
CMMC vs. ITAR: Moeten defensie-aannemers aan één of beide voldoen?
In defensiecontractering is naleving van regelgeving een cruciaal onderdeel van het zakendoen. De Cybersecurity Maturity Model Certification (CMMC) 2.0 en de International Traffic in Arms Regulations (ITAR) zijn essentiële regelgevende kaders die invloed hebben op de sector. Deze regelgevingen zijn bedoeld om gevoelige informatie en nationale veiligheid te beschermen, maar ze kunnen verwarrend zijn voor defensie-aannemers die proberen te begrijpen welk kader van toepassing is op hun activiteiten. Deze Blog Post biedt een overzicht van CMMC 2.0 en ITAR, vergelijkt hun fundamentele verschillen en geeft advies over welke defensie-aannemers aan één of beide moeten voldoen.
Het CMMC-certificeringsproces is intensief, maar ons stappenplan voor CMMC 2.0-naleving kan helpen.
CMMC 2.0: Een Uniforme Cybersecurity-standaard voor de Defensiesector
De Cybersecurity Maturity Model Certification, of CMMC, is een uniforme cybersecurity-standaard ontwikkeld door het Amerikaanse ministerie van Defensie (DoD) om de beveiliging van gevoelige informatie binnen de industriële defensiebasis (DIB) te waarborgen. CMMC-naleving is vereist voor alle defensie-aannemers die met het DoD werken en gecontroleerde, niet-geclassificeerde informatie (CUI) verwerken. Deze informatie kan technische gegevens, onderzoeks- en engineeringdata of andere gevoelige maar niet-geclassificeerde gegevens met betrekking tot defensieoperaties omvatten.
In november 2021 introduceerde het DoD CMMC 2.0, een bijgewerkte versie van het oorspronkelijke model, om het certificeringsproces te stroomlijnen en de last voor kleine bedrijven te verminderen. CMMC 2.0 bestaat uit drie niveaus, elk met een specifieke set procedures en praktijken die vereist zijn om naleving te bereiken:
CMMC 2.0 Level 1: Fundamentele Cybersecurity voor FCI
Dit niveau richt zich op basis cyberhygiëne, inclusief de praktijken zoals beschreven in de National Institute of Standards and Technology (NIST) Special Publication 800-171, met enkele aanvullende vereisten. Dit niveau is de minimumnorm voor defensie-aannemers die federale contractinformatie (FCI) verwerken.
CMMC 2.0 Level 2: Geavanceerde Bescherming voor CUI
Defensie-aannemers die CUI verwerken, moeten voldoen aan Level 2, dat extra beveiligingsmaatregelen omvat bovenop de vereisten van NIST SP 800-171. Dit niveau is bedoeld om gevoelige informatie te beschermen tegen geavanceerde cyberdreigingen.
CMMC 2.0 Level 3: Expert-niveau Beveiliging voor Kritieke Programma’s
Dit niveau is gereserveerd voor kritieke programma’s en technologieën die de hoogste mate van cybersecuritybescherming vereisen. Level 3 omvat strengere beveiligingsvereisten, waaronder continue monitoring en geavanceerde dreigingsdetectie.
ITAR: Bescherming van Defensietechnologieën Tegen Wereldwijde Dreigingen
De International Traffic in Arms Regulations, of ITAR, is een set regels die de export, import en tussenhandel van defensiegoederen, defensiediensten en gerelateerde technische gegevens reguleert. ITAR wordt gehandhaafd door het Amerikaanse ministerie van Buitenlandse Zaken, Directorate of Defense Trade Controls (DDTC), en is bedoeld om ongeoorloofde overdracht van gevoelige defensietechnologieën naar buitenlandse entiteiten te voorkomen.
Defensie-aannemers die producten vervaardigen, exporteren of diensten leveren met betrekking tot items op de United States Munitions List (USML) moeten zich registreren bij de DDTC en voldoen aan ITAR. De USML omvat diverse defensiegerelateerde items, waaronder wapensystemen, militaire elektronica en beschermende uitrusting.
CMMC 2.0 vs. ITAR: De Verschillen Die Ertoe Doen
Hoewel CMMC 2.0 en ITAR beide van groot belang zijn voor defensie-aannemers, hebben ze verschillende doelen en vereisten. In het volgende gedeelte worden de twee regelgevende kaders vergeleken.
Reikwijdte van CMMC vs. ITAR: Cybersecurity vs. Exportcontrole
CMMC 2.0 richt zich op cybersecurity en is specifiek bedoeld voor defensie-aannemers die met het DoD werken en FCI of CUI verwerken. ITAR daarentegen is breder van opzet en omvat de export, import en tussenhandel van defensiegoederen, defensiediensten en gerelateerde technische gegevens.
Toepasselijkheid: Rollen en Activiteiten van Aannemers die Naleving Vereisen
CMMC 2.0 is van toepassing op alle defensie-aannemers die met het DoD werken, ongeacht de omvang of aard van hun activiteiten. ITAR is van toepassing op defensie-aannemers die producten vervaardigen, exporteren of diensten leveren met betrekking tot items op de USML.
Handhaving en Sancties: Wat Staat Er op het Spel
CMMC 2.0 wordt gehandhaafd door het DoD en vereist dat defensie-aannemers een beoordeling door een derde partij ondergaan om naleving te verifiëren. De certificering moet gedurende de looptijd van het contract worden behouden. De DDTC van het ministerie van Buitenlandse Zaken handhaaft ITAR, en overtredingen kunnen leiden tot zware civiele en strafrechtelijke sancties, waaronder boetes, gevangenisstraf en uitsluiting van toekomstige contracten.
Nalevingsvereisten: Controls vs. Registraties en Licenties
CMMC 2.0 beschrijft een reeks cybersecuritypraktijken en -processen over drie niveaus, met specifieke vereisten afhankelijk van het betrokkenheidsniveau van de aannemer met FCI of CUI. ITAR-naleving omvat registratie bij de DDTC, het implementeren van een exportcontroleprogramma en het verkrijgen van de juiste licenties voor het exporteren, importeren of bemiddelen van defensiegoederen, defensiediensten en gerelateerde technische gegevens.
BELANGRIJKSTE INZICHTEN
-
Naleving is Cruciaal voor Defensie-aannemers
Naleving van CMMC 2.0 en ITAR bepaalt de geschiktheid voor overheidscontracten, dus inzicht in hun vereisten is essentieel.
-
Overzicht van CMMC 2.0
CMMC 2.0 is een door het DoD ontwikkelde cybersecurity-standaard met drie niveaus, gericht op het verbeteren van cybersecuritypraktijken voor defensie-aannemers die CUI verwerken.
-
Overzicht van ITAR
ITAR, gehandhaafd door het ministerie van Buitenlandse Zaken, reguleert de export, import en tussenhandel van defensiegoederen en technische gegevens om ongeoorloofde overdrachten te voorkomen.
-
Verschillen tussen CMMC 2.0 en ITAR
CMMC en ITAR verschillen in reikwijdte, toepasselijkheid en vereisten. CMMC richt zich op cybersecurity, terwijl ITAR exportcontrole omvat.
-
Navigeren van Dubbele Naleving
Defensie-aannemers moeten mogelijk aan zowel CMMC 2.0 als ITAR voldoen, afhankelijk van hun activiteiten. Dubbele naleving vereist een geïntegreerde nalevingsstrategie.
CMMC of ITAR: Hoe Bepaal je Welke Regelgeving van Toepassing is op Jouw Bedrijfsactiviteiten
De noodzaak tot naleving van CMMC 2.0 en ITAR hangt af van de specifieke activiteiten en diensten die een defensie-aannemer levert. Sommige defensie-aannemers moeten mogelijk aan één of beide regelgevingen voldoen, afhankelijk van de aard van hun bedrijf.
CMMC 2.0-naleving voor DoD-aannemers
Alle defensie-aannemers die met het DoD werken en FCI of CUI verwerken, moeten voldoen aan CMMC 2.0. Het specifieke nalevingsniveau hangt af van het type informatie dat zij verwerken:
CMMC 2.0 Level 1: Voor Aannemers die FCI Verwerken
Fundamentele Cybersecurity, het eerste niveau van CMMC 2.0, richt zich op het opzetten van basis cyberhygiëne om defensie-aannemers die FCI verwerken te beschermen. FCI verwijst naar informatie die door of voor de overheid is verstrekt of gegenereerd onder een contract, die niet bedoeld is voor openbare verspreiding.
Door te voldoen aan Level 1 tonen defensie-aannemers aan dat zij een solide basis hebben gelegd voor het beheren van cyberrisico’s en het beschermen van FCI tegen ongeoorloofde toegang en openbaarmaking. Op dit niveau moeten defensie-aannemers zich houden aan de cybersecuritypraktijken zoals beschreven in NIST SP 800-171 en enkele aanvullende vereisten. Deze praktijken omvatten het beveiligen van toegang tot informatiesystemen, het implementeren van veilige wachtwoordbeleid en het up-to-date houden van antivirussoftware.
CMMC 2.0 Level 2: Voor Aannemers die CUI Verwerken
Geavanceerde Cybersecurity, het tweede niveau van CMMC 2.0, is bedoeld voor defensie-aannemers die met CUI werken. CUI is een categorie gevoelige informatie die beveiligings- of verspreidingscontroles vereist, omdat deze mogelijk schade aan de nationale veiligheid kan veroorzaken als deze in handen komt van onbevoegden.
Bovenop de vereisten van Level 1 moeten defensie-aannemers op dit niveau meer geavanceerde cybersecuritymaatregelen implementeren om CUI te beschermen tegen complexe cyberdreigingen. Deze praktijken gaan verder dan NIST SP 800-171 en kunnen onder meer multi-factor authentication, dubbele encryptietechnieken en inbraakdetectiesystemen omvatten. Door te voldoen aan Level 2 tonen defensie-aannemers hun inzet voor het beschermen van CUI en het beperken van het risico op cyberincidenten die aanzienlijke gevolgen voor de nationale veiligheid kunnen hebben.
CMMC 2.0 Level 3: Voor Aannemers die Kritieke Programma’s Ondersteunen
Expert Cybersecurity, het derde en hoogste niveau van CMMC 2.0, is gereserveerd voor defensie-aannemers die werken aan kritieke programma’s en technologieën die de hoogste mate van cybersecuritybescherming vereisen. Deze programma’s en technologieën kunnen gevoelige informatie of capaciteiten omvatten die, indien gecompromitteerd, ernstige schade aan de nationale veiligheid kunnen veroorzaken.
Defensie-aannemers moeten op dit niveau een uitgebreid en robuust cybersecurityprogramma implementeren dat strenge beveiligingsvereisten en geavanceerde mogelijkheden omvat. Deze vereisten kunnen onder meer continue monitoring, geavanceerde dreigingsdetectie en -respons en proactieve maatregelen om opkomende cyberdreigingen te identificeren en te beperken omvatten. Door te voldoen aan Level 3 tonen defensie-aannemers hun vermogen aan om de meest gevoelige en kritieke activa van de industriële defensiebasis te beschermen, zodat de meest geavanceerde technologieën en capaciteiten van het land veilig en onaangetast blijven.
ITAR-naleving voor Defensie-exporteurs en Dienstverleners
Defensie-aannemers die producten vervaardigen, exporteren of diensten leveren met betrekking tot items op de USML moeten voldoen aan ITAR. Dit omvat bedrijven die betrokken zijn bij de ontwikkeling, productie of het onderhoud van defensiegoederen en degenen die training, technische assistentie of adviesdiensten leveren met betrekking tot defensie-items.
CMMC 2.0 en ITAR: Dubbele Naleving Beheren
Inzicht in en beheer van dubbele naleving is essentieel voor aannemers om hun geschiktheid voor DoD-contracten te behouden en mogelijke sancties bij niet-naleving te voorkomen. In sommige gevallen moeten defensie-aannemers de complexiteit van naleving van zowel CMMC 2.0 als ITAR navigeren. Dergelijke situaties doen zich meestal voor wanneer aannemers activiteiten uitvoeren die onder beide regelgevingen vallen. De volgende situaties vereisen vaak dubbele naleving van CMMC 2.0 en ITAR:
FCI of CUI in DoD-contracten: Wanneer CMMC van Toepassing is
Defensie-aannemers die met het DoD werken en FCI of CUI beheren, moeten voldoen aan het juiste CMMC 2.0-niveau voor hun informatieverwerkingsvereisten, of dit nu Fundamentele, Geavanceerde of Expert Cybersecurity is.
USML-items en ITAR: Wat Naleving Vereist
Aannemers die producten vervaardigen, exporteren of diensten leveren met betrekking tot items op de USML moeten voldoen aan ITAR-regelgeving. Dit omvat het verkrijgen van de benodigde licenties en het implementeren van een effectief exportcontroleprogramma.
Neem bijvoorbeeld een defensie-aannemer die een geavanceerd radarsysteem ontwikkelt en produceert dat op de USML staat. Naast het verwerken van CUI als onderdeel van hun DoD-contract, exporteert de aannemer het radarsysteem ook naar buitenlandse bondgenoten. In dit geval moet de aannemer voldoen aan zowel CMMC 2.0 als ITAR-regelgeving.
Geïntegreerde Nalevingsstrategie voor Aannemers
Om dubbele naleving effectief te beheren, moeten defensie-aannemers een geïntegreerde nalevingsstrategie implementeren die rekening houdt met de specifieke vereisten van zowel CMMC 2.0 als ITAR. Deze strategie kan het volgende omvatten:
- Een uitgebreid cybersecurityprogramma dat aansluit bij het CMMC 2.0-framework en tegelijkertijd exportcontrolevereisten integreert
- Ontwikkeling en onderhoud van een exportcontroleprogramma dat naadloos integreert met de bestaande cybersecurity-infrastructuur van de aannemer
- Regelmatige beoordelingen, audits en trainingen om naleving van CMMC 2.0 en ITAR-vereisten te waarborgen
Door een samenhangende aanpak van naleving te hanteren, kunnen defensie-aannemers effectief omgaan met de complexiteit van CMMC 2.0- en ITAR-regelgeving, gevoelige informatie beschermen en hun vermogen behouden om samen te werken met het DoD en andere overheidsinstanties.
CMMC 2.0 vs. ITAR-naleving: Praktijkvoorbeelden
De volgende praktijkvoorbeelden illustreren de noodzaak van naleving van CMMC 2.0 of ITAR.
Voorbeeld 1: Cybersecuritydiensten voor het DoD
Een defensie-aannemer levert cybersecuritydiensten aan het DoD, waaronder het verwerken van CUI. In dit geval moet de aannemer voldoen aan CMMC 2.0 Level 2: Geavanceerde Cybersecurity. Omdat de aannemer geen producten vervaardigt, exporteert of diensten levert met betrekking tot items op de USML, is ITAR-naleving niet vereist.
Voorbeeld 2: Productie en Export van Defensie-elektronica
Een defensie-aannemer produceert defensie-elektronica die op de USML staat en exporteert deze naar buitenlandse bondgenoten. De aannemer moet voldoen aan ITAR vanwege de export van USML-items. Als de aannemer ook CUI verwerkt als onderdeel van een DoD-contract, moet hij zich houden aan CMMC 2.0 Level 2: Geavanceerde Cybersecurity.
Voorbeeld 3: R&D in Gevoelige Defensietechnologieën
Een defensie-aannemer levert onderzoeks- en ontwikkelingsdiensten aan het DoD op het gebied van geavanceerde materialen voor militaire toepassingen. Deze aannemer verwerkt zowel FCI als CUI als onderdeel van zijn werk. In dit geval moet de aannemer voldoen aan CMMC 2.0 Level 2: Geavanceerde Cybersecurity. Als het onderzoek betrekking heeft op items die op de USML staan en de aannemer deze exporteert, importeert of diensten levert met betrekking tot deze items, is ook ITAR-naleving vereist.
Voorbeeld 4: Militaire Training en Ondersteuning
Een defensie-aannemer levert militaire trainings- en ondersteuningsdiensten, waaronder het werken met defensiegoederen die op de USML staan. De aannemer moet FCI of CUI verwerken als onderdeel van zijn werk. In dit geval moet de aannemer voldoen aan ITAR vanwege zijn betrokkenheid bij USML-items. CMMC 2.0-naleving is niet vereist, omdat hij geen FCI of CUI verwerkt.
Versnel Uw CMMC 2.0 Level 2-naleving met Kiteworks
Het navigeren door het CMMC 2.0-framework kan een complex proces zijn, vooral voor DoD-aannemers en onderaannemers die Level 2-naleving moeten behalen. Samenwerken met CMMC-experts is een verstandige keuze om een soepele nalevingsreis te waarborgen.
Gespecialiseerde adviespraktijken, zoals Optiv, kunnen u helpen uw bestaande controls en technologie af te stemmen op de vereisten van Level 2. Deze experts kunnen u begeleiden bij het herstel van Actieplannen & Mijlpalen (POA&M’s) en samenwerken met gecertificeerde CMMC Organisaties van derde beoordelaars (C3PAO’s) voor beoordeling en accreditatie.
Naast deskundige begeleiding kan het kiezen van het juiste platform voor communicatie van gevoelige inhoud uw CMMC 2.0 Level 2-nalevingsproces aanzienlijk versnellen. In plaats van meerdere tools te gebruiken voor het verzenden, delen, ontvangen en opslaan van gevoelige informatie zoals CUI en FCI, vermindert een geïntegreerde oplossing de complexiteit, inefficiëntie en risico’s.
Meer dan 3.800 organisaties hebben gekozen voor het Kiteworks-platform, een FedRAMP Authorized for Moderate Level Impact-oplossing (al zes opeenvolgende jaren). Onder andere onderscheidt de FedRAMP-naleving van Kiteworks het platform van andere oplossingen die DoD-leveranciers gebruiken voor bestandsoverdracht en e-mailgegevenscommunicatie. Dankzij de FedRAMP-naleving en de hardened virtual appliance ondersteunt Kiteworks bijna 90% van de 110 praktijkcontrols in CMMC 2.0 Level 2—meer dan welke andere vergelijkbare oplossing op de markt dan ook.
Ontdek hoe u voorop kunt blijven lopen en uw traject naar CMMC 2.0 Level 2-naleving kunt versnellen door vandaag nog een aangepaste demo van Kiteworks te plannen.
CMMC vs. ITAR Veelgestelde Vragen
Nee, DoD-aannemers hoeven niet per se aan zowel CMMC als ITAR te voldoen. De noodzaak tot naleving hangt af van de specifieke activiteiten en diensten die een defensie-aannemer levert binnen de industriële defensiebasis (DIB). Hierdoor moeten sommige defensie-aannemers mogelijk aan één of beide regelgevingen voldoen, afhankelijk van de aard van hun bedrijf.
Alle defensie-aannemers die met het DoD werken en FCI of CUI verwerken, moeten voldoen aan CMMC 2.0. Het specifieke nalevingsniveau hangt af van het type informatie dat zij verwerken. Defensie-aannemers die producten vervaardigen, exporteren of diensten leveren met betrekking tot items op de USML, moeten voldoen aan ITAR. In sommige gevallen moeten defensie-aannemers de complexiteit van naleving van zowel CMMC 2.0 als ITAR navigeren wanneer zij activiteiten uitvoeren die onder beide regelgevingen vallen.
CMMC 2.0 richt zich op cybersecurity en is specifiek bedoeld voor defensie-aannemers die met het DoD werken en FCI of CUI verwerken. ITAR is breder van opzet en omvat de export, import en tussenhandel van defensiegoederen, defensiediensten en gerelateerde technische gegevens. CMMC 2.0 is van toepassing op alle defensie-aannemers die met het DoD werken, terwijl ITAR specifiek geldt voor defensie-aannemers die producten vervaardigen, exporteren of diensten leveren met betrekking tot items op de USML.
Nee. CMMC 2.0 en ITAR hebben verschillende doelen en vereisten. CMMC 2.0 richt zich op cybersecurity voor defensie-aannemers die met het DoD werken en FCI of CUI verwerken, met specifieke cybersecuritypraktijken over drie niveaus. ITAR-naleving omvat registratie bij de DDTC, het implementeren van een exportcontroleprogramma en het verkrijgen van de juiste licenties voor het exporteren, importeren of bemiddelen van defensiegoederen. Alleen voldoen aan ITAR voldoet niet aan de CMMC-vereisten.
Nee. Voor aannemers die dubbele naleving nodig hebben, is een geïntegreerde strategie vereist die de specifieke vereisten van beide kaders adresseert. Dit omvat het ontwikkelen van een uitgebreid cybersecurityprogramma dat is afgestemd op CMMC en tegelijkertijd exportcontrolevereisten integreert, het onderhouden van een exportcontroleprogramma dat geïntegreerd is met de cybersecurity-infrastructuur, en het uitvoeren van regelmatige beoordelingen voor beide kaders. Alleen CMMC-naleving voldoet niet aan de exportcontrolevereisten van ITAR.