CMMC Fase II is opgeschort. Uw DFARS-verplichtingen blijven van kracht.

CMMC Fase II is opgeschort. Uw DFARS-verplichtingen blijven van kracht.

Een enkel bericht van het Department of War heeft zojuist de enige externe controle opgeschort die tussen de zelfverklaarde nalevingsscore van een defensie-aannemer en een onderzoek op basis van de False Claims Act stond. Op 13 juli 2026 schortte het Department of War CMMC Fase II op – de vereiste voor beoordeling door een derde partij die op 10 november 2026 van kracht zou worden – en de vakpers presenteerde dit direct als een verlichting van regelgeving. Dat is het niet. Het is een herverdeling van risico, en de organisaties die dit als een pauze beschouwen, lopen het meeste risico wanneer de beoordelingsperiode eindigt.

Chief Information Officer van het Department of War, Kirsten Davies, kondigde de opschorting aan nadat interne gegevens een capaciteitsprobleem aantoonden dat nergens heen kon: meer dan 100.000 Defense Industrial Base (DIB) bedrijven hadden een beoordeling door een Certified Third-Party Assessor Organization (C3PAO) nodig, terwijl er slechts ongeveer 100 C3PAO’s bestonden om deze uit te voeren. “De rekensom klopt gewoon niet,” vertelde Davies aan verslaggevers, volgens het verslag van Breaking Defense van 13 juli over de aankondiging. Ook Fase 3 en Fase 4 van CMMC werden opgeschort, in afwachting van een 60-daagse evaluatie door een nieuw gevormde CMMC Reform Task Force, en het Department sluit niet uit dat het programma volledig wordt stopgezet zodra die evaluatie is afgerond.

Wat de Opschorting van CMMC Fase II Echt Verandert voor DIB-aannemers

Geen van deze zaken verandert wat een defensie-aannemer wettelijk vandaag moet doen. DFARS clausule 252.204-7012 verplicht aannemers en onderaannemers al tot het beschermen van beschermde informatie over defensie, ruim voordat CMMC als programma bestond, en het eigen bericht van het Department stelt duidelijk dat de opschorting “de verplichting voor bedrijven om federale data te beschermen niet opheft.” De 110 controls van NIST 800-171 Rev 2 blijven ongewijzigd. Zelfevaluatie blijft doorgaan. Wat gepauzeerd is, is de derde partij die je werk controleert – en voor een compliance officer is dat een heel andere vorm van verlichting dan de krantenkoppen suggereren.

Kiteworks werkt met Defense Industrial Base aannemers die precies dit soort regelgevende schommelingen doormaken, en het patroon is bekend: een deregulatoire aankondiging creëert een vals gevoel van veiligheid, juist wanneer het onderliggende risico groter is geworden, niet kleiner.

Dat onderscheid is belangrijk omdat compliance teams, contractmanagers en bestuurders nu allemaal dezelfde krantenkoppen lezen, en de meeste van die koppen benadrukken verlichting in plaats van risico. Een CISO die de verkeerde les trekt uit deze aankondiging, zal volgende week in de leiderschapsvergadering adviseren om een beveiligingsinvestering te vertragen die juist versneld zou moeten worden. Een General Counsel die denkt dat bestaande CMMC-contracttaal stilletjes is verdwenen, mist een flow-down verplichting die nog steeds in een actief subcontract staat.

De juiste framing in de eerste 48 uur na zo’n aankondiging is geen communicatieoefening – het is het verschil tussen een organisatie die haar compliancegaten sluit binnen een venster van 60 dagen en een die ze ontdekt tijdens een False Claims Act-onderzoek achttien maanden later. Een supply chain risicobeheer review die de CMMC flow-down taal van elk actief subcontract in kaart brengt, moet deze week de eerste actie zijn van het juridische team van een hoofdaannemer.

CMMC 2.0 Naleving Stappenplan voor DoD Aannemers

Lees nu

Belangrijkste Inzichten

1. CMMC Fase II is opgeschort, niet afgeschaft.

Het Department of War heeft op 13 juli 2026 de vereiste voor beoordeling door derden gepauzeerd, terwijl Fase 1 zelfevaluatie en de onderliggende DFARS 252.204-7012 verplichting volledig van kracht blijven.

2. De opschorting is een capaciteitsprobleem, geen beleidsomslag.

Meer dan 100.000 Defense Industrial Base bedrijven hadden een beoordeling door derden nodig, terwijl er slechts ongeveer 100 C3PAO’s waren om deze uit te voeren – een structurele bottleneck die een 60-daagse review niet kan oplossen.

3. Het verwijderen van de derde partij verhoogt het risico op de False Claims Act.

Nu geen C3PAO een onjuiste zelfverklaarde SPRS-score eerst opvangt, ligt die aansprakelijkheid volledig bij de aannemer – civiele boetes lopen momenteel op tot ongeveer $13.946 tot $27.894 per valse claim, plus drievoudige schadevergoeding, en de overheid heeft sinds 2021 al 15 cybersecurity-gerelateerde False Claims Act-zaken geschikt.

4. Flow-down verplichtingen en bestaande aanbestedingen worden niet gereset.

Hoofdaannemers zijn nog steeds verplicht CMMC Level 2 vereisten door te geven aan onderaannemers, en contracten waarin Level 2 wordt genoemd blijven van kracht totdat ze formeel worden gewijzigd, contract voor contract.

5. Een openbare commentaarperiode sluit op 14 augustus 2026.

De RFI van het Department vraagt direct hoe commerciële beveiligingstools kunnen meetellen voor een toekomstig framework, waardoor dit een tijdelijke kans is in plaats van een reden om te wachten. Gebruik nu de CMMC gap-analyse methodologie, voordat de assessor-wachtrij weer opengaat, om te bepalen welke technische gaten tijdens dit venster kunnen worden gesloten.

De Achterstand Was de Oorzaak, en een 60-daagse Review Lost Dit Niet Op

Begin met waarom dit gebeurde, want de reden is belangrijker dan de aankondiging zelf. CMMC Level 2 vereist een driejaarlijkse beoordeling door een C3PAO voor aannemers die Beschermde informatie over defensie (CDI) of Controlled Unclassified Information (CUI) verwerken. Die beoordelingspijplijn was nooit gebouwd om de hoeveelheid aan te kunnen die het Department nu zelf erkent. Volgens de berichtgeving van Washington Technology op 13 juli strekt de opschorting van DoW zich uit tot CMMC Fase 3 (de Level 3-beoordelingen die oorspronkelijk gepland stonden voor november 2027) en Fase 4, en plaatste het Department dezelfde dag een formeel Request for Information (RFI) op SAM.gov, met reacties vanuit de industrie uiterlijk 14 augustus 2026.

Die RFI is het waard om goed te lezen, want het laat zien waar dit naartoe gaat. Er wordt bedrijven gevraagd hun mening te geven over kostenfactoren en administratieve lasten rond CMMC-naleving, welke NIST 800-171 controls daadwerkelijk zinvolle risicoreductie opleveren, en – vooral – hoe het Department bestaande commerciële cybersecuritytools en managed services zou kunnen erkennen in een toekomstig nalevingsframework, in plaats van voor alles een aparte beoordeling door derden te eisen.

Dit is geen programma dat wordt afgeschaft. Het wordt opnieuw ontworpen rond precies het soort aantoonbare, door tooling ondersteunde technische gereedheid waarop een zelfevaluatie nu volledig moet steunen.

De 100.000-op-100 verhouding die Davies noemde is een structureel probleem, geen tijdelijk. Het opleiden en accrediteren van nieuwe C3PAO’s kost jaren, niet de 60 dagen die voor deze review zijn uitgetrokken. Wanneer Fase II terugkomt – en DoW-functionarissen hebben expliciet aangegeven dat ze het programma niet hebben uitgesloten, maar ook niet hebben toegezegd – zal dezelfde bottleneck nog steeds bestaan, nu samengeperst in welk venster de Reform Task Force ook bepaalt.

Organisaties die deze pauze gebruiken om echte technische gereedheid op te bouwen, zullen als eerste door die pijplijn gaan. Organisaties die dit zien als een reden om zich terug te trekken, zullen opnieuw met iedereen tegelijk concurreren om dezelfde schaarse assessorcapaciteit. De CMMC compliance checklist biedt de gestructureerde inventaris die “echte technische gereedheid opbouwen” omzet in een gedocumenteerde, geprioriteerde actielijst in plaats van een algemeen voornemen.

Dit Is Niet de Eerste Herplanning van CMMC, en Die Geschiedenis Is Belangrijk

Ieder die in de verleiding komt om deze opschorting te zien als bewijs dat CMMC zelf uit elkaar valt, moet kijken naar hoe het programma hier is gekomen. Het Department introduceerde CMMC 1.0 oorspronkelijk in 2020 met vijf volwassenheidsniveaus en een gefaseerde uitrol per contract.

Die versie werd in 2021 vervangen door CMMC 2.0, een vereenvoudigde structuur met drie niveaus die is afgestemd op NIST 800-171, na bezwaren vanuit de industrie over kosten en complexiteit. Het regelgevingsproces voor 2.0 duurde vervolgens ongeveer drie jaar om te finaliseren, via zowel het 32 CFR- als 48 CFR-traject, voordat de CMMC Final Rule in 2024 werd gepubliceerd en de vereisten voor zelfevaluatie van Fase 1 in november 2025 van kracht werden.

Dat is het patroon om op te letten: elke eerdere versie van dit programma is herzien als reactie op precies het soort implementatieprobleem dat nu de opschorting van Fase II veroorzaakt. De complexiteit van CMMC 1.0 zorgde ervoor dat het werd vervangen. De assessorcapaciteit van CMMC 2.0 zorgt er nu voor dat Fase II wordt gepauzeerd. In geen van beide gevallen verdween het onderliggende doel – het beschermen van Controlled Unclassified Information in de defensieketen – uit beeld.

Het mechanisme veranderde. De verplichting niet. Het lezen van de opschorting van vandaag in het licht van die geschiedenis zou het vertrouwen moeten verlagen, niet verhogen, dat dit het einde is van verificatie door derden in plaats van weer een nieuwe iteratie ervan.

Waarom Het Verwijderen van de Derde Partij de Inzet voor Zelfevaluatie Verhoogt

Dit is het deel van het verhaal dat onder de “CMMC is dood”-koppen is verdwenen: het verwijderen van een derde partij haalt het risico niet uit het systeem. Het verplaatst het risico volledig naar de nauwkeurigheid van de eigen verklaring van de aannemer.

CMMC Level 1 en de tussentijdse Fase 1 vereisten zijn altijd gebaseerd geweest op zelfevaluatie, met resultaten die worden ingevoerd in het Supplier Performance Risk System (SPRS) en bevestigd door een bedrijfsbestuurder.

Onder de nu opgeschorte Fase II-constructie zou een C3PAO die zelfverklaarde score onafhankelijk hebben geverifieerd voordat deze doorslaggevend werd voor een contracttoekenning. Nu die controle gepauzeerd is, is een onjuiste SPRS-score niet langer een bevinding die een derde partij opvangt tijdens een beoordelingscyclus – het is een claim die de aannemer direct bij de federale overheid indient, ongeverifieerd, en die een onderzoek op basis van de False Claims Act direct kan testen.

De mechanismen van die blootstelling zijn goed ingeburgerd en gaan volledig aan CMMC vooraf. Het Civil Cyber-Fraud Initiative van het Department of Justice, gelanceerd in oktober 2021, gebruikt de False Claims Act specifiek om cybersecurity-gerelateerde onjuiste verklaringen van overheidsaannemers en subsidieontvangers aan te pakken, en de qui tam-bepaling van de wet laat een privépersoon – een ontevreden werknemer, een concurrent, een voormalige onderaannemer – de claim direct indienen en delen in de opbrengst.

Civiele boetes lopen momenteel op tot ongeveer $13.946 tot $27.894 per valse claim, regelmatig aangepast voor inflatie, bovenop drievoudige schadevergoeding. De overheid aarzelt niet om dit te handhaven: het DOJ schikte in 2025 een False Claims Act-zaak van $8,4 miljoen tegen Raytheon en diens opvolger Nightwing wegens onjuiste naleving van NIST 800-171, en een lopende zaak tegen Georgia Tech stelt dat de universiteit een valse cybersecurity-beoordelingsscore indiende bij de DoD – precies de fout die een opgeschorte C3PAO-controle anders zou hebben opgevangen.

Voor die rekensom is geen datalek nodig. Het enige wat nodig is, is dat de zelfverklaarde score van een aannemer niet standhoudt bij controle – en zonder C3PAO in de keten om dat gat eerst op te vangen, is de aannemer de enige verdedigingslinie. Een formele risicobeoordeling uitgevoerd op basis van de NIST 800-171 controls, gedocumenteerd met dezelfde bewijskrachtige grondigheid als een C3PAO zou toepassen, is de meest directe manier om te verifiëren dat een zelfverklaarde SPRS-score externe toetsing zal doorstaan.

Dit is waarom het framen van deze opschorting als “minder druk” de risicocalculatie omdraait. Minder druk van derden op papier betekent in de praktijk meer aansprakelijkheid voor de eerste partij. Een compliance officer die zijn blootstelling op 12 juli begreep, zou deze op 14 juli scherper moeten zien, niet minder.

Contractuele Flow-downs Worden Niet Gereset met de Tijdlijn van het Department

Een tweede detail dat verloren ging in de berichtgeving: de fase-opschorting van DoW is een wijziging in de auditvereisten van het Department zelf, niet in wat hoofdaannemers aan onderaannemers verschuldigd zijn of wat bestaande aanbestedingen al vereisen. Hoofdaannemers met CMMC Level 2 flow-down clausules in hun subcontracts moeten die vereisten nog steeds doorgeven in de supply chain – de opschorting van het eigen verificatieproces door derden van het Department ontslaat een hoofdaannemer niet van zijn contractuele verplichting aan onderaannemers, en ontslaat een onderaannemer niet van zijn verplichting terug aan de hoofdaannemer.

Hetzelfde geldt voor aanbestedingen en contracten die CMMC Level 2 al als voorwaarde voor toekenning of uitvoering noemen. Breaking Defense meldde op 13 juli dat Davies programmamanagers en contractmanagers opdracht gaf om lopende aanbestedingen met de opgeschorte Fase II-vereisten “zo snel mogelijk” te wijzigen – wat op zich bevestigt dat die vereisten niet zomaar verdwijnen; ze worden formeel aangepast, op de tijdlijn van het Department, contract voor contract. Totdat die wijziging voor een specifiek contract plaatsvindt, blijft de CMMC Level 2-taal erin staan.

Voor een General Counsel of VP Contracts is dat het detail dat deze week tot actie moet leiden: controleer welke actieve aanbestedingen en subcontracts Fase II-vereisten bevatten, en ga er niet van uit dat een van hen stilletjes is opgeheven alleen omdat het Department een nationale aankondiging heeft gedaan.

Supply chain risicobeheer – specifiek de praktijk van het bijhouden van een actuele, controleerbare status van de naleving van elke onderaannemer – maakt die audit mogelijk in dagen in plaats van weken. Organisaties zonder een gedocumenteerde compliance-inventaris van subniveaus moeten het opbouwen daarvan als onmiddellijke prioriteit behandelen, naast het controleren van de contracttaal.

Het Small Business Argument dat DoW Gebruikt om de Pauze te Rechtvaardigen

De publieke rechtvaardiging van de opschorting leunt sterk op kleine en middelgrote aannemers, en het begrijpen van die framing is belangrijk voor iedereen die inschat waar dit naartoe gaat. De Small Business Administration prees de opschorting publiekelijk op dezelfde dag dat deze werd aangekondigd, en wees op nalevingskosten die voor sommige kleine bedrijven oplopen tot $600.000 en waarschuwde dat het huidige CMMC-framework bedrijven juist uit de Defense Industrial Base duwde in plaats van nieuwe toetreders aan te trekken.

Dat is de politieke reden achter de pauze: de beveiligingsbasis behouden terwijl een kostenbarrière wordt weggenomen die de supply chain deed krimpen in plaats van beveiligen.

Die framing werkt twee kanten op voor een kleine of middelgrote onderaannemer die beslist wat te doen. Enerzijds is de vraag van de RFI over het erkennen van bestaande commerciële tools een directe kans om te bepleiten dat de bestaande beveiligingsstack van een kleiner bedrijf zou moeten meetellen in elk framework dat Fase II vervangt of aanpast.

Anderzijds kiest een bedrijf dat deze opschorting ziet als toestemming om beveiligingsuitgaven volledig te negeren ervoor om minder voorbereid te zijn, niet competitiever, wanneer de assessor-wachtrij weer opengaat – en dat geldt voor iedereen tegelijk, kleine en grote aannemers. Secure MFT en beveiligde e-mailplatforms die al aansluiten op NIST 800-171 controls zijn precies het soort commerciële tools waar de RFI naar vraagt – kleinere bedrijven die bestaande tooldekking kunnen aantonen, hebben een directe route om invloed uit te oefenen op hoe de Reform Task Force hun compliancepositie beoordeelt.

Waarom “Concrete Cyberhygiëne Boven Administratieve Last” Een Nieuwe Invalshoek Is, Geen Terugtrekking

De eigen taal van het Department wijst op waar dit daadwerkelijk naartoe gaat, en het is de moeite waard die letterlijk te nemen in plaats van als spin te lezen. DoW-functionarissen hebben herhaaldelijk het doel van de CMMC Reform Task Force gepresenteerd als het behouden van “een strikte beveiligingsbasis” terwijl kostenbarrières worden weggenomen – specifiek willen ze “concrete cyberhygiëne boven administratieve last”.

Letterlijk gelezen is dat een uitspraak over welk soort compliance-bewijs het Department in de toekomst waardeert: aantoonbare technische controls boven beoordelingspapierwerk.

Die nieuwe invalshoek zou moeten veranderen wat een DIB-aannemer in deze periode prioriteert. Een zelfevaluatie gebaseerd op gedocumenteerde, operationele beveiligingsmaatregelen – niet alleen een ingevulde checklist – is van nature beter verdedigbaar bij een onderzoek op basis van de False Claims Act, veerkrachtiger tegen wat de Reform Task Force uiteindelijk voorstelt, en beter gepositioneerd om te voldoen aan de expliciete vraag van de RFI over het erkennen van commerciële tools in plaats van voor alles een aparte beoordeling door derden te eisen.

Kiteworks secure data exchange is precies gebouwd rond dit soort aantoonbare technische gereedheid voor organisaties die CUI en CDI verwerken. Het platform dekt bijna 90% van de CMMC Level 2 vereisten standaard af, over domeinen zoals Access Control, Configuration Management, Audit and Accountability, en Physical Protection, ondersteund door een hardened virtual appliance architectuur, FIPS 140-3 Level 1 gevalideerde encryptie, en FedRAMP Matige Autorisatie – met FedRAMP High momenteel In Process voor de Secure Gov Cloud-dienst.

Dat is geen vervanging voor een C3PAO-beoordeling, en geen enkele organisatie zou dat moeten claimen – de eigen FedRAMP-gelijkwaardigheidsrichtlijnen van het Department bestaan juist om leveranciers te controleren die dat soort overdrijving maken. Wat het wel biedt zijn logs en toegangscontroles die een zelfverklaarde SPRS-score iets echts geven om op te steunen, onafhankelijk van wanneer de volgende C3PAO-beoordeling plaatsvindt.

De NIST 800-171 compliance documentatie die aan deze dekking ten grondslag ligt, is precies het soort bewijspakket dat de RFI signaleert dat de Reform Task Force erkend wil zien – georganiseerde, controleerbare bewijzen van technische controlimplementatie in plaats van beoordelingspapierwerk.

Wat Compliance Teams Echt Moeten Doen Voorafgaand aan de 60 Dagen

Behandel dit als een werkvenster, niet als een pauze. Vijf acties horen deze week op de lijst van een compliance officer:

  1. Verifieer je SPRS-score opnieuw aan de hand van daadwerkelijk bewijs, niet op basis van de aanname dat zelfverklaring nu minder streng wordt gecontroleerd. Als een controlclaim niet kan worden aangetoond met logs, configuratierecords of documentatie, is het een risico, geen compliance-winst. Dit is de meest impactvolle actie tijdens de reviewperiode, omdat het het eerste is wat een False Claims Act-onderzoek zou testen.

  2. Controleer elke actieve aanbesteding en subcontract op CMMC Level 2-taal die nog niet formeel is gewijzigd, en bevestig met je contractmanager of hoofdaannemer of flow-down verplichtingen nog steeds gelden. Wacht niet op een melding; het wijzigingsproces gebeurt contract voor contract, en er is geen garantie dat jouw specifieke overeenkomst al is aangepast.

  3. Stel een reactie op voor de RFI van DoW, uiterlijk 14 augustus 2026, vooral als je organisatie al commerciële beveiligingstools gebruikt die aansluiten op NIST 800-171 – dit is een tijdelijke, formele route om invloed uit te oefenen op hoe de Reform Task Force uiteindelijk tools als die van jou beoordeelt, en het venster sluit over ongeveer een maand.

  4. Sluit technische gaten nu, terwijl de beoordelingswachtrij is gepauzeerd, in plaats van te wachten tot Fase II wordt hervat en te concurreren met 100.000 andere bedrijven voor ongeveer 100 assessoren tegelijk. Een gat dat in augustus wordt gesloten, kost veel minder, zowel qua geld als risico, dan hetzelfde gat dat later tijdens een verkort herbeoordelingsvenster wordt ontdekt. Encryptiehandhaving, op attributen gebaseerde toegangscontrole en onveranderlijke auditlogging zijn de drie technische domeinen waar zelfbeoordeelde gaten het vaakst falen bij externe toetsing – sluit deze als eerste.

  5. Documenteer je audittrail en toegangscontrole-bewijs in een vorm die je aan een False Claims Act-onderzoeker of een toekomstige C3PAO zou kunnen overhandigen zonder het onder druk te hoeven reconstrueren. Bewijs dat na een dagvaarding wordt samengesteld, is materieel zwakker dan bewijs dat al bestond voordat de vraag werd gesteld. Een gedocumenteerd incident response plan dat elke NIST 800-171 IR-control koppelt aan een specifieke, geteste procedure geeft het auditpakket een extra laag geloofwaardigheid die een checklist alleen niet kan bieden.

De organisaties die na deze 60 dagen voorlopen, zijn niet degenen die achteroverleunden. Het zijn de organisaties die het gat tussen aankondigingen hebben gebruikt om het te dichten.

Wil je meer weten over het sluiten van CMMC 2.0 Level 2 compliancegaten terwijl beoordelingen door derden zijn gepauzeerd, plan vandaag nog een aangepaste demo.

Veelgestelde Vragen

Nee. Het Department of War heeft de vereiste voor beoordeling door derden onder Fase II opgeschort, maar de verplichtingen voor zelfevaluatie van Fase 1 blijven van kracht, en DFARS clausule 252.204-7012 vereist nog steeds wettelijk dat aannemers en onderaannemers beschermde informatie over defensie beveiligen. Het eigen bericht van het Department stelt dat de opschorting “de verplichting voor bedrijven om federale data te beschermen niet opheft.” Organisaties moeten blijven werken aan CMMC 2.0 naleving en dit niet zien als een verlichting van de onderliggende verplichting. Een risicobeoordeling uitgevoerd op het volledige NIST 800-171 controlpakket – gedocumenteerd met bewijskrachtige grondigheid vergelijkbaar met wat een C3PAO zou toepassen – is de meest verdedigbare positie tijdens de opschortingsperiode en de meest waardevolle input voor het RFI-proces van de CMMC Reform Task Force.

DoW CIO Kirsten Davies noemde een capaciteitsmismatch: meer dan 100.000 Defense Industrial Base bedrijven hadden een beoordeling door derden nodig van een C3PAO, terwijl er slechts ongeveer 100 C3PAO’s waren om deze uit te voeren, waardoor de oorspronkelijke deadline van 10 november 2026 onhaalbaar werd. Een nieuw gevormde CMMC Reform Task Force beoordeelt het programma nu gedurende 60 dagen, met een openbare Request for Information open tot 14 augustus 2026. De RFI vraagt specifiek naar de mogelijkheid om commerciële beveiligingstools te laten meetellen voor een toekomstig nalevingsframework – organisaties met bestaande tooling die aansluit op NIST 800-171 moeten de RFI zien als een directe kans om die dekking te documenteren en in te dienen voordat het commentaarvenster sluit. De NIST 800-171 compliance platformdocumentatie die de controldekking van een tool onderbouwt, is precies het soort bewijsmateriaal dat de Reform Task Force wil erkennen.

Het kan het verhogen. Nu geen C3PAO onafhankelijk de zelfverklaarde SPRS-score van een aannemer verifieert, wordt een onjuiste verklaring niet langer door een derde partij opgevangen voordat deze gevolgen heeft – het is een claim die de aannemer direct bij de federale overheid indient. De civiele boetes en de qui tam-bepaling van de False Claims Act zijn van toepassing op een valse verklaring, ongeacht of een externe assessor ooit betrokken was, dus een nauwkeurige, op bewijs gebaseerde zelfevaluatie is nu belangrijker dan ooit tijdens deze opschorting. Gegevensbeheer-documentatie die precies vastlegt welke controls zijn geïmplementeerd, op welk configuratieniveau, met welk bewijs – continu bijgehouden in plaats van vlak voor een beoordeling samengesteld – is de organisatorische praktijk die het False Claims Act-risico het meest direct beperkt in een periode zonder externe controle.

Niet automatisch. DoW heeft programmamanagers en contractmanagers opgedragen om aanbestedingen en contracten met de opgeschorte Fase II-vereisten te wijzigen, maar dat gebeurt contract voor contract op de tijdlijn van het Department. Totdat een specifiek contract of subcontract formeel is gewijzigd, blijven de bestaande CMMC Level 2-taal en alle bijbehorende DFARS flow-down verplichtingen van kracht. Supply chain risicobeheer – specifiek het bijhouden van een actuele, controleerbare status van de naleving van elke onderaannemer en de CMMC-taal van elk actief contract – maakt de vereiste audit mogelijk in dagen in plaats van weken. Organisaties zonder een gedocumenteerde compliance-inventaris van subniveaus moeten het opbouwen daarvan als onmiddellijke prioriteit behandelen, samen met de review van de contracttaal.

Gebruik het venster om technische gaten te dichten in plaats van te wachten tot Fase II wordt hervat. Dat betekent het verifiëren van SPRS-scores aan de hand van echt bewijs, het controleren van actieve contracten op niet-aangepaste CMMC Level 2-taal, het documenteren van audittrail en toegangscontrole bewijs, en het overwegen van een reactie op de RFI van DoW vóór de deadline van 14 augustus 2026. Organisaties die nu aantoonbare gereedheid opbouwen, vermijden concurrentie met de volledige achterstand van 100.000 bedrijven zodra beoordelingen door derden worden hervat. Een incident response plan dat elke NIST 800-171 IR-control koppelt aan een specifieke, geteste procedure is een bijzonder waardevol auditbewijs – het toont het soort operationele beveiligingsstatus waarnaar de “concrete cyberhygiëne”-taal van de Reform Task Force verwijst, en het is vaak het meest zichtbare gat wanneer complianceprogramma’s checklistvoltooiing boven operationele gereedheid hebben gesteld.

Aanvullende Bronnen

  • Blog Post
    CMMC-naleving voor kleine bedrijven: uitdagingen en oplossingen
  • Blog Post
    CMMC-nalevingsgids voor DIB-leveranciers
  • Blog Post
    CMMC Auditvereisten: Wat assessoren moeten zien bij het beoordelen van uw CMMC-gereedheid
  • Guide
    CMMC 2.0 Compliance Mapping voor gevoelige contentcommunicatie
  • Blog Post
    De werkelijke kosten van CMMC-naleving: waar defensie-aannemers rekening mee moeten houden in hun budget

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Table of Content
Share
Tweet
Share
Explore Kiteworks