Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Test 2 – Wat Luxemburgse zorgorganisaties moeten weten over grensoverschrijdende PHI
Test 2 - Wat Luxemburgse zorgorganisaties moeten weten over grensoverschrijdende PHI

Test 2 – Wat Luxemburgse zorgorganisaties moeten weten over grensoverschrijdende PHI

by Bob Ertl updated april 29, 2026 CMMC-naleving
Reading Time: 12 minutes

Gezien de complexiteit van het Cybersecurity Maturity Model Certification (CMMC) framework is het essentieel voor overheidsaannemers en onderaannemers om een uitgebreide CMMC-nalevingschecklist te hebben om te waarborgen dat zij aan alle vereisten voldoen.

Het CMMC-certificeringsproces is zwaar, maar ons CMMC 2.0 stappenplan kan helpen.

Deze Blog Post behandelt de CMMC-nalevingsvereisten voor het CMMC 2.0 framework, biedt een volledige CMMC-nalevingschecklist en geeft defensie-aannemers van het Department of Defense (DoD) praktische inzichten in hoe zij CMMC-naleving kunnen bereiken.

Wat is CMMC-naleving?

CMMC is een cybersecurityframework dat producenten in de Defense Industrial Base (Defense Industrial Base) reguleert, een uitgebreide lijst van DoD-partners in de toeleveringsketen. Elke aannemer of onderaannemer die gecontroleerde niet-geclassificeerde informatie (CUI) of Federal Contract Information (FCI) verwerkt, verzendt, deelt of ontvangt, moet aantonen dat hij voldoet aan CMMC.

Het doel van het CMMC-framework is om uiteenlopende vereisten en standaarden, samen met diverse modellen voor zelfevaluatie en attestatie, te stroomlijnen tot betrouwbare, grondige en robuuste beveiligingspraktijken waarmee elk bedrijf zich kan aligneren.

De onderdelen van CMMC die het onderscheiden van andere federale regelgeving, zoals de International Traffic in Arms Regulations (ITAR), de Federal Information Security Management Act (FISMA) of het Federal Risk and Authorization Management Program (FedRAMP), zijn onder andere:

  • Controlled Unclassified Information (CUI) en Federal Contract Information (FCI): CMMC dekt expliciet de opslag, verwerking, overdracht en vernietiging van CUI. CUI is een unieke vorm van data die niet onder de Secret-classificatie valt, maar wel speciale bescherming vereist om de nationale veiligheid te waarborgen. Voorbeelden van CUI zijn financiële informatie met betrekking tot overheidscontracten, persoonlijk identificeerbare of beschermde gezondheidsinformatie (PII/PHI) van overheidsmedewerkers, of gevoelige technische data over defensiesystemen.

    FCI is een minder gevoelige vorm van informatie die betrekking heeft op contractuele relaties tussen aannemers en agentschappen. CMMC is ontworpen om beide gevallen te behandelen.

  • NIST-standaarden: CMMC, net als andere federale cybersecurityframeworks, is gebaseerd op standaarden die zijn opgesteld en onderhouden door het National Institute of Standards and Technology (NIST). Specifiek steunt CMMC op NIST 800-171, “Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations”.

    Bovendien zal Level 3 van CMMC-naleving gebaseerd zijn op NIST SP 800-172, “Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171”.

  • Maturity Levels: Om defensie-aannemers en agentschappen te helpen zich te richten op het vereiste beveiligingsniveau voor samenwerking, verdeelt CMMC de naleving in drie volwassenheidsniveaus op basis van de implementatie van NIST SP 800-171 (en mogelijk SP 800-172) controls door de aannemer.
  • Third-party Assessments: Net als bij FedRAMP vertrouwt CMMC op beoordelingen door derden, uitgevoerd door gecertificeerde Third Party Assessor Organizations (C3PAO‘s), zoals vermeld hier.

Belangrijkste inzichten

  1. Gestroomlijnde volwassenheidsniveaus

    Het CMMC 2.0-framework kent slechts drie volwassenheidsniveaus: Foundational (Level 1), Advanced (Level 2) en Expert (Level 3). Deze reductie is bedoeld om de structuur van vereisten voor defensie-aannemers en onderaannemers te vereenvoudigen.

  2. Afstemming op NIST-standaarden

    CMMC 2.0 legt meer nadruk op afstemming met bestaande NIST-standaarden. Level 2-naleving is specifiek afgestemd op NIST SP 800-171, terwijl Level 3 elementen van NIST SP 800-172 bevat, met als doel meer consistentie met gevestigde cybersecurityframeworks.

  3. Zelfevaluaties en beoordelingen door derden

    Defensie-aannemers die Federal Contract Information (FCI) op Level 1 verwerken, kunnen jaarlijkse zelfevaluaties uitvoeren, waardoor een certificering door derden niet nodig is. Voor Level 2 is echter een mix van zelfevaluaties en beoordelingen door derden vereist, afhankelijk van het type gecontroleerde niet-geclassificeerde informatie (CUI) dat wordt verwerkt.

  4. Nalevingschecklist

    Bepaal het gewenste volwassenheidsniveau, voer een zelfevaluatie uit, maak gebruik van bestaande frameworks, stel een POA&M en SSP op, kies een C3PAO en stel een tijdlijn en budget vast.

Wanneer is CMMC-naleving vereist?

De verwachte ingangsdatum voor CMMC 2.0 is 16 december 2024, precies 60 dagen na publicatie.

De vereiste om CMMC-naleving te behalen is afhankelijk van het gefaseerde implementatieschema van het Department of Defense, dat begon na de publicatie van de definitieve regel die invloed heeft op 32 CFR Requirements en 48 CFR CMMC Proposed Rule. Hoewel de CFR CMMC-regel de juridische basis van het programma vormde, worden de daadwerkelijke CMMC-vereisten geleidelijk in contracten opgenomen over meerdere jaren.

Het DoD voert CMMC-clausules gefaseerd in bij Requests for Information (RFIs) en Requests for Proposals (RFPs), op basis van programmaprioriteit en de gevoeligheid van de betrokken informatie. Aannemers moeten nieuwe aanbestedingen nauwlettend volgen om te bepalen wanneer specifieke CMMC-niveaus verplicht worden voor inschrijving.

Voor Level 1 zijn jaarlijkse zelfevaluaties vereist bij het toekennen van het contract.

Voor Level 2 met kritieke CUI is een driejaarlijkse beoordeling door een C3PAO noodzakelijk vóór gunning van het contract, terwijl bij andere Level 2-contracten jaarlijkse zelfevaluaties mogelijk zijn.

Level 3 vereist door de overheid geleide driejaarlijkse beoordelingen. Bestaande contracten vereisen doorgaans niet automatisch CMMC-naleving, tenzij ze worden aangepast, maar alle nieuwe DoD-contracten met FCI of CUI zullen uiteindelijk deze vereisten bevatten naarmate de gefaseerde uitrol vordert.

Gezien de benodigde voorbereidingstijd voor beoordelingen, vooral certificeringen door derden, moeten organisaties ruim van tevoren beginnen met hun CMMC-nalevingsinspanningen voordat ze contracten met deze voorwaarden verwachten.

Een succesvolle C3PAO-beoordeling nodig? Bekijk dan zeker onze CMMC Level 2 Assessment Guide.

Wie heeft CMMC-certificering nodig?

CMMC-certificering is in feite onvermijdelijk als je producten of diensten aan het DoD levert. De volgende typen organisaties moeten CMMC-naleving aantonen en CMMC-certificering behalen, of het nu Level 1, 2 of 3 is:

