CMMC 2.0 – Wat in het VK gevestigde DOD-aannemers moeten weten
Als een in het VK gevestigde aannemer of onderaannemer vormt u een cruciale schakel in de toeleveringsketen van het Amerikaanse ministerie van Defensie (DOD). CMMC, het Cybersecurity Maturity Model Certification-programma, is ontworpen om deze toeleveringsketen te versterken en de informatie te beschermen die de DOD in staat stelt haar militaire operaties uit te voeren.
De Industriële defensiebasis (DIB) is “een doelwit van steeds frequentere en complexere cyberaanvallen“. Om gevoelige Amerikaanse beveiligingsinformatie te beschermen, heeft het DOD haar CMMC-programma vernieuwd met cybersecurity-standaarden die zijn ontworpen om deze evoluerende dreigingen het hoofd te bieden.
In deze Blog Post verkennen we CMMC 2.0 Level 2, volgen we de ontwikkeling ervan en vatten we samen wat aannemers moeten weten om CMMC 2.0-compliant te worden.
CMMC 2.0 Compliance Stappenplan voor DoD Aannemers
Lees nu
Achtergrond van het CMMC-programma
De oorspronkelijke visie en basiskenmerken van het CMMC-programma werden in september 2020 geïntroduceerd via een tussentijdse regel in de DFARS in het Federal Register. Het schetste een raamwerk met een gelaagd model, beoordelingen en implementatie voor aannemers. In het jaar daarna verzamelde het DOD feedback van cybersecurity- en inkoopleiders binnen het DOD, evenals publieke reacties, om het beleid verder te verfijnen.
Dit resulteerde in CMMC 2.0, de tweede versie van het programma, die in 2021 werd uitgebracht en naar verwachting in 2025 wordt gehandhaafd.
CMMC 1.0 vs CMMC 2.0
Zowel CMMC 1.0 als 2.0 zijn ontworpen om controlled unclassified information (CUI) en federal contract information (FCI) binnen de DIB te beschermen.
CMMC is het raamwerk dat de cybersecurity-vereiste beschrijft waarop het DOD aannemers zal beoordelen en certificeren. Elke organisatie die niet aan deze vereiste voldoet, kan vanaf 2025 niet meer met het DOD samenwerken.
Op basis van de feedback is CMMC 1.0 vervangen door CMMC 2.0 om de volgende doelen te bereiken:
- De kosten van het voldoen aan CMMC-vereiste verlagen
- Het vertrouwen in het CMMC-beoordelingsecosysteem vergroten
- CMMC-vereiste afstemmen op andere federale vereiste en gangbare standaarden
Deze updates hebben het CMMC-model gestroomlijnd, extra duidelijkheid geboden en de regeldruk verminderd, zodat het voor aannemers eenvoudiger wordt om aan de vereiste te voldoen.
Enkele van de belangrijkste verschillen hebben betrekking op:
Maturiteitsniveaus
CMMC 1.0 kende 5 maturiteitsniveaus, wat is teruggebracht naar 3 onder CMMC 2.0, waarbij niveaus 2 en 4 zijn verwijderd.
- Level 1: Foundationeel blijft ongewijzigd. Het vereist een jaarlijkse zelfevaluatie met attestatie van een directielid. Het omvat ook de FCI-beveiligingsvereiste uit FAR Clause 52.204-21.
- Level 2: Geavanceerd heeft het vorige Level 3 opnieuw ingedeeld om aan te sluiten bij de 14 domeinen die overeenkomen met de families zoals gespecificeerd in NIST SP 800-171. Het vereist driejaarlijkse beoordelingen door derden voor aannemers die kritieke nationale beveiligingsinformatie verzenden, delen, ontvangen en opslaan.
- Level 3: Expert combineert de vorige Levels 4 en 5. Het is gericht op aansluiting bij NIST SP 800-172 en zal driejaarlijkse door de overheid geleide beoordelingen vereisen, maar is nog in ontwikkeling.
Domeinstructuren
De domeinstructuren van CMMC 2.0 zijn veel uitgebreider dan die in het CMMC 1.0-model. Deze extra domeinen sluiten beter aan bij de dagelijkse werkzaamheden van aannemers en zijn gericht op meer zekerheid over de beveiliging van assets.
Derdepartijbeoordelaars
CMMC 2.0 heeft derdepartijbeoordelaars geïntroduceerd om te certificeren dat DIB-toeleveringsketenaannemers voldoen aan de vereiste standaarden. C3PAO’s zijn verantwoordelijk voor het beoordelen en uitgeven van certificaten op Level 2.
Figuur 1: Bron: US Department of Defense
Hoe wordt u CMMC 2.0-compliant
Aannemers en onderaannemers die momenteel met het DOD werken of van plan zijn dat te doen, moeten in 2025 aantonen dat ze voldoen aan CMMC 2.0.
De vereiste voor CMMC 2.0-compliance op Level 1 en 2 vallen onder 14 verschillende domeinen en bestaan uit in totaal meer dan 110 controls (d.w.z. vereiste) verdeeld over deze domeinen.
CMMC 2.0 compliance-domeinen:
- Toegangsbeheer
- Audit en verantwoording
- Bewustwording en training
- Configuratiebeheer
- Identificatie en authenticatie
- Reactie op incidenten
- Onderhoud
- Bescherming van media
- Fysieke beveiliging
- Personeelsbeveiliging
- Risicobeoordeling
- Beveiligingsbeoordeling
- Systeem- en communicatiebeveiliging
- Systeem- en informatie-integriteit
Ontvang hier een checklist voor CMMC-compliance
Allereerst moeten organisaties bepalen onder welke laag ze vallen, zodat ze gepast kunnen handelen.
Diverse maturiteitsniveaus vereisen verschillende acties voor compliance. Bijvoorbeeld, als uw offerte of contract inhoudt dat u CUI, controlled technical information (CTI) of ITAR/export-gecontroleerde data verwerkt, valt u onder de criteria van Level 2.
Lees onze gids voor Level 2-compliance
Vervolgens dienen organisaties deze stappen te volgen ter voorbereiding:
-
✓ Voer een risicoself-assessment uit
✓ Evalueer en benut bestaande NIST-raamwerken
✓ Stel een POA&M en SSP op
✓ Selecteer een C3PAO
✓ Stel een tijdlijn en budget vast
✓ Implementeer op maat gemaakte beveiligingsmaatregelen
✓ Stel een incident response plan op
✓ Monitor de prestaties van beveiligingsmaatregelen en identificeer problemen
✓ Documenteer compliant acties
Hoe Kiteworks CMMC 2.0-compliance ondersteunt
Kiteworks is een beveiligd contentcommunicatieplatform dat bijna 90% van de Level 2-vereiste direct ondersteunt. Het platform is een FedRAMP Matige Autorisatie Private Content Network (PCN) dat defensie-aannemers helpt om het delen van gevoelige data intern en extern te controleren, te volgen en te beveiligen.
Met diverse geavanceerde beveiligingsmogelijkheden, van next-generation digital rights management (DRM) tot beheerde bestandsoverdracht, helpt Kiteworks u te voldoen aan CMMC 2.0 en beheert het tegelijkertijd communicatierisico’s die kunnen ontstaan binnen uw eigen toeleveringsketen en onderaannemers.
Wilt u zeker weten dat u klaar bent voor CMMC 2.0? Lees meer over hoe u CMMC-compliance risico’s kunt beperken binnen uw organisatie en uw toeleveringsketen.
Veelgestelde vragen
Voldoen aan NIST-standaarden is geïntegreerd in de CMMC 2.0-vereiste. CMMC sluit aan bij clausules zoals FAR 52.204-21 en vult clausules aan zoals DFARS 252.204-7012. Afhankelijk van hun Level voeren aannemers een zelfbeoordeling of een beoordeling door derden uit om te bepalen of aan de relevante NIST-standaard is voldaan.
Onder CMMC 2.0 wordt een Level 2-beoordeling uitgevoerd op basis van de NIST SP 800-171-standaard.
Een CMMC C3PAO is een CMMC Organisatie van derde beoordelaars (C3PAO) die is gecertificeerd door het CMMC Accreditation Body (CMMC-AB). Een C3PAO beoordeelt aannemers en onderaannemers om te bepalen of zij voldoen aan de CMMC-standaarden en verstrekt de certificering.
Hun verantwoordelijkheden omvatten het evalueren van beoordelingen, het uitgeven van certificaten van naleving en het aanbevelen van corrigerende maatregelen indien nodig. De C3PAO moet de audit- en zelfbeoordelingsrapporten van de aannemer of onderaannemer beoordelen en certificeren op basis van het Cybersecurity Maturity Model van het DOD.
Samenwerken met een CMMC Organisatie van derde beoordelaars (C3PAO) biedt diverse voordelen voor aannemers die certificering zoeken onder de CMMC 2.0-standaarden:
Expertise: een gecertificeerde derde beoordelaar heeft uitgebreide ervaring met het beoordelen van cybersecurity-programma’s in diverse sectoren en kan waardevol inzicht geven in beste practices voor het behalen van compliance met CMMC 2.0-standaarden.
Objectiviteit: een onafhankelijke derde beoordelaar biedt onbevooroordeelde feedback over de beveiligingsstatus van een aannemer en geeft praktische aanbevelingen om te helpen voldoen.
Kostenbesparing: samenwerken met een gecertificeerde derde beoordelaar kan tijd en geld besparen ten opzichte van het inhuren van intern personeel of adviseurs die mogelijk niet over de juiste expertise beschikken.
Efficiëntie: een gecertificeerde derde beoordelaar kan snel beveiligingsgaten in de beveiligingsstatus van een organisatie identificeren, waardoor tijdige compliance voor 2025 mogelijk is.
Gemoedsrust: een onafhankelijke derde beoordelaar die het cybersecurity-programma van een DOD-leverancier beoordeelt, biedt gemoedsrust en verzekert dat organisaties alle noodzakelijke stappen hebben gezet richting compliance met CMMC 2.0-standaarden.
Naleving van regelgeving verwijst naar het voldoen aan wetten, regels, richtlijnen en specificaties die relevant zijn voor de bedrijfsprocessen van een organisatie. Compliance is cruciaal voor het behouden van de reputatie van het bedrijf, het vermijden van juridische sancties en het waarborgen van de veiligheid en beveiliging van operaties.
Beveiligde data-communicatiefuncties spelen een cruciale rol bij naleving van regelgeving, omdat ze helpen gevoelige data te beschermen tegen ongeautoriseerde toegang. Ze stellen defensie-aannemers in staat gevoelige inhoud intern en door de hele toeleveringsketen te delen via e-mail, bestandsoverdracht, file transfer en andere kanalen, met het hoogste niveau van beveiliging, toegangsbeheer en verantwoording.
Functies die CMMC 2.0 ondersteunen zijn onder andere:
- Beveiligde bestandsoverdracht
- End-to-end e-mailencryptie
- Beveiligd file transfer protocol (SFTP)
- Beheerde bestandsoverdracht (MFT)
- Digital rights management (DRM)
- Toegangsbeheer
- Geïntegreerde logging en rapportage
- Audittrail