Nu definitief: 48 CFR DFARS-regel stelt CMMC-vereisten vast voor defensie-aannemers

Nu definitief: 48 CFR DFARS-regel stelt CMMC-vereisten vast voor defensie-aannemers

De Cybersecurity Maturity Model Certification (CMMC) 2.0 is het nieuwste framework van het Amerikaanse ministerie van Defensie (DoD), ontworpen om gevoelige niet-geclassificeerde informatie binnen de Defense Industrial Base (DIB) te beschermen. Dit programma zorgt ervoor dat DoD-aannemers en onderaannemers passende cyberbeveiligingsmaatregelen implementeren om federale contractinformatie (FCI) en gecontroleerde niet-geclassificeerde informatie (CUI) te beveiligen. De primaire doelen van CMMC 2.0 zijn het versterken van de beveiligingsstatus van de DIB, het beschermen van gevoelige niet-geclassificeerde informatie tegen diefstal en spionage, en het creëren van een uniforme standaard voor cyberbeveiliging in de defensieketen.

Met de recente publicatie van 48 CFR als definitieve regel staan defensie-aannemers nu voor concrete, verhoogde vereisten voor het beschermen van gevoelige niet-geclassificeerde informatie. Deze Blog Post biedt een overzicht van deze vereisten, implementatietijdlijnen en beste practices voor naleving.

Wat zijn 48 CFR, 32 CFR en CMMC 2.0?

48 CFR – Defense Federal Acquisition Regulation Supplement (DFARS)

Titel 48 van de Code of Federal Regulations bevat de Federal Acquisition Regulations (FAR) en de bijbehorende aanvullingen, waaronder het Defense Federal Acquisition Regulation Supplement (DFARS). De recent gepubliceerde definitieve regel in 48 CFR omvat DFARS-clausule 252.204-7021, die CMMC-vereisten verplicht stelt voor defensie-aannemers. Deze clausule bepaalt dat aannemers en onderaannemers specifieke cyberbeveiligingsstandaarden moeten implementeren, afhankelijk van de gevoeligheid van de informatie die zij verwerken. De regel vereist dat defensie-aannemers het juiste CMMC-certificatieniveau behalen als voorwaarde voor het verkrijgen van contracten.

32 CFR – Nationale Defensievoorschriften

Titel 32 CFR bevat voorschriften met betrekking tot nationale defensie, waaronder Deel 170, waarin het CMMC-programma wordt vastgesteld. 32 CFR werd gepubliceerd in oktober 2024. Sectie 170.14 beschrijft specifiek het CMMC-model en geeft details over de cyberbeveiligingsvereisten per niveau. Dit regelgevend kader beschrijft hoe het DoD de naleving van informatiebeschermingsvereisten door aannemers zal beoordelen.

CMMC 2.0 – Cybersecurity Maturity Model Certification

CMMC is een uniforme standaard die is ontworpen om de bescherming van FCI en CUI binnen de DIB te versterken. Zoals uiteengezet in het DoD CMMC Model Overview document, omvat CMMC beveiligingsvereisten uit FAR-clausule 52.204-21 (Basic Safeguarding of Covered Contractor Information Systems), NIST SP 800-171 Rev 2 (Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations) en een subset van vereisten uit NIST SP 800-172 (Enhanced Security Requirements for Protecting Controlled Unclassified Information).

Wie moet CMMC 2.0-certificering behalen

Bedrijven die deel uitmaken van de defensieketen moeten CMMC-certificering behalen. CMMC-naleving, en uiteindelijk CMMC-certificering, toont aan dat een organisatie het CMMC 2.0-framework heeft nageleefd. Dit certificeringsproces is cruciaal omdat het garandeert dat bedrijven die gevoelige gegevens met betrekking tot nationale defensie verwerken, aan specifieke cyberbeveiligingsstandaarden voldoen. Door het behalen van CMMC-certificering tonen deze bedrijven hun inzet voor het waarborgen van de integriteit en vertrouwelijkheid van kritieke informatie.

Het certificeringsproces omvat een grondige beoordeling van de cyberbeveiligingspraktijken van een bedrijf, die worden gecategoriseerd in verschillende niveaus op basis van de complexiteit en gevoeligheid van de gegevens die zij verwerken. Dit bevordert niet alleen een veiligere omgeving voor federale contractinformatie en gecontroleerde niet-geclassificeerde informatie, maar speelt ook een essentiële rol in het versterken van de algehele beveiligingsinfrastructuur van het land. Het behalen van een CMMC-certificaat draait dus niet alleen om naleving; het draagt bij aan de bredere inspanning om nationale belangen te beschermen tegen cyberdreigingen en ervoor te zorgen dat tegenstanders geen kwetsbaarheden in de defensieketen kunnen uitbuiten.

CMMC 2.0-tijdlijn en implementatiefasen

De implementatie van CMMC-vereisten volgt een gefaseerde aanpak zoals beschreven in de DoD CMMC 101 Brief. Fase 1 (Initiële implementatie) start op de ingangsdatum van de 48 CFR-regel, waarbij relevante aanbestedingen Level 1 of 2 Zelfevaluatie vereisen. Fase 2 begint 12 maanden na de start van Fase 1, waarbij relevante aanbestedingen Level 2-certificering vereisen. Fase 3 begint 24 maanden na de start van Fase 1, waarbij relevante aanbestedingen Level 3-certificering vereisen. Fase 4 (Volledige implementatie) begint 36 maanden na de start van Fase 1, en alle aanbestedingen en contracten bevatten dan de toepasselijke CMMC-niveaueisen als voorwaarde voor contracttoekenning. Het is belangrijk op te merken dat het DoD in sommige aanbestedingen CMMC-vereisten mogelijk eerder kan implementeren dan gepland.

Belangrijkste componenten van het CMMC 2.0-framework

CMMC-niveaus

Het CMMC-model bestaat uit drie opeenvolgende niveaus van cyberbeveiligingsvolwassenheid. Level 1 richt zich op de bescherming van FCI en omvat 15 beveiligingsvereisten die zijn afgestemd op FAR 52.204-21, met jaarlijkse zelfevaluatie en bevestiging. Level 2 is gericht op de bescherming van CUI en omvat alle 110 beveiligingsvereisten uit NIST SP 800-171 Rev 2, met een verplichte C3PAO-certificeringsbeoordeling elke 3 jaar of zelfevaluatie elke 3 jaar voor geselecteerde programma’s, plus jaarlijkse bevestiging. Level 3 versterkt de bescherming van CUI met 134 vereisten (110 uit NIST SP 800-171 plus 24 uit NIST SP 800-172), met een verplichte DIBCAC-certificeringsbeoordeling elke 3 jaar en jaarlijkse bevestiging.

CMMC-domeinen

Het CMMC-model bestrijkt 14 domeinen die aansluiten bij de beveiligingsvereistenfamilies in NIST SP 800-171 Rev 2: Toegangscontrole (AC), Bewustzijn & Training (AT), Audittrail & Verantwoording (AU), Configuratiebeheer (CM), Identificatie & Authenticatie (IA), Reactie op incidenten (IR), Onderhoud (MA), Mediabescherming (MP), Personeelsbeveiliging (PS), Fysieke beveiliging (PE), Risicobeoordeling (RA), Beveiligingsbeoordeling (CA), Systeem- en communicatiebeveiliging (SC), en Systeem- en informatie-integriteit (SI).

CMMC-scoremethodologie

CMMC bevat een gedefinieerde scoremethodologie voor elk niveau. Level 1 vereist geen score; vereisten zijn ofwel VOLDAAN of NIET VOLDAAN. Voor Level 2 zijn beveiligingsvereisten 1, 3 of 5 punten waard met een bereik van –203 tot 110, met een minimale score van 88 om te slagen. Op Level 3 zijn alle beveiligingsvereisten 1 punt waard met een maximale score van 24, en is een vereiste Level 2-score van 110 vereist als voorwaarde.

Beveiligingsvoordelen van CMMC 2.0-implementatie

Het implementeren van CMMC biedt aanzienlijke beveiligingsvoordelen voor organisaties. Het framework biedt een uitgebreide beschermingsaanpak voor het beveiligen van gevoelige informatie door controles te adresseren over diverse cyberbeveiligingsdomeinen. Het stelt gestandaardiseerde beveiligingsbaselines vast die gelden binnen de DIB, waardoor een uniform beschermingsniveau voor DoD-informatie ontstaat. CMMC versterkt de beveiliging van de toeleveringsketen door certificering op alle niveaus van de keten te vereisen, waardoor kwetsbaarheden die via derden kunnen worden uitgebuit, worden beperkt. Door de gelaagde aanpak kunnen beveiligingsmaatregelen worden afgestemd op de gevoeligheid van de verwerkte informatie, zodat onnodige overhead wordt voorkomen voor aannemers die geen CUI verwerken. Jaarlijkse bevestigingen en periodieke beoordelingen zorgen voor continue monitoring en voortdurende naleving in plaats van momentopnames.

Risico’s voor DoD-aannemers en onderaannemers bij niet-naleving

Organisaties die niet het juiste CMMC-certificeringsniveau behalen, lopen diverse aanzienlijke risico’s. Vanuit contractueel en zakelijk perspectief kunnen aannemers zonder het vereiste CMMC-niveau geen DoD-contracten verkrijgen waarin CMMC-vereisten zijn opgenomen. Hoofdaannemers moeten ervoor zorgen dat onderaannemers aan CMMC-vereisten voldoen, waardoor zij mogelijk belangrijke leveranciers verliezen als deze niet kunnen voldoen. Naarmate CMMC volledig wordt geïmplementeerd, worden niet-gecertificeerde aannemers uitgesloten van een aanzienlijk deel van de DoD-aanbestedingen. Op het gebied van regelgeving en juridische risico’s kan niet-naleving van CMMC-vereisten in bestaande contracten leiden tot contractbeëindiging of andere sancties. Mislukte beoordelingen kunnen leiden tot formele beveiligingsbevindingen die herstel vereisen. Het niet binnen 180 dagen afronden van Actieplannen en Mijlpalen (POA&Ms) resulteert in een verlopen CMMC-status. Op het gebied van gegevensbeveiliging zijn organisaties zonder adequate cyberbeveiligingsmaatregelen vatbaarder voor datalekken die FCI en CUI treffen, en zwakke beveiligingspraktijken in de toeleveringsketen kunnen toegangspunten creëren voor kwaadwillenden die DoD-informatie willen bemachtigen.

Vereisten voor CMMC-implementatie

Organisaties die CMMC-certificering willen behalen, moeten zich voorbereiden door te bepalen welk CMMC-niveau van toepassing is op basis van het type informatie dat wordt verwerkt (FCI of CUI), het identificeren van systemen en componenten die FCI of CUI verwerken, opslaan of verzenden, het ontwikkelen van verplichte documentatie zoals Systeembeveiligingsplannen (SSP’s) en POA&Ms, en het voorbereiden op beoordeling door een C3PAO of DIBCAC voor Level 2 of 3.

Technische vereisten

De technische implementatie verschilt per CMMC-niveau, maar gemeenschappelijke vereisten zijn onder meer het implementeren van goed toegangsbeheer voor gebruikers, systemen en externe verbindingen, het toepassen van passende beveiligingsmaatregelen voor gegevens in rust en onderweg, het opzetten van systeemlogging, dreigingsdetectie en incidentresponsmogelijkheden, het onderhouden van veilige basisconfiguraties en het beheersen van wijzigingen, en het regelmatig testen en evalueren van beveiligingsmaatregelen.

Beste practices voor het implementeren en behouden van CMMC 2.0-naleving

Het implementeren en behouden van CMMC 2.0-naleving vereist een strategische aanpak en voortdurende inzet. Een van de belangrijkste beste practices is om zo vroeg mogelijk te starten met het certificeringsproces. Met de publicatie van 32 CFR en 48 CFR geldt: als uw organisatie nog niet aan de CMMC-naleving is begonnen, is het moment nu.

Wij raden aan de volgende beste practices te hanteren om zowel een soepele implementatie van de processen en procedures die vereist zijn voor CMMC-certificering te waarborgen als de CMMC-naleving te behouden zodra uw organisatie gecertificeerd is, ongeacht het CMMC-volwassenheidsniveau dat u nastreeft.

1. Betrek het leiderschap bij het CMMC-nalevingsproces

Het betrekken van het leiderschap is cruciaal voor een succesvolle CMMC-implementatie. Het verkrijgen van steun van het topmanagement zorgt ervoor dat voldoende middelen worden toegewezen aan het certificeringsproces en dat cyberbeveiliging een prioriteit wordt binnen de hele organisatie. Ondersteuning van het leiderschap draagt ook bij aan het bevorderen van een beveiligingscultuur binnen het bedrijf.

2. Beoordeel continu uw cyberbeveiligingsstatus en CMMC-naleving

Regelmatige zelfevaluaties zijn essentieel voor het behouden van CMMC-naleving. Organisaties dienen hun beveiligingsstatus voortdurend te evalueren aan de hand van de CMMC-vereisten, ook nadat certificering is behaald. Deze beoordelingen helpen verbeterpunten te identificeren en zorgen ervoor dat beveiligingsmaatregelen effectief blijven bij veranderende dreigingen.

3. Personeel opleiden in cyberbeveiligings-beste practices

Het implementeren van een robuust trainingsprogramma is een andere belangrijke beste practice. Alle medewerkers moeten worden geïnformeerd over cyberbeveiligings-beste practices en CMMC-vereisten die relevant zijn voor hun functie. Deze training moet doorlopend zijn en regelmatig worden bijgewerkt om nieuwe dreigingen en wijzigingen in het CMMC-programma te adresseren.

4. Documenteer uw CMMC-nalevingsinspanningen

Grondige documentatie is van cruciaal belang voor CMMC-naleving. Organisaties dienen gedetailleerde documentatie bij te houden van beveiligingsmaatregelen, beleid en procedures. Deze documentatie ondersteunt niet alleen het certificeringsproces, maar helpt ook bij het waarborgen van consistentie in beveiligingspraktijken binnen de organisatie.

5. Blijf op de hoogte van wijzigingen in het CMMC-framework

Op de hoogte blijven van wijzigingen en updates in het CMMC-programma is essentieel voor het behouden van naleving. Het cyberbeveiligingslandschap verandert voortdurend, en het CMMC-programma kan worden bijgewerkt om nieuwe dreigingen of vereisten te adresseren. Organisaties moeten personen aanwijzen die verantwoordelijk zijn voor het monitoren van deze wijzigingen en het aanpassen van beveiligingsmaatregelen waar nodig.

6. Maak gebruik van bestaande cyberbeveiligingsframeworks

Het benutten van bestaande cyberbeveiligingsframeworks kan het CMMC-implementatieproces stroomlijnen. Veel organisaties hebben mogelijk al maatregelen geïmplementeerd om aan andere standaarden zoals NIST SP 800-171 te voldoen. Het afstemmen van CMMC-inspanningen op deze bestaande frameworks kan dubbele inspanningen verminderen en zorgen voor een meer complete aanpak van cyberbeveiliging.

7. Schakel cyberbeveiligingsexperts in

Het inschakelen van cyberbeveiligingsexperts kan waardevolle begeleiding bieden tijdens het CMMC-implementatieproces. Dit kan inhouden dat u samenwerkt met CMMC-adviseurs of gecertificeerde derde beoordelingsorganisaties (C3PAO’s) die inzicht kunnen geven in beste practices en kunnen helpen bij het navigeren door de complexiteit van het certificeringsproces.

8. Monitor verkeer en systemen om CMMC-naleving te waarborgen

Het implementeren van continue monitoringtools en -processen is cruciaal voor het behouden van CMMC-naleving. Deze tools helpen organisaties hun beveiligingsstatus in real time te volgen, potentiële kwetsbaarheden te identificeren en snel te reageren op beveiligingsincidenten.

9. Stimuleer een beveiligingscultuur

Het bevorderen van een beveiligingscultuur is wellicht de belangrijkste beste practice voor CMMC-naleving. Dit houdt in dat alle medewerkers worden aangemoedigd om cyberbeveiliging prioriteit te geven in hun dagelijkse werkzaamheden, open communicatie over beveiligingskwesties wordt gestimuleerd, en goed beveiligingsgedrag wordt erkend en beloond.

CMMC 2.0 is er

Het Cybersecurity Maturity Model Certification-programma betekent een aanzienlijke verschuiving in hoe het Amerikaanse ministerie van Defensie de bescherming van gevoelige niet-geclassificeerde informatie binnen de toeleveringsketen waarborgt. Met de publicatie van 48 CFR als definitieve regel heeft het CMMC-programma nu een duidelijke wettelijke basis via DFARS-clausule 252.204-7021, ondersteund door de programmatische structuur in 32 CFR Part 170. Het drielaags framework biedt een schaalbare aanpak van beveiliging, met vereisten die zijn afgestemd op de gevoeligheid van de verwerkte informatie. Organisaties moeten het juiste certificeringsniveau behalen via zelfevaluatie of beoordeling door derden, afhankelijk van hun CMMC-niveau. De implementatie vindt plaats in vier fasen, met volledige implementatie vereist 36 maanden na de ingangsdatum van de regel. Ter voorbereiding dienen organisaties gap-analyses uit te voeren, uitgebreide beveiligingsdocumentatie te ontwikkelen, risicogebaseerd herstel te implementeren, verificatieprocessen in de toeleveringsketen op te zetten en continue nalevingspraktijken te onderhouden. Door de in deze gids beschreven beste practices te volgen, kunnen defensie-aannemers effectief navigeren door de CMMC-vereisten, hun geschiktheid voor DoD-contracten behouden en bijdragen aan een verbeterde beveiligingsstatus van de Defense Industrial Base.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Table of Content
Share
Tweet
Share
Explore Kiteworks