48 CFR CMMC Voorgestelde Regel Gepubliceerd; Brengt CMMC Dichter bij Implementatie
Met de definitieve regel gepubliceerd, zijn de verwachtingen vastgesteld voor een termijn van drie jaar om CMMC in DoD-contracten te zien verschijnen
Het Amerikaanse Ministerie van Defensie (DoD) heeft voorgesteld om de Defense Federal Acquisition Regulation Supplement (DFARS) te wijzigen via 48 CFR Parts 204, 212, 217 en 252 [Docket DARS-2020-0034], gepubliceerd op 15 augustus 2024. Deze voorgestelde regel, bekend als DFARS Case 2019-D041, is bedoeld om contractuele vereiste met betrekking tot het Cybersecurity Maturity Model Certification (CMMC) 2.0-programma op te nemen. De regel implementeert gedeeltelijk een raamwerk voor het beoordelen van de naleving van cyberbeveiligingsvereiste door aannemers en versterkt de bescherming van Federal Contract Information (FCI) en Controlled Unclassified Information (CUI).
Belangrijkste oplossingen
- FedRAMP Matige Autorisatie
- 3PAO-beveiligingsbeoordelingen
- Onveranderlijke audit logs
- FIPS 140-conform
- Granulaire beleidscontroles
Verwachte reikwijdte en tijdlijn van CMMC-implementatie
Deze regelgeving is van toepassing op Defense Industrial Base (DIB) aannemers en onderaannemers die FCI of CUI verwerken, opslaan of verzenden. Het omvat alle DoD-aanbestedingen en contracten boven de micro-aankoopdrempel, met uitzondering van contracten die uitsluitend betrekking hebben op Commercial Off-The-Shelf (COTS) producten. Belangrijke gevolgen zijn onder meer de vereiste voor aannemers om gespecificeerde CMMC-niveaus te verkrijgen en te behouden, resultaten van CMMC-zelfevaluaties te plaatsen in het Supplier Performance Risk System (SPRS), jaarlijkse bevestigingen van naleving te verstrekken en vereiste door te geven aan onderaannemers. De implementatietijdlijn beslaat drie jaar na publicatie van de definitieve regel, na een openbare commentaarperiode van 60 dagen. Gedurende de eerste drie jaar heeft de regel alleen invloed op contracten die specifiek CMMC vereisen. Vanaf het vierde jaar is de regel van toepassing op alle relevante DoD-contracten. Tegen het vierde jaar schat het DoD dat 29.543 entiteiten (waarvan 69% kleine bedrijven) worden getroffen.
Volgende stappen en economische impact van CMMC-naleving
Voor DIB-organisaties omvatten de directe volgende stappen het beoordelen van de voorgestelde regel, het voorbereiden van het indienen van opmerkingen binnen de 60-dagenperiode, het evalueren van hun huidige beveiligingsstatus ten opzichte van CMMC-niveaus, het plannen van toekomstige nalevings- en certificeringsbehoeften, en het monitoren van de publicatie van de definitieve regel en de implementatietijdlijn. Hoewel er met deze publicatie geen onmiddellijke actie vereist is, moeten organisaties zich goed voorbereiden op de uiteindelijke implementatie van deze nieuwe cyberbeveiligingsvereiste binnen CMMC 2.0, anders lopen ze het risico DoD-contracten mis te lopen.
Hoewel de specifieke kosten voor CMMC-certificeringen en zelfevaluaties worden behandeld in een afzonderlijke 32 CFR-regel, is de financiële impact aanzienlijk. De Council of Economic Advisors schat dat kwaadaardige cyberactiviteiten de Amerikaanse economie tussen de $57 miljard en $109 miljard hebben gekost in 2016, met een potentiële kostenpost van $512 miljard tot $979 miljard over 10 jaar bij een discontovoet van 2%.
CMMC-naleving stroomlijnen met de allesomvattende oplossing van Kiteworks
Kiteworks biedt krachtige ondersteuning voor organisaties die willen voldoen aan CMMC-vereiste en de nieuwe DFARS-regelgeving. Het Private Content Network van Kiteworks is FedRAMP Matig Geautoriseerd en ondersteunt bijna 90% van de CMMC 2.0 Level 2-vereiste direct, en biedt een allesomvattende oplossing voor de bescherming van CUI en FCI. Met functies zoals beveiligde bestandsoverdracht, e-mailbeveiliging, beheerde bestandsoverdracht en webformulieren creëert Kiteworks een Private Content Network (PCN) dat de veiligheid van gevoelige gegevens waarborgt. De sterke toegangscontroles, encryptiemogelijkheden en audit logging-functionaliteiten van het platform sluiten nauw aan bij de CMMC-vereiste in diverse domeinen, waaronder Toegangscontrole, Audit en Verantwoording, en Systeem- en Communicatiebeveiliging. Door gebruik te maken van Kiteworks kunnen organisaties hun CMMC-nalevingsinspanningen aanzienlijk stroomlijnen, het risico op datalekken verkleinen en zijn ze een stuk dichter bij het behouden van de noodzakelijke beveiligingsstatus om te kunnen concurreren voor en werken aan DoD-projecten onder de nieuwe DFARS-regelgeving.
De publicatie van de voorgestelde 48 CFR CMMC-regel markeert een belangrijke stap richting de implementatie van uitgebreide cyberbeveiligingsmaatregelen binnen de DIB. Naarmate organisaties zich voorbereiden op de driejarige implementatietijdlijn, wordt de behoefte aan robuuste, conforme oplossingen steeds belangrijker. Kiteworks loopt voorop in CMMC-nalevingsondersteuning en biedt een FedRAMP Matig Geautoriseerd platform dat bijna 90% van de CMMC 2.0 Level 2-vereiste direct ondersteunt. Met het Private Content Network, sterke toegangscontroles, dubbele encryptiemogelijkheden en uitgebreide audit logging biedt Kiteworks een allesomvattende aanpak voor de bescherming van CUI en FCI. Terwijl DIB-aannemers de complexiteit van CMMC-naleving navigeren, biedt Kiteworks een gestroomlijnd pad ter ondersteuning van organisaties die willen voldoen aan de nieuwe DFARS-regelgeving, cyberbeveiligingsrisico’s willen beperken en hun competitieve positie in DoD-contracten willen behouden.