  • Alle DoD-aannemers en onderaannemers: Elke organisatie, ongeacht de grootte, die Federal Contract Information (FCI) of Controlled Unclassified Information (CUI) verwerkt als onderdeel van een DoD-contract, moet het vereiste niveau van CMMC-naleving behalen. Dit geldt voor de gehele Defense Industrial Base (DIB) toeleveringsketen.
  • Hoofdaannemers: Organisaties die direct met het DoD contracteren, zijn verantwoordelijk voor hun eigen naleving én voor het verifiëren van de naleving van hun onderaannemers.
  • Onderaannemers (alle niveaus): Bedrijven die werken voor hoofdaannemers, of zelfs voor andere onderaannemers, moeten voldoen aan de CMMC-vereisten die aan hen worden doorgegeven, afhankelijk van het type informatie dat zij verwerken (FCI of CUI). Als een onderaannemer CUI verwerkt in het kader van een contract waarvoor CMMC Level 2 vereist is, moet die onderaannemer ook Level 2-naleving of certificering behalen.
  • Leveranciers en verkopers: Zelfs organisaties die commerciële standaardproducten (COTS) leveren, kunnen CMMC Level 1 nodig hebben als zij FCI verwerken tijdens het contractproces. Als zij CUI verwerken, gelden hogere niveaus.
    Voorbeelden van bedrijfstypen: Dit omvat producenten, ingenieursbureaus, softwareontwikkelaars, IT-dienstverleners, onderzoeksinstellingen, adviseurs, logistieke bedrijven en elke andere entiteit die deelneemt aan de DoD-toeleveringsketen en gevoelige contractinformatie verwerkt.
  • Verschil in vereisten: Het specifieke vereiste CMMC-niveau (Level 1, 2 of 3) hangt direct af van het type en de gevoeligheid van de verwerkte informatie. Level 1 richt zich op het beschermen van FCI (vereist basis cyberhygiëne en zelfevaluatie). Levels 2 en 3 richten zich op het beschermen van CUI, met steeds robuustere beveiligingspraktijken volgens NIST SP 800-171 en NIST SP 800-172, vaak met beoordelingen door derden of de overheid voor CMMC-certificering.

Begrijp het verschil tussen CMMC-certificering en CMMC-naleving.

CMMC 2.0-vereisten

De overgang van CMMC 1.0 naar CMMC 2.0 betekende een stroomlijning en verfijning van het framework en de CMMC-vereisten, zodat CMMC-naleving efficiënter en praktischer werd voor defensie-aannemers in de Defense Industrial Base (DIB). Wijzigingen in CMMC-vereisten zijn onder andere:

1. Minder CMMC-volwassenheidsniveaus

CMMC 1.0 kende vijf niveaus, variërend van basis cyberhygiëne (Level 1) tot geavanceerd/progressief (Level 5). CMMC 2.0 vereist daarentegen dat defensie-aannemers nu voldoen aan slechts drie volwassenheidsniveaus: Level 1 (Foundational), Level 2 (Advanced) en Level 3 (Expert).

2. Afstemming op NIST-standaarden

CMMC 2.0 legt meer nadruk op het afstemmen van certificeringsvereisten op bestaande NIST-standaarden (NIST SP 800-171 voor Level 2 en NIST SP 800-172 voor Level 3). Deze afstemming is bedoeld om de complexiteit te verminderen en de consistentie met gevestigde frameworks te vergroten.

3. Zelfevaluaties

Onder CMMC 2.0 hoeven bedrijven die Federal Contract Information (FCI) op Level 1 verwerken alleen jaarlijkse zelfevaluaties uit te voeren, in plaats van een certificering door een gecertificeerde derde beoordelingsorganisatie (C3PAO). Let op: CMMC Level 2-naleving vereist een mix van zelfevaluaties en beoordelingen door derden, afhankelijk van het type informatie dat wordt verwerkt.

4. Afschaffing van bepaalde praktijken en processen

Het CMMC 2.0-framework bevat niet langer de volwassenheidsprocessen die onderdeel waren van de niveaus in CMMC 1.0, en richt zich nu puur op cybersecuritypraktijken, waardoor de CMMC-vereisten worden vereenvoudigd.

Uiteindelijk weerspiegelt de overgang van CMMC 1.0 naar CMMC 2.0 een meer gestroomlijnde en afgestemde aanpak van cybersecurityvereisten voor defensie-aannemers.

Ondanks de reductie en vereenvoudiging van niveaus, kan het belang van het voldoen aan deze vereisten niet genoeg worden benadrukt. CMMC-naleving is niet alleen essentieel voor het behouden van bestaande contracten en het verkrijgen van nieuwe contracten met het DoD, maar ook cruciaal voor het beschermen van gevoelige informatie en het behouden van de integriteit en betrouwbaarheid van de defensietoeleveringsketen.

CMMC 1.0 vs CMMC 2.0: Belangrijkste verschillen

CMMC 2.0 betekent een aanzienlijke evolutie ten opzichte van het oorspronkelijke CMMC 1.0-framework, ontworpen om vereisten te vereenvoudigen, kosten te verlagen en beter aan te sluiten bij bestaande standaarden. Inzicht in deze verschillen is cruciaal voor een effectieve CMMC-nalevingsstrategie. Dit zijn de belangrijkste verschillen:

  • Volwassenheidsniveaus: CMMC 1.0 had vijf volwassenheidsniveaus. CMMC 2.0 stroomlijnt dit naar drie niveaus: Level 1 (Foundational), Level 2 (Advanced) en Level 3 (Expert). Deze vereenvoudiging richt zich op de belangrijkste cybersecuritystandaarden.
  • Afstemming op NIST-standaarden: CMMC 1.0 bevatte unieke CMMC-praktijken en volwassenheidsprocessen die verder gingen dan NIST-standaarden. CMMC 2.0 stemt Level 1 af op FAR 52.204-21 basisbeveiligingsvereisten, Level 2 direct op alle 110 controls in NIST SP 800-171, en Level 3 op NIST SP 800-171 plus een subset van NIST SP 800-172 controls. Dit elimineert CMMC-specifieke controls en maakt gebruik van gevestigde cybersecurityframeworks.
  • Beoordelingsvereisten: CMMC 1.0 vereiste beoordelingen door derden voor Levels 3-5. CMMC 2.0 verandert dit aanzienlijk: Level 1 vereist jaarlijkse zelfevaluaties. Level 2 vereist driejaarlijkse beoordelingen door derden (C3PAO’s) voor contracten met kritieke CUI, maar staat jaarlijkse zelfevaluaties toe voor sommige Level 2-contracten (afhankelijk van de gevoeligheid van de informatie). Level 3 vereist driejaarlijkse beoordelingen door de overheid (uitgevoerd door DIBCAC).
  • Plans of Action & Milestones (POA&Ms): CMMC 1.0 vereiste volledige naleving van alle praktijken op het moment van beoordeling. CMMC 2.0 staat beperkt gebruik van POA&Ms toe voor bepaalde vereisten onder strikte voorwaarden (bijvoorbeeld: moeten binnen 180 dagen worden opgelost, mogen niet gelden voor de zwaarst wegende vereisten, minimale beoordelingsscore vereist). Dit biedt enige flexibiliteit, maar elimineert niet de noodzaak voor robuuste CMMC-naleving.
  • Kostenimplicaties: Door het aantal niveaus te verminderen, CMMC-eigen vereisten te schrappen en zelfevaluaties toe te staan voor Level 1 en sommige Level 2-scenario’s, wil CMMC 2.0 de nalevingslast en kosten verlagen, vooral voor kleine bedrijven.
  • Wijzigingen in tijdlijn: De implementatie van CMMC 2.0 volgt een gefaseerde uitrol over meerdere jaren, waarbij de vereisten geleidelijk in DoD-contracten worden opgenomen, in tegenstelling tot het mogelijk snellere oorspronkelijke plan voor CMMC 1.0.
  • Impact op nalevingsstrategie: Organisaties die zich al op CMMC 1.0 voorbereidden, moeten hun doelniveau opnieuw beoordelen binnen de CMMC 2.0-structuur. Inspanningen die zijn gedaan om aan NIST SP 800-171-vereisten te voldoen, blijven zeer relevant voor CMMC 2.0 Level 2. De focus moet liggen op het dichten van resterende gaten ten opzichte van NIST-standaarden, het opstellen van het Systeembeveiligingsplan (SSP) en het bepalen van het juiste beoordelingspad (zelfevaluatie of C3PAO).

Wanneer worden CMMC 2.0-vereisten opgenomen in contracten?

De opname van CMMC 2.0-vereisten in Department of Defense (DoD)-contracten gebeurt via een gestructureerde, gefaseerde implementatie die begon nadat de definitieve CMMC-programmaregel van kracht werd (vastgelegd in Titel 32 CFR) en de bijbehorende acquisitieregel werd afgerond (met impact op DFARS in Titel 48 CFR).

Hoewel specifieke data afhangen van de afronding en inwerkingtreding van deze regels (verwacht begin 2025), heeft het DoD een meerjarige uitrolstrategie uiteengezet. Dit betekent dat CMMC 2.0-vereisten niet in alle contracten tegelijk verschijnen. In plaats daarvan zal het DoD CMMC-clausules geleidelijk invoeren in nieuwe aanbestedingen (RFIs, RFPs), op basis van het strategisch belang van het contract en de gevoeligheid van de betrokken informatie (FCI of CUI). De uitrol begint naar verwachting met een kleiner aantal contracten en breidt zich in de loop van de tijd uit tot uiteindelijk alle relevante DoD-contracten zijn opgenomen.

In de tussenliggende periode voordat CMMC-vereisten in een specifiek contract verschijnen, moeten aannemers die CUI verwerken nog steeds voldoen aan de bestaande DFARS 252.204-7012-clausule, die vereist dat NIST SP 800-171 wordt geïmplementeerd en beoordelingsscores worden gerapporteerd aan het Supplier Performance Risk System (SPRS).

Er zijn geen grootschalige pilotprogramma’s aangekondigd voor CMMC 2.0 zoals aanvankelijk bij 1.0, maar aannemers moeten elk contract met een CMMC-clausule behandelen als verplicht voor naleving op de gunningsdatum (of zoals gespecificeerd).

Het belangrijkste is dat het behalen van CMMC-naleving, vooral Levels 2 en 3 met beoordelingen, aanzienlijke tijd en middelen kost. Aannemers moeten nu proactief voorbereiden door hun status te beoordelen ten opzichte van de relevante CMMC 2.0-vereisten (NIST SP 800-171/172), hun Systeembeveiligingsplan (SSP) op te stellen en de benodigde beoordelingen te plannen, in plaats van te wachten tot de vereisten in een aanbesteding verschijnen.

CMMC-vereisten per volwassenheidsniveau

Het is cruciaal voor defensie-aannemers om de specifieke vereisten van elk CMMC-volwassenheidsniveau te begrijpen voordat ze beginnen aan het CMMC-nalevings- en certificeringsproces (inclusief het verschil tussen CMMC-certificering en CMMC-naleving). Elk van de drie volwassenheidsniveaus in het CMMC 2.0-framework — Foundational, Advanced en Expert — heeft zijn eigen set praktijken en processen, afgestemd op het stapsgewijs verbeteren van de beveiligingsstatus van een defensie-aannemer, parallel aan de gevoeligheid van de informatie die zij verwerken en delen met het DoD. De belangrijkste vereisten voor elk CMMC 2.0-volwassenheidsniveau zijn:

CMMC 2.0 Level 1-vereisten: Fundamentele cybersecurity

CMMC Level 1 richt zich op fundamentele cybersecuritypraktijken voor organisaties die federal contract information (FCI) verwerken. Dit niveau is bedoeld voor organisaties die basis cyberhygiëne willen aantonen. De belangrijkste vereisten zijn:

  1. Basisbeveiligingspraktijken: Organisaties moeten 17 praktijken implementeren die zijn afgestemd op de Federal Acquisition Regulation (FAR) 52.204-21, waaronder fundamentele beveiligingsvereisten voor het beschermen van FCI.
  2. Toegangscontrole: Beperk de toegang tot informatiesystemen tot geautoriseerde gebruikers en apparaten.
  3. Bewustwording en training: Geef beveiligingsbewustzijnstraining aan personeel binnen de organisatie.
  4. Configuratiebeheer: Stel basisconfiguraties op en onderhoud deze voor informatiesystemen binnen de organisatie.
  5. Identificatie en authenticatie: Identificeer gebruikers, processen en apparaten van informatiesystemen en verifieer hun identiteit voordat toegang wordt verleend.
  6. Bescherming van media: Bescherm informatiesysteemmedia zowel tijdens als na gebruik.
  7. Fysieke beveiliging: Beperk fysieke toegang tot informatiesystemen en hun componenten.
  8. Risicobeoordeling: Voer periodiek risicobeoordelingen uit en evalueer risico’s voor de bedrijfsvoering.
  9. Beveiligingsbeoordeling: Voer periodieke beveiligingsbeoordelingen uit om te waarborgen dat aan de beveiligingsvereisten wordt voldaan.
  10. Systeem- en communicatiebeveiliging: Monitor, beheer en bescherm communicatie van de organisatie aan externe grenzen en belangrijke interne punten.
  11. Systeem- en informatie-integriteit: Identificeer, rapporteer en corrigeer tijdig gebreken in informatie en informatiesystemen.

Al met al vereist CMMC 2.0 Level 1 basis cybersecuritypraktijken die voor de meeste organisaties bekend en eenvoudig te implementeren zouden moeten zijn, en biedt het essentiële bescherming bij het verwerken van FCI.

CMMC 2.0 Level 2-vereisten: Geavanceerde cybersecurity

CMMC Level 2 is bedoeld voor defensie-aannemers die gecontroleerde niet-geclassificeerde informatie (CUI) verwerken als onderdeel van hun contracten met het DoD. Dit zijn de kernvereisten voor het behalen van CMMC 2.0 Level 2:

  1. Afstemming op NIST SP 800-171: Level 2 is primair afgestemd op de 110 beveiligingspraktijken uit de National Institute of Standards and Technology Special Publication 800-171 (NIST SP 800-171). Dit omvat controls over diverse domeinen zoals toegangscontrole, reactie op incidenten en risicobeheer.
  2. Beoordeling en certificering: Organisaties moeten een beoordeling door derden ondergaan door een gecertificeerde CMMC Third-Party Assessment Organization (C3PAO) om naleving te verifiëren. Dit is verplicht voor contracten waarbij CUI wordt verwerkt.
  3. Jaarlijkse zelfevaluaties: Organisaties zijn ook verplicht om jaarlijkse zelfevaluaties uit te voeren om voortdurende naleving en verbeteringen in hun cybersecuritypraktijken te waarborgen.
  4. Documentatie en beleidsontwikkeling: Bedrijven moeten gedocumenteerde beleidslijnen en procedures hebben die elke beveiligingspraktijk ondersteunen. Dit omvat regelmatig bijgewerkte registraties en audittrails.
  5. Risicobeheer: Organisaties moeten een risicobeheerbenadering implementeren die cybersecurityrisico’s continu identificeert, beoordeelt en beheert.
  6. Incidentrapportage: Procedures moeten aanwezig zijn voor het rapporteren van incidenten aan het DoD, zodat tijdige communicatie en reactie op mogelijke datalekken mogelijk is.
  7. Continue monitoring: Bedrijven moeten mechanismen hebben voor continue monitoring van hun informatiesystemen om snel beveiligingsdreigingen te detecteren en erop te reageren.
  8. Beveiligingsbewustzijn en training: Implementeer een beveiligingstrainingsprogramma zodat alle medewerkers hun cybersecurityverantwoordelijkheden en het belang van het beschermen van CUI begrijpen.

Door aan deze vereisten te voldoen, kunnen organisaties gevoelige informatie beschermen en hun geschiktheid behouden voor DoD-contracten waarbij CUI wordt verwerkt.

CMMC 2.0 Level 3-vereisten: Expert cybersecurity

CMMC Level 3 is bedoeld voor organisaties die gecontroleerde niet-geclassificeerde informatie (CUI) verwerken en vereist dat zij meer geavanceerde cybersecuritypraktijken implementeren. De vereisten voor Level 3 zijn nog niet volledig openbaar gemaakt, maar dit is een algemeen overzicht op basis van beschikbare informatie:

  1. Afstemming op NIST-standaarden: Level 3 sluit nauw aan bij NIST SP 800-172, dat voortbouwt op de controls uit NIST SP 800-171 en zich richt op geavanceerde cybersecuritypraktijken en -bescherming.
  2. Geavanceerde beveiligingspraktijken: Organisaties moeten zich houden aan meer dan 110 praktijken, inclusief die van lagere CMMC-niveaus (Level 1 en Level 2), aangevuld met extra vereisten gericht op geavanceerde dreigingsdetectie en respons.
  3. Incidentrespons en -beheer: Er moeten robuuste incidentresponspraktijken zijn, met mogelijkheden om cybersecurity-incidenten effectief te beheren en te rapporteren.
  4. Continue monitoring: Organisaties moeten systemen voor continue monitoring implementeren om snel cybersecuritygebeurtenissen te detecteren, erop te reageren en te herstellen.
  5. Risicobeheer: Er is een volwassen risicobeheerframework vereist om risico’s continu te beoordelen, te prioriteren en te beperken.
  6. Expertbeoordeling: Organisaties op dit niveau moeten driejaarlijkse beoordelingen ondergaan door gecertificeerde derde beoordelaars.
  7. Bescherming van Federal Contract Information (FCI) en CUI: Organisaties moeten sterke capaciteiten aantonen in het beschermen van zowel FCI als CUI.

Aangezien dit richtlijnen op hoofdlijnen zijn, moeten organisaties die streven naar CMMC 2.0 Level 3-naleving de updates van het Department of Defense (DoD) nauwlettend volgen en overleggen met cybersecurityexperts om te waarborgen dat zij aan alle specifieke vereisten voldoen naarmate deze zich ontwikkelen.

CMMC-nalevingschecklist

CMMC-certificering, de voorloper van CMMC-naleving, is een grondig proces. Om CMMC-gecertificeerd te worden, moeten bedrijven voldoen aan een uitgebreide set vereisten die door het DoD zijn opgesteld. Hieronder vind je onze CMMC-checklist met punten die organisaties moeten aanpakken en afvinken als zij CMMC-certificering willen behalen.

Bepaal het juiste CMMC-volwassenheidsniveau voor jouw organisatie

De eerste stap naar CMMC 2.0-naleving is bepalen welk CMMC-volwassenheidsniveau het meest geschikt is voor jouw organisatie. Het CMMC-certificeringsproces is een gelaagde aanpak en bedrijven moeten het juiste niveau kiezen op basis van de gevoeligheid van de data die zij verwerken. Er zijn drie niveaus van CMMC-certificering (zie hierboven).

Voer een CMMC-zelfevaluatie uit om je gereedheid voor CMMC-naleving te bepalen

Zodra je het volwassenheidsniveau hebt bepaald dat jouw organisatie wil of moet behalen, is de volgende stap het uitvoeren van een zelfevaluatie van het cybersecurityprofiel van je organisatie. Deze beoordeling moet een evaluatie omvatten van de cybersecurityvolwassenheid van je organisatie, inclusief beleid en procedures, netwerkbeveiliging, toegangscontrole en incidentresponsmogelijkheden.

Maak gebruik van andere cybersecurityframeworks om CMMC-nalevingsinspanningen te stroomlijnen

Hoewel het behalen van CMMC-certificering een complex proces kan zijn, kunnen organisaties de overgang vergemakkelijken door bestaande frameworks en certificeringen te benutten die aansluiten bij de CMMC-vereisten. CMMC is ontwikkeld op basis van bestaande frameworks en er is veel overlap tussen CMMC en andere gevestigde cybersecurityframeworks die worden gebruikt voor naleving van regelgeving.

Een van deze frameworks is het National Institute of Standards and Technology Cybersecurity Framework (NIST CSF), dat richtlijnen en beste practices biedt voor het beheren en beperken van cybersecurityrisico’s. Door het CSF te implementeren, kunnen organisaties hun cybersecuritypraktijken afstemmen op de CMMC-vereisten, waardoor het certificeringsproces waarschijnlijk eenvoudiger en gestroomlijnder verloopt.

Andere frameworks en certificeringen die organisaties kunnen helpen bij het behalen van CMMC-certificering zijn FedRAMP, FISMA, de International Organization for Standardization 27000 normen (ISO 27001) en NIST Special Publication 800-171. Door deze frameworks en certificeringen te benutten, kunnen organisaties ook hun algehele beveiligingsstatus verbeteren en aantonen dat zij voldoen aan de CMMC-vereisten.

Stel een Plan of Action and Milestones (POA&M) op voor CMMC-naleving

Een Plan of Action and Milestones (POA&M) is een essentieel document dat de strategie van een organisatie beschrijft om zwakke plekken en tekortkomingen in de cybersecuritymaatregelen aan te pakken. Het speelt een belangrijke rol bij het aantonen van CMMC-naleving. Het opstellen van een POA&M vereist een aantal stappen. Nadat je het juiste niveau hebt vastgesteld, identificeer je de gaten tussen je huidige beveiligingsstatus en de vereiste certificeringen. Dit vereist een grondige beoordeling van het bestaande beleid, de procedures en technische maatregelen van je organisatie.

Op basis van de geïdentificeerde gaten geef je prioriteit aan de gebieden die als eerste moeten worden aangepakt. Ontwikkel vervolgens een tijdlijn voor elke taak, inclusief deadlines voor de voltooiing van elke actie. Wijs taken toe aan teamleden met duidelijke verantwoordelijkheden en houd hen verantwoordelijk voor het volgen van de planning. Documenteer ten slotte alle stappen die zijn genomen richting naleving en houd de voortgang regelmatig bij, waarbij je het plan van aanpak en mijlpalen indien nodig bijwerkt. Deze aanpak zorgt voor een gestructureerde en methodische benadering van CMMC-naleving, wat leidt tot meer efficiëntie en tijdige resultaten.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks