voor CMMC-implementatie

Met de publicatie van de definitieve regel 32 CFR Part 170 in het Federal Register op 15 oktober 2024, wordt deze van kracht op 16 december 2024 en kan deze mogelijk al in contracten voorkomen vanaf Q1 2025. De tijd om te beginnen met voorbereiden is nu.

Defensie-aannemers binnen de DIB moeten direct hun huidige beveiligingsstatus beoordelen aan de hand van de verwachte CMMC-vereisten voor hun niveau. Vroegtijdig contact opnemen met C3PAO’s is cruciaal om een plek in de beoordelingswachtrij te bemachtigen. Deze proactieve aanpak helpt om tijdig gecertificeerd te zijn op het vereiste nalevingsniveau voordat dit verplicht wordt voor contractgeschiktheid.

Moet u voldoen aan CMMC? Hier is uw complete CMMC-nalevingschecklist.

CMMC-naleving vereenvoudigen: het Kiteworks Private Content Network

Nu organisaties zich haasten om zich voor te bereiden op CMMC, worden allesomvattende oplossingen zoals Kiteworks steeds waardevoller. Het Kiteworks Private Content Network is FedRAMP Moderate Authorized en ondersteunt direct bijna 90% van de CMMC Level 2-vereisten.

Belangrijke kenmerken van het Kiteworks-platform zijn onder andere:

  • Beveiligde bestandsoverdracht: Met Kiteworks beveiligde bestandsoverdracht kunnen organisaties gevoelige bestanden veilig intern en extern delen, met geavanceerde functies zoals encryptie, gebruikersbeheer, audit logs en naleving van regelgeving zoals FedRAMP en uiteraard CMMC.
  • E-mailbescherming: Kiteworks e-mailbescherming biedt end-to-end encryptie voor e-mails en bijlagen, zowel tijdens verzending als opslag. Functies omvatten een e-mail protection gateway, tracking van elk bestand dat wordt verzonden, ontvangen, gedownload of verplaatst, audit logs die bestandsactiviteit vastleggen en kunnen worden geïntegreerd met uw SIEM-oplossing of gebruikt om naleving aan te tonen, en granulaire toegangscontroles voor veilige en conforme e-mailuitwisseling.
  • Beheerde bestandsoverdracht: De beveiligde managed file transfer (MFT) oplossing van Kiteworks biedt beveiliging op ondernemingsniveau voor het overdragen van grote of bulkgevoelige bestanden over netwerken. Het biedt end-to-end encryptie, geautomatiseerde workflows en naleving van regelgeving zoals GDPR en HIPAA. Met realtime tracking, toegangsbeheer en audit logs krijgen organisaties inzicht en controle over gegevensoverdracht.
  • Webformulieren: De beveiligde webformulierenoplossing van Kiteworks stelt organisaties in staat gevoelige gegevens te verzamelen via versleutelde, aanpasbare webformulieren. Het waarborgt gegevensprivacy met end-to-end encryptie en toegangsbeheer, terwijl het voldoet aan regelgeving zoals GDPR, PCI DSS en HIPAA. Functies zijn onder andere geautomatiseerde workflows, audit logs en realtime tracking voor veilige gegevensinvoer.
  • Sterk toegangsbeheer: Met Kiteworks toegangsbeheer kunnen organisaties de toegang tot gevoelige gegevens beheren en beperken, zodat alleen geautoriseerde gebruikers persoonlijk identificeerbare en beschermde gezondheidsinformatie (PII/PHI), intellectueel eigendom (IP) en andere vertrouwelijke informatie kunnen bekijken, bewerken of delen. Met granulaire rechten, multi-factor authentication (MFA) en rolgebaseerde toegang zorgt Kiteworks ervoor dat gevoelige inhoud alleen toegankelijk is voor geautoriseerde gebruikers.
  • Krachtige encryptiemogelijkheden: Kiteworks biedt krachtige encryptiemogelijkheden die gevoelige gegevens zowel tijdens verzending als opslag beschermen. Kiteworks gebruikt AES 256 encryptie voor inhoud tijdens verzending en TLS 1.3 voor inhoud in rust. Door gebruik te maken van end-to-end encryptie beveiligt Kiteworks bestanden, e-mails en communicatie tegen ongeautoriseerde toegang. De oplossing voldoet aan industriestandaarden en regelgeving, waarborgt gegevensintegriteit en vertrouwelijkheid en biedt gebruikers gemoedsrust op het gebied van gegevensbescherming.
  • Uitgebreide audit logs: Kiteworks biedt uitgebreide audit logs die alle gebruikersactiviteiten met betrekking tot bestandsoverdracht, e-mail en gegevensoverdracht bijhouden. Deze logs geven gedetailleerd inzicht in toegang, wijzigingen en deelacties, waardoor verantwoording en naleving van regelgeving zoals CMMC en IRAP worden gewaarborgd. Deze functie verhoogt de beveiliging door proactieve monitoring en forensische analyse mogelijk te maken.

Deze functionaliteiten sluiten nauw aan bij de CMMC-vereisten in diverse domeinen, waaronder Access Control, Audit and Accountability, en System and Communications Protection. Door gebruik te maken van zo’n oplossing kunnen organisaties hun CMMC-nalevingsproces aanzienlijk vereenvoudigen en het risico op datalekken verkleinen.

Kiteworks helpt defensie-aannemers CMMC-naleving aan te tonen met een Private Content Network

De definitieve regel 32 CFR Part 170 werd gepubliceerd in het Federal Register op 15 oktober 2024, wat betekent dat deze van kracht wordt op 16 december 2024. Nu CMMC-certificeringen mogelijk al vanaf Q1 2025 in DoD-contracten worden opgenomen, moeten organisaties binnen de DIB snel hun beveiligingsstatus beoordelen en het certificeringsproces starten. Oplossingen zoals Kiteworks kunnen hierin een cruciale rol spelen, door uitgebreide tools te bieden om aan CMMC-vereisten te voldoen en gevoelige informatie te beschermen. Naarmate de implementatiedatum nadert, is geïnformeerd blijven en proactief handelen essentieel om naleving te waarborgen en contractgeschiktheid voor DoD-contracten te behouden.

Het Kiteworks Private Content Network, een FIPS 140-2 Level gevalideerd platform voor beveiligde bestandsoverdracht en file sharing, bundelt e-mail, bestandsoverdracht, webformulieren, SFTP, managed file transfer en next-generation digital rights management, zodat organisaties elk bestand dat binnenkomt of vertrekt kunnen controleren, beschermen en volgen.

Kiteworks ondersteunt direct bijna 90% van de CMMC 2.0 Level 2-vereisten. Hierdoor kunnen DoD-aannemers en onderaannemers hun CMMC 2.0 Level 2-accreditatieproces versnellen door te zorgen dat zij het juiste platform voor gevoelige contentcommunicatie hebben.

Met Kiteworks verenigen DoD-aannemers en onderaannemers hun gevoelige contentcommunicatie in een toegewijd Private Content Network, waarbij zij gebruikmaken van geautomatiseerde beleidscontroles, tracking en cyberbeveiligingsprotocollen die aansluiten bij CMMC 2.0-praktijken.

Kiteworks maakt snelle CMMC 2.0-naleving mogelijk met kernfunctionaliteiten en kenmerken zoals:

  • Certificering volgens belangrijke Amerikaanse compliance-standaarden en vereisten, waaronder SSAE-16/SOC 2, NIST SP 800-171 en NIST SP 800-172
  • FIPS 140-2 Level 1 validatie
  • FedRAMP Authorized voor Moderate Impact Level CUI
  • AES 256-bit encryptie voor gegevens in rust, TLS 1.2 voor gegevens onderweg, en exclusief eigendom van encryptiesleutels

Kiteworks inzetopties omvatten on-premises, hosted, private, hybride en FedRAMP virtual private cloud. Met Kiteworks: beheer de toegang tot gevoelige content; bescherm deze bij externe uitwisseling met geautomatiseerde end-to-end encryptie, multi-factor authentication en integraties met beveiligingsinfrastructuur; zie, volg en rapporteer alle bestandsactiviteiten, namelijk wie wat naar wie stuurt, wanneer en hoe. Toon tenslotte naleving aan van regelgeving en standaarden zoals GDPR, HIPAA, CMMC, Cyber Essentials Plus, IRAP en vele andere.

Meer weten over Kiteworks? Plan vandaag nog een demo op maat.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks