Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > CMMC-naleving > CMMC-nalevingschecklist: CMMC 2.0-vereisten beheersen

CMMC-nalevingschecklist: CMMC 2.0-vereisten beheersen

by Mustafa Kazi updated juli 11, 2025 CMMC-naleving
Reading Time: 17 minutes

Gezien de complexiteit van het Cybersecurity Maturity Model Certification (CMMC)-raamwerk is het essentieel voor overheidscontractanten en onderaannemers om een uitgebreide CMMC-nalevingschecklist te hebben, zodat ze aan alle vereisten voldoen.

Het CMMC-certificeringsproces is zwaar, maar ons CMMC 2.0 stappenplan kan helpen.

Deze Blog Post behandelt de CMMC-nalevingsvereisten voor het CMMC 2.0-raamwerk, biedt een uitgebreide CMMC-nalevingschecklist en geeft defensie-aannemers van het Department of Defense (DoD) praktische inzichten in hoe zij CMMC-naleving kunnen bereiken.

Wat is CMMC-naleving?

CMMC is een cybersecurityraamwerk dat producenten reguleert die actief zijn als aannemer in de Industriële Defensiebasis (Defense Industrial Base), een uitgebreide lijst van DoD-toeleveringsketenpartners. Elke aannemer of onderaannemer die gecontroleerde, niet-geclassificeerde informatie (CUI) of federale contractinformatie (FCI) verwerkt, verzendt, deelt of ontvangt, moet aantonen dat hij voldoet aan de CMMC.

Het doel van het CMMC-raamwerk is om uiteenlopende vereisten en standaarden, gecombineerd met diverse modellen voor zelfevaluatie en attestatie, te bundelen tot betrouwbare, grondige en robuuste beveiligingspraktijken waarmee elk bedrijf zich kan aligneren.

De onderdelen van CMMC die het onderscheiden van andere federale overheidsregelingen, zoals de International Traffic in Arms Regulations (ITAR), de Federal Information Security Management Act (FISMA) of het Federal Risk and Authorization Management Program (FedRAMP), zijn onder andere:

  • Controlled Unclassified Information (CUI) en Federal Contract Information (FCI): CMMC dekt expliciet de opslag, verwerking, overdracht en vernietiging van CUI. CUI is een unieke vorm van data die niet onder de Secret-classificatie valt, maar wel speciale bescherming vereist om de nationale veiligheid te waarborgen. Voorbeelden van CUI zijn financiële informatie gerelateerd aan overheidscontracten, persoonlijk identificeerbare of beschermde gezondheidsinformatie (PII/PHI) van overheidsmedewerkers, of gevoelige technische data over defensiesystemen.

    FCI is een minder gevoelige vorm van informatie die betrekking heeft op contractuele relaties tussen aannemers en overheidsinstanties. CMMC is ontworpen om beide gevallen te behandelen.

  • NIST-standaarden: CMMC, net als andere federale cybersecurityraamwerken, is gebaseerd op standaarden die zijn opgesteld en onderhouden door het National Institute of Standards and Technology (NIST). Specifiek vertrouwt CMMC op NIST 800-171, “Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations”.

    Bovendien is Level 3 van CMMC-naleving gebaseerd op NIST SP 800-172, “Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171”.

  • Maturity Levels: Om defensie-aannemers en overheidsinstanties te helpen afstemmen op het vereiste beveiligingsniveau voor samenwerking, verdeelt CMMC de naleving in drie maturity levels, gebaseerd op de implementatie van NIST SP 800-171 (en mogelijk SP 800-172) controls door de aannemer.
  • Third-party Assessments: Net als bij FedRAMP vertrouwt CMMC op beoordelingen door derden, uitgevoerd door Certified Third Party Assessor Organizations (C3PAO’s) zoals vermeld hier.

Belangrijkste inzichten

  1. Gestroomlijnde maturity levels

    Het CMMC 2.0-raamwerk bevat slechts drie maturity levels: Foundational (Level 1), Advanced (Level 2) en Expert (Level 3). Deze reductie is bedoeld om de structuur van vereisten voor defensie-aannemers en onderaannemers te vereenvoudigen.

  2. Afstemming op NIST-standaarden

    CMMC 2.0 legt meer nadruk op afstemming met bestaande NIST-standaarden. Level 2-naleving is specifiek afgestemd op NIST SP 800-171, terwijl Level 3 elementen van NIST SP 800-172 bevat, met als doel meer consistentie met gevestigde cybersecurityraamwerken.

  3. Zelfevaluaties en beoordelingen door derden

    Defensie-aannemers die Federal Contract Information (FCI) op Level 1 verwerken, kunnen jaarlijkse zelfevaluaties uitvoeren, waardoor certificering door derden niet nodig is. Level 2 vereist echter een mix van zelfevaluaties en beoordelingen door derden, afhankelijk van het type gecontroleerde niet-geclassificeerde informatie (CUI) dat wordt verwerkt.

  4. Nalevingschecklist

    Bepaal het gewenste maturity level, voer een zelfevaluatie uit, maak gebruik van bestaande raamwerken, stel een POA&M en SSP op, kies een C3PAO en stel een tijdlijn en budget vast.

Wanneer is CMMC-naleving vereist?

De vereiste om CMMC-naleving te behalen hangt samen met het gefaseerde implementatieschema van het Department of Defense, dat begon na publicatie van de definitieve regel die invloed heeft op Title 32 en Title 48 van de Code of Federal Regulations (CFR). Terwijl de CFR CMMC-regel de wettelijke basis van het programma vastlegde (meestal van kracht begin 2025 of zoals gespecificeerd), worden de daadwerkelijke CMMC-vereisten geleidelijk in contracten opgenomen over meerdere jaren.

Het DoD voert CMMC-clausules gefaseerd in bij Requests for Information (RFIs) en Requests for Proposals (RFPs), op basis van programmaprioriteit en de gevoeligheid van de betrokken informatie. Aannemers moeten nieuwe aanbestedingen nauwlettend volgen om te bepalen wanneer specifieke CMMC-levels verplicht worden voor inschrijving.

Voor Level 1 zijn jaarlijkse zelfevaluaties vereist bij gunning van het contract.

Voor Level 2 met kritieke CUI is een driejaarlijkse beoordeling door derden (C3PAO) noodzakelijk vóór gunning, terwijl andere Level 2-contracten jaarlijkse zelfevaluaties kunnen toestaan.

Level 3 vereist door de overheid geleide driejaarlijkse beoordelingen. Bestaande contracten vereisen doorgaans niet automatisch CMMC-naleving, tenzij ze worden aangepast, maar alle nieuwe DoD-contracten met FCI of CUI zullen uiteindelijk deze vereisten bevatten naarmate de gefaseerde uitrol vordert.

Gezien de tijd die nodig is om je voor te bereiden op beoordelingen, vooral certificeringen door derden, moeten organisaties ruim van tevoren beginnen met hun CMMC-nalevingsinspanningen voordat ze contracten verwachten met deze eisen.

Wil je zeker zijn van een succesvolle C3PAO-beoordeling? Bekijk dan onze CMMC Level 2 Assessment Guide.

Wie heeft CMMC-certificering nodig?

CMMC-certificering is in feite onvermijdelijk als je producten of diensten levert aan het DoD. De volgende soorten organisaties moeten CMMC-naleving aantonen en CMMC-certificering behalen, of het nu Level 1, 2 of 3 is:

  • Alle DoD-aannemers en onderaannemers: Elke organisatie, ongeacht de grootte, die Federal Contract Information (FCI) of Controlled Unclassified Information (CUI) verwerkt als onderdeel van een DoD-contract, moet het vereiste CMMC-niveau behalen. Dit geldt voor de volledige toeleveringsketen van de Industriële Defensiebasis (DIB).
  • Hoofdaannemers: Organisaties die rechtstreeks met het DoD contracteren, zijn verantwoordelijk voor hun eigen naleving en het verifiëren van de naleving van hun onderaannemers.
  • Onderaannemers (alle niveaus): Bedrijven die werken voor hoofdaannemers of zelfs andere onderaannemers, moeten voldoen aan de CMMC-vereisten die aan hen zijn doorgegeven, afhankelijk van het type informatie dat ze verwerken (FCI of CUI). Als een onderaannemer CUI verwerkt in een contract waarvoor CMMC Level 2 vereist is, moet die onderaannemer ook Level 2-naleving of -certificering behalen.
  • Leveranciers en verkopers: Zelfs organisaties die commerciële standaardproducten (COTS) leveren, kunnen CMMC Level 1 nodig hebben als ze FCI verwerken tijdens het contractproces. Als ze CUI verwerken, gelden hogere niveaus.
    Voorbeelden van bedrijfstypen: Dit omvat producenten, ingenieursbureaus, softwareontwikkelaars, IT-dienstverleners, onderzoeksinstellingen, adviseurs, logistieke bedrijven en elke andere entiteit die deelneemt aan de DoD-toeleveringsketen en gevoelige contractinformatie verwerkt.
  • Verschillen in vereisten: Het specifieke vereiste CMMC-niveau (Level 1, 2 of 3) hangt direct af van het type en de gevoeligheid van de verwerkte informatie. Level 1 richt zich op het beschermen van FCI (basis cyberhygiëne en zelfevaluatie vereist). Levels 2 en 3 richten zich op het beschermen van CUI, met steeds robuustere beveiligingspraktijken volgens NIST SP 800-171 en NIST SP 800-172, vaak met beoordelingen door derden of de overheid voor CMMC-certificering.

Begrijp het verschil tussen CMMC-certificering en CMMC-naleving.

CMMC 2.0-vereisten

De overgang van CMMC 1.0 naar CMMC 2.0 betekende een stroomlijning en verfijning van het raamwerk en de CMMC-vereisten om CMMC-naleving efficiënter en praktischer te maken voor defensie-aannemers in de industriële defensiebasis (DIB). De wijzigingen in de CMMC-vereisten zijn onder andere:

1. Minder CMMC-maturity levels

CMMC 1.0 kende vijf niveaus, variërend van basis cyberhygiëne (Level 1) tot geavanceerd/progressief (Level 5). CMMC 2.0 vereist nu dat defensie-aannemers voldoen aan slechts drie maturity levels: Level 1 (Foundational), Level 2 (Advanced) en Level 3 (Expert).

2. Afstemming op NIST-standaarden

CMMC 2.0 legt meer nadruk op afstemming van certificeringsvereisten met bestaande NIST-standaarden (NIST SP 800-171 voor Level 2 en NIST SP 800-172 voor Level 3). Deze afstemming is bedoeld om de complexiteit te verminderen en de consistentie met gevestigde raamwerken te vergroten.

3. Zelfevaluaties

Onder CMMC 2.0 hoeven bedrijven die Federal Contract Information (FCI) op Level 1 verwerken alleen jaarlijkse zelfevaluaties uit te voeren, in plaats van een certificering door derden via een gecertificeerde derde beoordelingsorganisatie (C3PAO). Let op: CMMC Level 2-naleving vereist een mix van zelfevaluaties en beoordelingen door derden, afhankelijk van het type informatie dat wordt verwerkt.

4. Afschaffing van bepaalde praktijken en processen

Het CMMC 2.0-raamwerk mist de maturity-processen die onderdeel waren van de niveaus in CMMC 1.0 en richt zich nu puur op cybersecuritypraktijken, waardoor de CMMC-vereisten worden vereenvoudigd.

Uiteindelijk weerspiegelt de overgang van CMMC 1.0 naar CMMC 2.0 een meer gestroomlijnde en afgestemde aanpak van cybersecurityvereisten voor defensie-aannemers.

Ondanks de reductie en vereenvoudiging van het aantal niveaus kan het belang van het voldoen aan deze vereisten niet genoeg worden benadrukt. CMMC-naleving is niet alleen essentieel voor het behouden van bestaande contracten en het verkrijgen van nieuwe bij het DoD, maar is ook van cruciaal belang voor het beschermen van gevoelige informatie en het behouden van de integriteit en betrouwbaarheid van de defensietoeleveringsketen.

CMMC 1.0 vs CMMC 2.0: Belangrijkste verschillen

CMMC 2.0 betekent een aanzienlijke evolutie ten opzichte van het oorspronkelijke CMMC 1.0-raamwerk, ontworpen om vereisten te vereenvoudigen, kosten te verlagen en beter aan te sluiten bij bestaande standaarden. Het begrijpen van deze verschillen is cruciaal voor effectieve CMMC-nalevingsplanning. Dit zijn de belangrijkste verschillen:

  • Maturity levels: CMMC 1.0 had vijf maturity levels. CMMC 2.0 stroomlijnt dit naar drie niveaus: Level 1 (Foundational), Level 2 (Advanced) en Level 3 (Expert). Deze vereenvoudiging richt de inspanningen op belangrijke cybersecuritystandaarden.
  • Afstemming op NIST-standaarden: CMMC 1.0 bevatte unieke CMMC-praktijken en maturity-processen naast NIST-standaarden. CMMC 2.0 stemt Level 1 af op FAR 52.204-21 basisbeveiligingsvereisten, Level 2 direct op alle 110 controls in NIST SP 800-171 en Level 3 op NIST SP 800-171 plus een subset van NIST SP 800-172-controls. Dit elimineert CMMC-specifieke controls en benut gevestigde cybersecurityraamwerken.
  • Beoordelingsvereisten: CMMC 1.0 vereiste beoordelingen door derden voor Levels 3-5. CMMC 2.0 verandert dit aanzienlijk: Level 1 vereist jaarlijkse zelfevaluaties. Level 2 vereist driejaarlijkse beoordelingen door derden (C3PAO’s) voor contracten met kritieke CUI, maar staat jaarlijkse zelfevaluaties toe voor sommige Level 2-contracten (afhankelijk van de gevoeligheid van de informatie). Level 3 vereist driejaarlijkse beoordelingen door de overheid (uitgevoerd door DIBCAC).
  • Plan of Action & Milestones (POA&Ms): CMMC 1.0 vereiste volledige naleving van alle praktijken op het moment van beoordeling. CMMC 2.0 staat beperkt gebruik van POA&Ms toe voor bepaalde vereisten onder strikte voorwaarden (bijv. binnen 180 dagen sluiten, niet toepasbaar op de zwaarstwegende vereisten, minimale score vereist). Dit biedt enige flexibiliteit maar elimineert niet de noodzaak voor robuuste CMMC-naleving.
  • Kostenimplicaties: Door het aantal niveaus te verminderen, CMMC-eigen vereisten te schrappen en zelfevaluaties toe te staan voor Level 1 en sommige Level 2-scenario’s, wil CMMC 2.0 de nalevingslast en kosten verlagen, vooral voor kleine bedrijven.
  • Tijdlijnwijzigingen: De implementatie van CMMC 2.0 volgt een gefaseerde uitrol over meerdere jaren, geleidelijk geïntegreerd in DoD-contracten, in tegenstelling tot het mogelijk snellere initiële plan voor CMMC 1.0.
  • Impact op nalevingsstrategie: Organisaties die zich voorbereidden op CMMC 1.0 moeten hun doelniveau opnieuw beoordelen onder de CMMC 2.0-structuur. Inspanningen om te voldoen aan NIST SP 800-171-vereisten blijven zeer relevant voor CMMC 2.0 Level 2. De focus moet liggen op het dichten van resterende gaten ten opzichte van NIST-standaarden, het opstellen van het System Security Plan (SSP) en het bepalen van het juiste beoordelingspad (zelfevaluatie of C3PAO).

Wanneer worden CMMC 2.0-vereisten verplicht in contracten?

De opname van CMMC 2.0-vereisten in Department of Defense (DoD)-contracten gebeurt via een gestructureerde, gefaseerde implementatie die begon nadat de definitieve CMMC-programmaregel van kracht werd (vastgelegd in Title 32 CFR) en de bijbehorende inkoopregel werd afgerond (met impact op DFARS in Title 48 CFR).

Hoewel specifieke data afhangen van de afronding en inwerkingtreding van deze regels (verwacht begin 2025), heeft het DoD een meerjarige uitrolstrategie geschetst. Dit betekent dat CMMC 2.0-vereisten niet in alle contracten tegelijk verschijnen. In plaats daarvan introduceert het DoD CMMC-clausules geleidelijk in nieuwe aanbestedingen (RFIs, RFPs) op basis van het strategische belang van het contract en de gevoeligheid van de betrokken informatie (FCI of CUI). De uitrol begint met een kleiner aantal contracten en breidt zich in de loop van de tijd uit, totdat uiteindelijk alle relevante DoD-contracten zijn opgenomen.

Tijdens de tussenliggende periode voordat CMMC-vereisten in een specifiek contract verschijnen, moeten aannemers die CUI verwerken nog steeds voldoen aan de bestaande DFARS 252.204-7012-clausule, die het implementeren van NIST SP 800-171 en het rapporteren van beoordelingsscores aan het Supplier Performance Risk System (SPRS) verplicht stelt.

Er zijn geen grootschalige pilotprogramma’s aangekondigd voor CMMC 2.0 zoals aanvankelijk voor 1.0, maar aannemers moeten elk contract met een CMMC-clausule behandelen als vereist voor naleving op de gunningsdatum (of zoals gespecificeerd).

Het belangrijkste inzicht is dat het behalen van CMMC-naleving, vooral Levels 2 en 3 met beoordelingen, aanzienlijke tijd en middelen kost. Aannemers moeten nu proactief voorbereiden door hun status te beoordelen ten opzichte van de relevante CMMC 2.0-vereisten (NIST SP 800-171/172), hun System Security Plan (SSP) te ontwikkelen en te plannen voor noodzakelijke beoordelingen, in plaats van te wachten tot de vereisten in een aanbesteding verschijnen.

CMMC-vereisten per maturity level

Het is cruciaal voor defensie-aannemers om de specifieke vereisten van elk CMMC-maturity level te begrijpen voordat ze beginnen aan het CMMC-nalevings- en certificeringsproces (inclusief het verschil tussen CMMC-certificering en CMMC-naleving). Elk van de drie maturity levels in het CMMC 2.0-raamwerk—Foundational, Advanced en Expert—heeft zijn eigen set praktijken en processen, bedoeld om de cybersecuritystatus van een defensie-aannemer stapsgewijs te verbeteren, in lijn met de gevoeligheid van de informatie die zij verwerken en delen met het DoD. De belangrijkste vereisten voor elk CMMC 2.0-maturity level zijn onder andere:

CMMC 2.0 Level 1-vereisten: Fundamentele cybersecurity

CMMC Level 1 richt zich op fundamentele cybersecuritypraktijken voor organisaties die federale contractinformatie (FCI) verwerken. Dit niveau is bedoeld voor organisaties die basis cyberhygiëne willen aantonen. De belangrijkste vereisten zijn:

  1. Basisbeveiligingspraktijken: Organisaties moeten 17 praktijken implementeren die zijn afgestemd op de Federal Acquisition Regulation (FAR) 52.204-21, waaronder fundamentele beveiligingsvereisten voor het beschermen van FCI.
  2. Toegangsbeheer: Beperk de toegang tot informatiesystemen tot geautoriseerde gebruikers en apparaten.
  3. Bewustwording en training: Bied security awareness training aan personeel binnen de organisatie.
  4. Configuratiebeheer: Stel basisconfiguraties op en onderhoud deze voor informatiesystemen van de organisatie.
  5. Identificatie en authenticatie: Identificeer gebruikers, processen en apparaten van informatiesystemen en verifieer hun identiteit voordat toegang wordt verleend.
  6. Bescherming van media: Bescherm informatiesysteemmedia zowel tijdens als na gebruik.
  7. Fysieke beveiliging: Beperk fysieke toegang tot informatiesystemen en hun componenten.
  8. Risicobeoordeling: Voer periodiek risicobeoordelingen uit en evalueer risico’s voor de bedrijfsvoering.
  9. Beveiligingsbeoordeling: Voer periodieke beveiligingsbeoordelingen uit om naleving van beveiligingsvereisten te waarborgen.
  10. Systeem- en communicatiebeveiliging: Monitor, beheer en bescherm communicatie van de organisatie aan externe grenzen en belangrijke interne punten.
  11. Systeem- en informatie-integriteit: Identificeer, rapporteer en corrigeer tijdig fouten in informatie en informatiesystemen.

Over het algemeen vereist CMMC 2.0 Level 1 basis cybersecuritypraktijken die voor de meeste organisaties bekend en eenvoudig te implementeren zouden moeten zijn, en die essentiële bescherming bieden voor het verwerken van FCI.

CMMC 2.0 Level 2-vereisten: Geavanceerde cybersecurity

CMMC Level 2 is bedoeld voor defensie-aannemers die gecontroleerde niet-geclassificeerde informatie (CUI) verwerken als onderdeel van hun contracten met het DoD. Dit zijn de kernvereisten voor het behalen van CMMC 2.0 Level 2:

  1. Afstemming op NIST SP 800-171: Level 2 is primair afgestemd op de 110 beveiligingspraktijken uit de National Institute of Standards and Technology Special Publication 800-171 (NIST SP 800-171). Dit omvat controls over diverse domeinen zoals toegangsbeheer, incidentrespons en risicomanagement.
  2. Beoordeling en certificering: Organisaties moeten een beoordeling door derden ondergaan door een gecertificeerde CMMC Third-Party Assessment Organization (C3PAO) om naleving te verifiëren. Dit is verplicht voor contracten met CUI.
  3. Jaarlijkse zelfevaluaties: Organisaties moeten ook jaarlijkse zelfevaluaties uitvoeren om voortdurende naleving en verbetering van hun cybersecuritypraktijken te waarborgen.

  4. Documentatie en beleidsontwikkeling: Bedrijven moeten gedocumenteerde beleidsmaatregelen en procedures hebben die elke beveiligingspraktijk ondersteunen. Dit omvat regelmatig bijgewerkte registraties en audittrails.

  5. Risicomanagement: Organisaties moeten een risicomanagementbenadering implementeren die cybersecurityrisico’s continu identificeert, beoordeelt en beheert.

  6. Incidentrapportage: Er moeten procedures zijn voor het rapporteren van incidenten aan het DoD, zodat tijdige communicatie en respons op mogelijke datalekken worden gewaarborgd.

  7. Continue monitoring: Bedrijven moeten mechanismen hebben voor continue monitoring van hun informatiesystemen om snel beveiligingsdreigingen te detecteren en erop te reageren.

  8. Beveiligingsbewustzijn en training: Implementeer een beveiligingstrainingsprogramma zodat alle medewerkers hun cybersecurityverantwoordelijkheden en het belang van het beschermen van CUI begrijpen.

Door aan deze vereisten te voldoen, kunnen organisaties gevoelige informatie beschermen en hun geschiktheid behouden voor DoD-contracten met CUI.

CMMC 2.0 Level 3-vereisten: Expert cybersecurity

CMMC Level 3 is bedoeld voor organisaties die gecontroleerde niet-geclassificeerde informatie (CUI) verwerken en vereist dat zij meer geavanceerde cybersecuritypraktijken implementeren. De vereisten voor Level 3 zijn nog niet volledig openbaar gemaakt, maar dit is een algemeen overzicht op basis van beschikbare informatie:

  1. Afstemming op NIST-standaarden: Level 3 is nauw afgestemd op NIST SP 800-172, dat voortbouwt op de controls uit NIST SP 800-171 en zich richt op geavanceerde cybersecuritypraktijken en -bescherming.
  2. Geavanceerde beveiligingspraktijken: Organisaties moeten voldoen aan meer dan 110 praktijken, inclusief die van lagere CMMC-niveaus (Level 1 en Level 2), aangevuld met extra vereisten gericht op geavanceerde dreigingsdetectie en respons.
  3. Incidentrespons en -beheer: Er moeten robuuste incidentresponspraktijken zijn, met mogelijkheden om cybersecurity-incidenten effectief te beheren en te rapporteren.
  4. Continue monitoring: Organisaties moeten systemen voor continue monitoring implementeren om snel cybersecurity-incidenten te detecteren, erop te reageren en ervan te herstellen.
  5. Risicomanagement: Een volwassen risicomanagementraamwerk is vereist om risico’s continu te beoordelen, te prioriteren en te beperken.
  6. Expertbeoordeling: Organisaties op dit niveau moeten driejaarlijkse beoordelingen ondergaan door gecertificeerde derde beoordelaars.
  7. Bescherming van Federal Contract Information (FCI) en CUI: Organisaties moeten sterke capaciteiten aantonen in het beschermen van zowel FCI als CUI.

Aangezien dit richtlijnen op hoofdlijnen zijn, moeten organisaties die streven naar CMMC 2.0 Level 3-naleving de updates van het Department of Defense (DoD) nauwlettend volgen en overleggen met cybersecurity-experts om te waarborgen dat ze aan alle specifieke vereisten voldoen naarmate deze evolueren.

CMMC-nalevingschecklist

CMMC-certificering, de voorloper van CMMC-naleving, is een grondig proces. Om CMMC-gecertificeerd te worden, moeten bedrijven voldoen aan een uitgebreide set vereisten die door het DoD zijn vastgesteld. Hieronder vind je onze CMMC-checklist met punten die organisaties moeten aanpakken en behalen als ze CMMC-certificering willen bereiken.

Bepaal het juiste CMMC-maturity level voor jouw organisatie

De eerste stap naar CMMC 2.0-naleving is bepalen welk CMMC-maturity level het meest geschikt is voor jouw organisatie. Het CMMC-certificeringsproces is een gelaagde aanpak, en bedrijven moeten het juiste niveau kiezen op basis van de gevoeligheid van de data die ze verwerken. Er zijn drie niveaus van CMMC-certificering (zie hierboven).

Voer een CMMC-zelfevaluatie uit om je gereedheid voor CMMC-naleving te bepalen

Zodra je het maturity level hebt bepaald dat jouw organisatie wil of moet behalen, is de volgende stap het uitvoeren van een zelfevaluatie van het cybersecurityprofiel van je organisatie. Deze evaluatie moet een beoordeling omvatten van de cybersecurityvolwassenheid van je organisatie, inclusief beleid en procedures, netwerkbeveiliging, toegangsbeheer en mogelijkheden voor incidentrespons.

Maak gebruik van andere cybersecurityraamwerken om CMMC-naleving te stroomlijnen

Hoewel het behalen van CMMC-certificering een complex proces kan zijn, kunnen organisaties de overgang eenvoudiger maken door gebruik te maken van bestaande raamwerken en certificeringen die aansluiten bij CMMC-vereisten. CMMC is ontwikkeld op basis van bestaande raamwerken, en er is aanzienlijke overlap tussen CMMC en andere gevestigde cybersecurityraamwerken die worden gebruikt voor naleving van regelgeving.

Een van deze raamwerken is het National Institute of Standards and Technology Cybersecurity Framework (NIST CSF), dat richtlijnen en beste practices biedt voor het beheren en beperken van cybersecurityrisico’s. Door het CSF te implementeren, kunnen organisaties hun cybersecuritypraktijken afstemmen op CMMC-vereisten, wat het certificeringsproces waarschijnlijk eenvoudiger en gestroomlijnder maakt.

Andere raamwerken en certificeringen die organisaties kunnen helpen bij het behalen van CMMC-certificering zijn FedRAMP, FISMA, de International Organization for Standardization 27000-normen (ISO 27001) en NIST Special Publication 800-171. Door deze raamwerken en certificeringen te benutten, kunnen organisaties ook hun algehele cybersecuritystatus verbeteren en aantonen dat ze voldoen aan CMMC-vereisten.

Stel een Plan of Action and Milestones (POA&M) op voor CMMC-naleving

Een Plan of Action and Milestones (POA&M) is een essentieel document dat de strategie van een organisatie beschrijft om zwakke plekken en tekortkomingen in haar cybersecuritymaatregelen aan te pakken. Het speelt een belangrijke rol bij het aantonen van CMMC-naleving. Het opstellen van een POA&M vereist een aantal stappen. Nadat je het juiste niveau hebt bepaald, identificeer je de gaten tussen je huidige cybersecuritystatus en de vereiste certificeringen. Dit vereist een grondige beoordeling van het bestaande beleid, procedures en technische maatregelen van je organisatie.

Op basis van de geïdentificeerde gaten prioriteer je de gebieden die als eerste moeten worden aangepakt. Ontwikkel vervolgens een tijdlijn voor elke taak, inclusief deadlines voor de voltooiing van elke actie. Wijs taken toe aan teamleden met duidelijke verantwoordelijkheden en houd hen verantwoordelijk voor het volgen van de planning. Documenteer ten slotte alle stappen richting naleving en houd de voortgang regelmatig bij, waarbij je het plan van aanpak en de mijlpalen indien nodig bijwerkt. Deze aanpak zorgt voor een gestructureerde en methodische benadering van CMMC-naleving, wat leidt tot meer efficiëntie en tijdige resultaten.

Ontwikkel een System Security Plan (SSP) om CMMC-naleving te bereiken

Om CMMC-naleving te behalen, moeten organisaties een system security plan (SSP) opstellen met details over elk systeem in hun IT-omgeving dat gecontroleerde niet-geclassificeerde informatie (CUI) opslaat of verzendt, in overeenstemming met NIST 800-171.

Het SSP beschrijft de informatiestroom tussen systemen en authenticatie- en autorisatieprocedures, evenals bedrijfsregels, beveiligingsverplichtingen van personeel, netwerkdiagrammen en administratieve taken. Het SSP is een levend document dat moet worden bijgewerkt telkens wanneer er belangrijke wijzigingen zijn in het beveiligingsprofiel of de procedures van het bedrijf.

Tijdens het aanbestedings- en gunningsproces beoordeelt het Department of Defense de SSP’s van aannemers. Om DoD-opdrachten te winnen, moeten aannemers een actief en geldig SSP hebben.

Het opstellen (en bijwerken) van het SSP kan veel middelen vergen, maar het is essentieel voor het behouden van CMMC-certificeringscriteria. Aannemers moeten er daarom voor zorgen dat ze over de benodigde middelen beschikken om het SSP op te stellen en bij te werken.

Kies een CMMC Third Party Assessor Organization om CMMC-naleving te waarborgen

Na het voltooien van de zelfevaluatie moet je een CMMC Third Party Assessor Organization (C3PAO’s) selecteren. Een C3PAO is een organisatie die door de Accreditation Body (AB) is gemachtigd om CMMC-beoordelingen uit te voeren. De C3PAO is verantwoordelijk voor het beoordelen van de naleving van jouw organisatie met het CMMC-raamwerk.

Samenwerken met een C3PAO is een cruciale stap in het proces om CMMC-naleving te behalen. Er zijn echter meerdere C3PAO’s op de markt, en het kiezen van de juiste kan overweldigend zijn.

Hier zijn enkele overwegingen bij het selecteren en samenwerken met een C3PAO:

  • Controleer de CMMC-AB-website voor een lijst van geautoriseerde C3PAO’s
  • Kies een C3PAO met ervaring in jouw sector
  • Controleer de accreditatiestatus van de C3PAO
  • Vraag om referenties en feedback van eerdere klanten
  • Overweeg hun prijsstructuur

Zodra je een C3PAO hebt geselecteerd, moet je nauw met hen samenwerken om CMMC-naleving te behalen. De C3PAO biedt begeleiding tijdens het nalevingsproces en beoordeelt de naleving van jouw organisatie met het CMMC-raamwerk.

Stel een tijdlijn op voor CMMC-naleving

Het CMMC-certificeringsproces is tijdrovend, en bedrijven moeten hierop anticiperen. Dit zijn enkele factoren waarmee bedrijven rekening moeten houden bij het plannen van het certificeringsproces:

  • Omvang van de organisatie
  • Huidige cybersecuritystatus
  • Het certificeringsproces kan tot 12 maanden duren, afhankelijk van het certificeringsniveau
  • De C3PAO voert een gap-analyse uit vóór de daadwerkelijke beoordeling, wat tot drie maanden kan duren
  • Het certificeringsproces vereist doorlopend onderhoud en periodieke beoordelingen

Reserveer voldoende middelen voor CMMC-naleving

Het CMMC-certificeringsproces kan kostbaar zijn qua financiën en personeelsinzet, en bedrijven moeten hierop budgetteren. Aannemers moeten rekening houden met kosten voor cybersecuritybeoordelingen, herstel en doorlopend onderhoud. Dit zijn enkele factoren waarmee bedrijven rekening moeten houden bij het plannen van hun budget:

  • De kosten van het certificeringsproces kunnen variëren afhankelijk van het CMMC-niveau
  • De kosten voor het inhuren van een C3PAO kunnen variëren afhankelijk van hun ervaring en accreditatiestatus
  • Het certificeringsproces vereist doorlopend onderhoud, wat de nalevingskosten kan verhogen

Hoe bereid je je voor op een CMMC-beoordeling?

Er zijn specifieke stappen die organisaties kunnen nemen om zich voor te bereiden op een CMMC-beoordeling. Enkele van deze stappen zijn:

  • Begrijp NIST-vereisten: NIST publiceert beveiligingsdocumentatie gratis op hun website. Er is dus weinig reden waarom je organisatie geen basiskennis zou hebben van de categorieën beveiligingsmaatregelen die bij een beoordeling worden onderzocht. Zorg er in elk geval voor dat er iemand of een groep binnen je organisatie is die kan schakelen met beoordelaars en de overheid; dit is cruciaal.
  • Voer een gap-analyse uit: Huur een beveiligingsbedrijf in om je IT-infrastructuur te analyseren en in kaart te brengen hoe deze zich verhoudt tot de CMMC-vereisten. Dit geeft een duidelijk beeld van waar je nu staat en wat er nog moet gebeuren om de vereiste wijzigingen en upgrades door te voeren.
  • Voer een risicobeoordeling uit: Hoewel de standaarden van CMMC duidelijk zijn gedefinieerd, kun je overwegen om branche-standaarden of bedrijfsdoelen te gebruiken voordat je ze als checklist hanteert. Een risicobeoordeling helpt je te begrijpen wat je moet implementeren voor naleving, zonder de groeimogelijkheden van je bedrijf te beperken.
  • Kies een C3PAO: De CMMC Accreditation Body (CMMC-AB) biedt een online marktplaats met geaccrediteerde C3PAO’s. Gebruik deze tool om een bedrijf te selecteren waarmee je wilt samenwerken.

    De CMMC-AB staat echter niet toe dat aannemers samenwerken met een C3PAO buiten hun beoordelingsrelatie. Om belangenconflicten te voorkomen, mag een C3PAO bijvoorbeeld geen advies of cybersecurity-IT-diensten leveren vóór hun beoordeling van het bedrijf.

  • Bereid je voor op doorlopende beoordeling: Na de initiële CMMC-certificering moet je organisatie doorlopende hercertificering en monitoring uitvoeren. Afhankelijk van het maturity level van je certificering kan dit jaarlijkse zelfevaluaties of driejaarlijkse C3PAO-audits betekenen.

Kosten van CMMC-naleving

Het begrijpen van de werkelijke kosten van CMMC-naleving is cruciaal voor elke organisatie die met het DoD wil werken. De kosten kunnen sterk variëren, afhankelijk van factoren zoals de omvang van je organisatie, de complexiteit van je netwerk en het niveau van CMMC-naleving dat je wilt bereiken. CMMC-nalevingskosten kunnen bestaan uit cybersecurity-upgrades, adviseurskosten en extra training voor personeel.

Ondanks deze uitgaven is het behalen van CMMC-naleving niet alleen een vereiste voor DoD-aannemers, maar ook een waardevolle investering in de cybersecuritystatus van je organisatie. Naast deze initiële kosten moeten organisaties ook rekening houden met doorlopende uitgaven die gepaard gaan met CMMC-naleving. Denk aan regelmatige cybersecurity-audits, periodieke netwerkupgrades en de noodzaak van continue training van medewerkers om voor te blijven op nieuwe dreigingen. Extra kosten kunnen ontstaan door het bijhouden van de vereiste documentatie of als je ervoor kiest een externe dienstverlener in te schakelen voor het beheer van je nalevingsproces.

Een belangrijke factor die de kosten van CMMC-naleving beïnvloedt, is het CMMC-niveau dat je organisatie wil behalen. Het CMMC-model bestond uit vijf niveaus, waarbij Level 1 het meest basaal is en Level 5 het meest geavanceerd. Elk niveau vereist een steeds grondigere set cybersecuritymaatregelen, wat betekent dat de kosten stijgen naarmate je hogerop komt. Het is cruciaal dat organisaties hun noodzakelijke nalevingsniveau nauwkeurig inschatten en hierop budgetteren.

Een andere kostenfactor is de omvang en complexiteit van je organisatie. Grotere organisaties met complexe netwerken zullen waarschijnlijk hogere nalevingskosten hebben vanwege de grotere complexiteit van hun cybersecuritybehoeften. Kleinere organisaties kunnen de kosten wellicht beter beheersen, maar moeten nog steeds investeren in de benodigde infrastructuur en training om naleving te waarborgen.

Hoewel de kosten van CMMC-naleving aanzienlijk kunnen zijn, is het belangrijk om het, nogmaals, te zien als een investering in de toekomst van je organisatie en niet alleen als een uitgave. Door CMMC-naleving te behalen, voldoet je organisatie niet alleen aan de vereisten om met het DoD te werken, maar versterk je ook aanzienlijk je algehele cybersecurity, waardoor je mogelijk dure cyberaanvallen in de toekomst voorkomt. Daarom wegen de potentiële voordelen ruimschoots op tegen de initiële en doorlopende kosten. Bovendien kan niet-naleving leiden tot verlies van opdrachten bij het DoD, wat een grote klap kan zijn voor organisaties die afhankelijk zijn van deze contracten, waardoor de kosten van naleving een waardevolle investering zijn.

Bereid je voor op CMMC-naleving met Kiteworks

Moderne, datagedreven bedrijven vertrouwen op een veilige en soepele IT-infrastructuur om hun activiteiten te ondersteunen. Voor overheidsaannemers betekent dit het gebruik van veilige oplossingen voor bestandsoverdracht die CMMC-compliant zijn.

Het Kiteworks Private Content Network is precies zo’n oplossing.

Met Kiteworks krijgen defensie-aannemers en andere organisaties die actief zijn in sterk gereguleerde sectoren een veilige, door ons exclusieve Private Content Network ondersteunde omgeving. Dit private en beschermde communicatieplatform biedt organisaties veilige en conforme e-mail, bestandsoverdracht, beheerde bestandsoverdracht (MFT), webformulieren en application programming interfaces (API’s).

Kiteworks beschikt over een hardened virtual appliance, end-to-end encryptie, veilige inzetopties waaronder een FedRAMP virtual private cloud, granulaire controles, authenticatie, beveiligingsinfrastructuur-integraties en uitgebreide logging en auditrapportages, waarmee organisaties eenvoudig en veilig kunnen aantonen dat ze voldoen aan beveiligingsstandaarden.

Kiteworks helpt organisaties te voldoen aan tal van federale en internationale regelgeving en standaarden op het gebied van gegevensprivacy, waaronder FedRAMP, Federal Information Processing Standards (FIPS), FISMA, ITAR, de General Data Protection Regulation (GDPR), het Australische Information Security Registered Assessors Program (IRAP), NIST CSF, ISO 27001, UK Cyber Essentials Plus, de Europese NIS 2-richtlijn en vele anderen.

Tot slot stelt Kiteworks DoD-aannemers en onderaannemers in de DIB in staat om direct te voldoen aan bijna 90% van de CMMC Level 2-praktijken out-of-the-box.

Vraag een demo op maat aan voor meer informatie over Kiteworks en hoe het Private Content Network je kan helpen om aan je CMMC-nalevingsvereisten te voldoen, inclusief het aantonen van naleving van CMMC 2.0 Level 2.

Aanvullende bronnen

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks