Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > CMMC-naleving > Stel een koers in voor CMMC Level 2 Compliance: Inzichten en tips van een CMMC-expert
Stel een koers in voor CMMC Level 2 Compliance: Inzichten en tips van een CMMC-expert

Stel een koers in voor CMMC Level 2 Compliance: Inzichten en tips van een CMMC-expert

by Patrick Spencer updated oktober 16, 2024 CMMC-naleving
Reading Time: 8 minutes

Op 4 november 2021 heeft het Amerikaanse Ministerie van Defensie (DoD) de bijgewerkte versie van zijn Cybersecurity Maturity Model Certification (CMMC) 2.0 gepresenteerd. Deze nieuwe versie bevat een gelaagd systeem van CMMC-certificatieniveaus dat is ontworpen om leveranciers in de Defense Industrial Base (DIB) te helpen bij het evalueren en verbeteren van hun beveiligingsstatus. Het doel is om ervoor te zorgen dat alle DoD-aannemers geschikte cyberbeveiligingsmaatregelen en -protocollen toepassen om gecontroleerde niet-geclassificeerde informatie (CUI) en federale contractinformatie (FCI) te beschermen.

Het CMMC-certificeringsproces is intensief, maar ons CMMC 2.0-nalevingsstappenplan kan helpen.

CMMC Level 2 is een cruciale mijlpaal voor defensie-aannemers. Het richt zich op een gemiddeld niveau van cyberhygiëne en vormt een logische stap voor organisaties die willen doorgroeien vanaf Level 1. Naast het beschermen van FCI en CUI, helpt Level 2-naleving organisaties zich beter te wapenen tegen ernstigere cyberdreigingen dan die op Level 1. Waar Level 1 alleen zelfattestatie vereist, vraagt Level 2 om zelfattestatie én certificering door een gecertificeerde derde beoordelingsorganisatie (C3PAO’s).

CMMC 2.0 Level 2-nalevingsvereisten

CMMC Level 2 is een tussenniveau dat bedrijven verplicht om een bepaald aantal beveiligingsmaatregelen te implementeren ter bescherming van CUI. De naleving van CMMC Level 2 wordt beoordeeld op basis van 110 praktijken verdeeld over 14 domeinen die een breed scala aan beveiligingsmaatregelen omvatten.

De eerste set vereisten valt onder het domein Toegangscontrole. Organisaties moeten systeemtoegangsvereisten vaststellen, interne systeemtoegang beheren, gegevens alleen toegankelijk maken voor geautoriseerde gebruikers en voorkomen dat niet-geprivilegieerde gebruikers mogelijk schadelijke functies uitvoeren.

Vervolgens komt Audit en Verantwoording, waarbij bedrijven auditvereisten moeten definiëren, systeemlogs moeten aanmaken en bewaren, en regelmatig auditlogs moeten beoordelen en bijwerken. Daarnaast moeten er processen zijn om auditinformatie en -tools te beschermen tegen ongeautoriseerde toegang, en om tekortkomingen te melden en aan te pakken.

Het domein Configuratiebeheer vereist dat een organisatie beveiligingsconfiguraties instelt en afdwingt voor alle gekoppelde informatiesystemen. Dit houdt in dat wijzigingen aan het systeem worden gevolgd, beheerd en correct uitgevoerd, het gebruik van ongeautoriseerde software wordt voorkomen en alleen geautoriseerd personeel toegang krijgt tot tools voor configuratiewijzigingen.

Identificatie en Authenticatie is een ander belangrijk domein. Dit vereist dat organisaties gebruikers van informatiesystemen en processen die namens gebruikers handelen identificeren en hun identiteit verifiëren voordat een sessie wordt gestart – dit kan via multi-factor authentication of door het afdwingen van versleutelde sessie-identificatie.

In het domein Incidentrespons moeten organisaties een operationele incidentafhandelingscapaciteit opzetten, incidenten volgen, documenteren en rapporteren aan de juiste organisaties en incidentrespons en escalatie grondig analyseren.

Onderhoud en Mediabescherming zijn ook belangrijke domeinen binnen de CMMC Level 2-vereisten. Regelmatig systeemonderhoud, tijdig herstel van kwetsbaarheden, inspectie van tools, bescherming en sanering van digitale media, het beheren van toegang tot en markeren van media zijn allemaal essentieel voor naleving.

Andere domeinen zoals Personeelsbeveiliging, Fysieke Bescherming, Risicobeoordeling, Beveiligingsbeoordeling, Systeem- en Communicatiebescherming, Systeem- en Informatiebeschikbaarheid, Herstel, Situationeel Bewustzijn, Asset Management, Cybersecurity Governance en Risicobeheer toeleveringsketen hebben elk hun eigen specifieke vereisten. Deze kunnen variëren van het uitvoeren van personeelsscreening, fysiek monitoren en beheren van toegangspunten, het uitvoeren van regelmatige risicobeoordelingen, het ontwikkelen en implementeren van herstel- en continuïteitsplannen tot het beheren van risico’s in de toeleveringsketen.

Er zijn in totaal 14 domeinen binnen het CMMC 2.0-framework. Elk domein heeft specifieke vereisten waaraan defensie-aannemers moeten voldoen om CMMC-naleving aan te tonen. We raden aan om elk domein in detail te verkennen, hun vereisten te begrijpen en onze beste practices voor naleving te overwegen: Toegangscontrole, Bewustwording en Training, Audit en Verantwoording, Configuratiebeheer, Identificatie & Authenticatie, Incidentrespons, Onderhoud, Mediabescherming, Personeelsbeveiliging, Fysieke Bescherming, Risicobeoordeling, Beveiligingsbeoordeling, Systeem- & Communicatiebescherming en Systeem- en Informatiebeschikbaarheid.

Van organisaties wordt ook verwacht dat ze een plan opstellen en onderhouden dat het beheer van activiteiten voor de implementatie van praktijken aantoont. Het plan beschrijft de missie, doelen, projectplannen, middelen, training en belanghebbenden om Level 2-naleving te bereiken.

In totaal bieden de CMMC Level 2-vereisten een uitgebreid pakket aan beveiligingspraktijken. Het bewaart het evenwicht tussen uitgebreide beveiligingsmaatregelen en praktische haalbaarheid voor organisaties, zodat CUI effectief wordt beschermd zonder grote operationele verstoringen te veroorzaken. Naleving van deze standaarden lijkt misschien complex, maar leidt uiteindelijk tot een hogere cybersecurity-volwassenheid, minder kwetsbaarheden en minder potentiële risico’s.

CMMC 2.0 Level 2-naleving behalen

Het traject naar CMMC 2.0 Level 2-naleving begint met het begrijpen van de specifieke vereisten van dit certificeringsniveau. Vervolgens wordt een gap-analyse uitgevoerd om zwakke plekken in de huidige beveiligingspraktijken te identificeren die verbetering behoeven. Daarna moeten herstelmaatregelen worden genomen om deze zwaktes aan te pakken en de beveiligingsstatus te verbeteren. Het is ideaal om samen te werken met ervaren cybersecurity-professionals die uw organisatie door het proces kunnen begeleiden.

Voorbereiding op CMMC 2.0 Level 2-naleving

Goede voorbereiding is essentieel bij het streven naar CMMC 2.0 Level 2-naleving. Dit omvat het verbeteren van cybersecurity-training voor medewerkers, het versterken van beveiligingsbeleid en het opzetten van een proactief systeem voor detectie en reactie op cyberdreigingen. Bovendien is het cruciaal om alle processen en praktijken te documenteren als bewijs van naleving.

In een recente Kitecast-aflevering schetst Michael Redman, Senior Associate bij Schellman en CMMC-trainer en -expert, een succesvol stappenplan naar CMMC Level 2-naleving waar DoD-aannemers en onderaannemers van kunnen profiteren, en onthult inzichten en tips die het certificeringsproces kunnen versnellen.

Neemt de Defense Industrial Base CMMC Level 2-naleving serieus?

De vraag in hoeverre de Defense Industrial Base CMMC Level 2-naleving serieus neemt, is veelzijdig. Het antwoord hangt grotendeels af van het type deelnemer en hun betrokkenheid. Redman geeft aan dat de meeste DIB-deelnemers CMMC 2.0 zeer serieus nemen, maar dat sommigen achterlopen met het opstellen van een stappenplan voor certificering. Dit creëert potentiële risico’s in de DoD-toeleveringsketen.

Redman merkt op dat grote, middelgrote en kleine bedrijven die als aannemer of onderaannemer voor het DoD werken, allemaal de nodige stappen zetten om CMMC-naleving te bereiken. Velen zijn zelfs al begonnen voordat CMMC officieel in de wet werd vastgelegd. Level 1 vereist alleen zelfattestatie, terwijl Level 2 zelfattestatie plus certificering door een goedgekeurde derde partij vereist. 

Voor Level 2 CMMC-certificering benaderen deelnemers in de DoD-toeleveringsketen de regelgeving met verschillende niveaus van betrokkenheid. Sommigen wachten af “waar de wind vandaan komt”, terwijl anderen zich laten leiden door het DoD’s Office of the CIO en het Ministerie van Justitie, die CMMC actief promoten.

Helaas zijn sommige deelnemers zich nog niet bewust van het belang van CMMC-naleving. Deze deelnemers hebben de meeste informatie nodig, omdat ze overspoeld zijn met verschillende en vaak tegenstrijdige meningen en adviezen, waardoor ze verward en ongemotiveerd zijn. Voor degenen in de DIB die zich overweldigd voelen, is het belangrijk te onthouden dat CMMC blijft bestaan en uiteindelijk wettelijk wordt vastgelegd. Het is daarom essentieel om de juiste adviseurs en C3PAO’s te vinden die hen in de juiste richting kunnen begeleiden.

CMMC is een langetermijninvestering die de DIB tal van voordelen biedt. Van een verhoogde ROI tot hogere beveiligingsstandaarden en betere beoordelingsmogelijkheden, de potentiële voordelen zijn enorm. De uitdaging is om deelnemers te stimuleren het belang van het programma te begrijpen en de nodige stappen te zetten, ongeacht de omvang en het type bedrijf, om naleving te waarborgen.

De uitdaging van CMMC-zelfevaluatie

Het DoD vereist de implementatie van CMMC voor zijn leveranciers. Level 1 en Level 2-naleving vereisen dat DoD-leveranciers zelf de volwassenheid van hun beveiligingspraktijken beoordelen op basis van de controles die bij elk niveau horen. Level 2 vereist daarnaast certificering door een derde partij.

Hoewel CMMC-zelfevaluatie uitdagingen met zich meebrengt, kan inzicht hierin leiden tot effectievere nalevingsstrategieën. De eerste uitdaging is het afstemmen van de zelfevaluaties van bedrijven op de verwachtingen van het DoD. Hoewel 71% van de organisaties denkt te voldoen aan de Level 2-praktijkvereisten, bleek uit een onderzoek van het DoD dat slechts 29% daadwerkelijk compliant is. Dit betekent dat organisaties hun eigen naleving niet accuraat meten en zich daardoor onvoldoende kunnen voorbereiden op hun CMMC-beoordeling.

De tweede uitdaging van CMMC-zelfevaluatie is de taal van de standaarden. Veel van de controles zijn zo geformuleerd dat ze op verschillende manieren kunnen worden geïnterpreteerd. Door deze vage taal kan een CEO denken dat zijn organisatie compliant is op basis van zijn eigen definitie van het woord “geïmplementeerd”, terwijl er in werkelijkheid veel meer nodig is voor naleving. Dit kan ertoe leiden dat organisaties te zelfverzekerd zijn over hun nalevingsniveau, terwijl ze in werkelijkheid niet compliant zijn, wat leidt tot ondermaatse beoordelingen door het DoD.

Het is essentieel dat organisaties het zelfevaluatieproces serieus nemen en de verwachtingen van het DoD begrijpen om succesvol te zijn in hun CMMC-beoordeling. Organisaties moeten duidelijkheid krijgen over de definities van de nalevingsvereisten en bereid zijn volledige naleving aan te tonen om te slagen voor de DoD-beoordeling. Alleen door grondig inzicht in de vereisten en een nauwkeurige zelfevaluatie kunnen bedrijven de kloof tussen zelfevaluatie en DoD-beoordeling overbruggen.

Inzicht in de gefaseerde implementatie van CMMC 2.0

Het DoD heeft CMMC 2.0 geïmplementeerd en is direct overgegaan naar de CMMC Final Rule, die nu van kracht is.

Hoewel de opstartperiode naar verwachting minstens acht maanden zal duren, moeten organisaties die hun CMMC-certificering nog niet hebben behaald, toch voldoen aan de eisen van 2.0. Het DoD kan en zal willekeurige audits uitvoeren om te controleren of deze organisaties voldoen aan de noodzakelijke standaarden. Het is belangrijk dat bedrijven begrijpen dat de federale overheid hier serieus mee omgaat en dat organisaties die niet aan de vereisten voldoen, het risico lopen dat hun contracten worden stopgezet.

De rol van C3PAO’s in het CMMC-certificeringsproces

De CMMC is ontworpen om FCI en CUI te beschermen tegen cyberaanvallen. De introductie van de CMMC heeft ook geleid tot de oprichting van CMMC Organisaties van derde beoordelaars (C3PAO’s), onder toezicht van de CMMC Accreditation Body (CMMC-AB).

C3PAO’s zijn verantwoordelijk voor het waarborgen dat DoD-aannemers en onderaannemers voldoen aan de CMMC-vereisten. C3PAO’s voeren onafhankelijke inspecties, beoordelingen en aanbevelingen uit, waarmee het DoD kan bepalen of een leverancier de noodzakelijke beveiligingsmaatregelen heeft getroffen.

C3PAO’s helpen het DoD te waarborgen dat het informatiesysteem van de aannemer veilig is en dat de aannemer voldoet aan de CMMC-praktijkvereisten. Daarnaast bieden C3PAO’s het DoD begeleiding bij de implementatie van de CMMC en verifiëren ze dat de beveiligingspraktijken voldoen aan de National Institute of Standards and Technology (NIST) 800-171-standaarden—die worden weerspiegeld in CMMC Level 2.

Houd rekening met de kosten van CMMC 2.0 Level 2-naleving

De kosten voor het behalen van CMMC 2.0 Level 2-naleving kunnen vaak ontmoedigend lijken, vooral voor kleine tot middelgrote bedrijven. Toch moet deze investering niet worden gezien als een onnodige uitgave, maar als een cruciale stap om de gegevensbeveiliging van uw organisatie te waarborgen. Het is belangrijk te onthouden dat de kosten sterk variëren, afhankelijk van diverse factoren, waaronder de omvang van uw organisatie, de complexiteit van uw informatiesystemen en de huidige staat van uw beveiligingsinfrastructuur.

Het eerste grote kostenelement van CMMC 2.0 Level 2-naleving betreft de voorbereiding. In eerste instantie moeten organisaties mogelijk investeren in beveiligingsbeoordelingen om huidige kwetsbaarheden en gaten in hun systemen te identificeren. Dit proces helpt echter om een duidelijk stappenplan voor noodzakelijke verbeteringen op te stellen.

Het tweede substantiële kostenonderdeel betreft het implementeren van de vereiste beveiligingsmaatregelen en oplossingen. Dit omvat de aanschaf, installatie en het onderhoud van benodigde hardware en software. Het kan ook noodzakelijk zijn om beveiligingspersoneel aan te nemen of diensten uit te besteden aan cybersecurity-bedrijven.

Tot slot is het derde aanzienlijke kostenonderdeel het certificeringsproces zelf, waarbij een gecertificeerde derde beoordelingsorganisatie (C3PAO) wordt ingehuurd om uw naleving te auditen en te bevestigen.

Opnieuw: de kosten van naleving van CMMC 2.0 Level 2 kunnen sterk verschillen per organisatie op basis van hun specifieke situatie. Het is daarom raadzaam om vooraf een grondige kosten-batenanalyse uit te voeren voordat u aan dit traject begint. Toch zijn de kosten gerechtvaardigd, gezien de mogelijke negatieve gevolgen van niet-naleving, zoals aanzienlijke boetes of het verlies van zakelijke kansen door afgenomen vertrouwen van klanten en partners.

Al met al, hoewel het behalen van CMMC 2.0 Level 2-naleving financiële uitdagingen met zich meebrengt, is het een essentiële investering in de toekomstige cyberveiligheid van uw organisatie. Door uw systemen en gegevens te beschermen tegen potentiële dreigingen, beschermt u indirect ook de reputatie van uw bedrijf en waarborgt u de groei op de lange termijn.

Wilt u meer weten over de kosten die nodig zijn voor CMMC-naleving? Bekijk dan: The True Cost of CMMC Compliance: What Defense Contractors Need to Budget For

Kiteworks versnelt CMMC 2.0 Level 2-naleving

Kiteworks’ Private Data Network is ontworpen om CMMC 2.0 Level 2-naleving te vereenvoudigen door ongeveer 90% van de vereiste praktijken te ondersteunen, waarmee het zich onderscheidt als leider in communicatie van gevoelige content. Een van de redenen voor de leidende positie van Kiteworks op het gebied van CMMC is het feit dat het Private Data Network FedRAMP Authorized is tot Moderate Level Impact, al meerdere jaren op rij. Daarnaast voldoet het aan andere industriestandaarden zoals FIPS 140-2, ISO 27001, 27017, 27018, SOC 2 en meer.

En met een hardened virtual appliance die het Kiteworks Private Content Network omhult, blijven bestand- en e-mailcommunicatie voor publieke en private organisaties—zowel intern als met derden—privé en vertrouwelijk.

Wilt u weten hoe Kiteworks uw organisatie kan helpen CMMC-naleving te versnellen? Plan dan vandaag nog een aangepaste demo in.

Veelgestelde vragen

CMMC 2.0 is een update van de Cybersecurity Maturity Model Certification (CMMC), die oorspronkelijk in januari 2021 werd uitgebracht. Het is de methode van het Amerikaanse ministerie van Defensie (DoD) om organisaties in de toeleveringsketen van het DoD te verplichten federale contractinformatie (FCI) en gecontroleerde niet-geclassificeerde informatie (CUI) te beschermen op het juiste, vastgestelde niveau (er zijn drie niveaus in CMMC 2.0). CMMC 2.0 is een herstructurering van de volwassenheidsniveaus van CMMC door twee van de oorspronkelijke vijf ratings te schrappen, verbeterde beoordelingsprotocollen die de kosten voor aannemers verlagen, en de introductie van een flexibelere route naar certificering via Actieplannen en mijlpalen (POA&M’s).

Naleving van NIST-normen wordt contractueel verplicht gesteld via het opnemen van clausules zoals FAR 52.204-21 en DFARS 252.204-7012. CMMC-vereisten leiden tot een zelfevaluatie door de aannemer, of een beoordeling door een CMMC Organisatie van derde beoordelaars (C3PAO), om te bepalen of aan de toepasselijke NIST-norm (zoals geïdentificeerd door de DFARS-clausule) is voldaan. Onder CMMC 2.0 wordt een Level 2-beoordeling uitgevoerd op basis van de NIST SP 800-171-norm en een Level 3-beoordeling is gebaseerd op een subset van de vereiste uit NIST SP 800-172.

Een CMMC C3PAO is een CMMC Organisatie van derde beoordelaars (C3PAO) die is geautoriseerd en gecertificeerd door de CMMC Accreditation Body (CMMC-AB) om beoordelingen uit te voeren bij aannemers en onderaannemers die certificering willen verkrijgen om naleving van de CMMC-standaard aan te tonen. C3PAO’s zijn belast met het beoordelen en certificeren dat bedrijven in de toeleveringsketen van de defensie-industrie (DIB) voldoen aan de cybersecurityvereisten van de CMMC-standaard. Hun verantwoordelijkheden omvatten het evalueren en uitgeven van certificaten van naleving van de CMMC-standaard. De C3PAO moet de audit- en zelfevaluatierapporten van de aannemer of onderaannemer beoordelen en certificeren op basis van het Cybersecurity Maturity Model van het DoD. De C3PAO moet ook in staat zijn om waar nodig corrigerende maatregelen aan te bevelen en te implementeren.

CMMC 2.0 is van toepassing op alle derden binnen de defensietoeleveringsketen, waaronder aannemers, leveranciers en alle andere gecontracteerde derden die betrokken zijn bij de ondersteuning van het ministerie van Defensie (DoD). Alle civiele organisaties die zaken doen met het DoD moeten voldoen aan CMMC 2.0, afhankelijk van het type CUI en FCI dat zij verwerken en uitwisselen. De lijst met entiteiten omvat:

  • DoD-defensiehoofdaannemers
  • DoD-onderaannemers
  • Leveranciers op alle niveaus in de DIB
  • Kleine leveranciers van het DoD
  • Commerciële leveranciers die CUI verwerken, behandelen of opslaan
  • Buitenlandse leveranciers
  • Teamleden van DoD-aannemers die CUI behandelen, zoals IT managed service providers

Volgens Kiteworks biedt samenwerking met een CMMC Organisatie van derde beoordelaars (C3PAO) diverse voordelen voor organisaties die certificering onder CMMC 2.0-normen nastreven:

  • Expertise: Een gecertificeerde externe beoordelaar heeft uitgebreide ervaring met het beoordelen van cybersecurityprogramma’s in diverse sectoren en kan waardevol inzicht bieden in beste practices om naleving van CMMC 2.0-normen te bereiken.
  • Objectiviteit: Een onafhankelijke externe beoordelaar biedt onbevooroordeelde feedback over de beveiligingsstatus van een organisatie, wat kan helpen om gebieden te identificeren waar verbetering nodig is.
  • Kostenbesparing: Samenwerken met een gecertificeerde externe beoordelaar kan tijd en geld besparen in vergelijking met het inhuren van intern personeel of adviseurs die mogelijk niet over de juiste expertise beschikken voor het beoordelen van cybersecurityprogramma’s.
  • Efficiëntie: Een gecertificeerde externe beoordelaar kan snel beveiligingsgaten in de beveiligingsstatus van een organisatie identificeren, waardoor de voorbereidingstijd voor certificering wordt verkort.
  • Gemoedsrust: Het laten beoordelen van het cybersecurityprogramma van een DoD-leverancier door een onafhankelijke externe beoordelaar biedt gemoedsrust en verzekert organisaties ervan dat zij alle noodzakelijke stappen hebben genomen om naleving van CMMC 2.0-normen te bereiken.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks