
CMMC Stappenplan: Uw Ultieme Gids voor CMMC 2.0-naleving
CMMC 2.0 biedt het Amerikaanse Department of Defense (DoD) de middelen om privégegevens te beschermen tegen kwaadaardige aanvallen op de toeleveringsketen. Het koppelt NIST 800-171 vereisten aan elk van de Level 2-praktijken plus 24 extra NIST 800-172 vereisten voor Level 3.
DoD-aannemers moeten aantonen dat ze voldoen aan de Cybersecurity Maturity Model Certification (CMMC) 2.0 via zelfevaluaties en het inschakelen van CMMC Organisaties van derde beoordelaars (C3PAO’s). Een gefaseerde implementatie van CMMC 2.0 zal naar verwachting starten in Q1 2025, waarbij CMMC in alle DoD-aannemers- en onderaannemerscontracten is opgenomen tegen 2028. Ter voorbereiding op de publicatie en inwerkingtreding van de definitieve CMMC-regel in Q1 2025, eisen sommige DoD-aannemers nu al van hun onderaannemers dat ze hun naleving aantonen.
Over CMMC
De Cybersecurity Maturity Model Certification (CMMC) is een regelgeving die is ingevoerd om de cyberbeveiligingsprocedures en -normen binnen de industriële defensiebasis (DIB) te verbeteren. Het is ontwikkeld als reactie op groeiende zorgen over de beveiliging van gecontroleerde, niet-geclassificeerde informatie (CUI) binnen de toeleveringsketen.
CMMC heeft impact op alle organisaties die contracten hebben met het Department of Defense (DoD), inclusief kleine bedrijven, leveranciers van commerciële producten en buitenlandse leveranciers. Volgens de regelgeving moeten deze organisaties gecertificeerd zijn op vijf verschillende volwassenheidsniveaus, elk met specifieke cyberbeveiligingspraktijken en -processen.
De regelgeving is cruciaal om een uniforme standaard te bieden voor het implementeren van cyberbeveiliging binnen de DIB die met gevoelige informatie werkt. Het is ontworpen om volledige bescherming te waarborgen van kritieke, eigendomsrechtelijke, strategische en operationele gegevens tegen datalekken en cyberaanvallen.
De voordelen van het aantonen van CMMC-naleving zijn onder meer verbeterde nationale veiligheid door gegevensbescherming, verhoogde geloofwaardigheid en marktpositie van het bedrijf dankzij verbeterde cyberbeveiligingspraktijken, en het behouden van geschiktheid voor DoD-contracten. Het helpt organisaties ook hun sterke en zwakke punten op het gebied van cyberbeveiliging te identificeren, wat leidt tot efficiëntere en effectievere bedrijfsvoering.
De dreiging voor de DoD-toeleveringsketen beoordelen
Hoewel CUI niet geclassificeerd is, vindt de overheid dat CUI beschermd moet worden, omdat een datalek een bedreiging kan vormen voor de nationale veiligheid. In het bijzonder bevatten DoD-computersystemen enorme hoeveelheden gevoelige data, waaronder CUI, die intern en met honderden duizenden aannemers en onderaannemers wordt verzonden, gedeeld, ontvangen en opgeslagen.
Deze gegevens, zowel onderweg als in beweging, kunnen kwetsbaar zijn voor cyberaanvallen. Een goed geïmplementeerde cyberbeveiligingsstatus van een DoD-aannemer, zorgvuldige inkoop-zorgvuldigheid en contractbepalingen elimineren niet per se alle kwetsbaarheden die samenhangen met het verzenden, delen, ontvangen en opslaan van CUI en de potentiële impact op het DoD en zijn aannemers en onderaannemers.
CMMC 2.0 vereenvoudigt wat oorspronkelijk werd uitgebracht in CMMC 1.0, door van vijf niveaus naar drie te gaan en elk van de gebieden in Level 2 te koppelen aan NIST 800-171.
BELANGRIJKSTE INZICHTEN
-
CMMC 2.0 Compliance Stappenplan
Gefaseerde implementatie vanaf Q1 2025 omvat zelfevaluaties en beoordelingen door derden, cruciaal voor DoD-aannemers.
-
Impact op de DoD-toeleveringsketen
CMMC 2.0 waarborgt robuuste cyberbeveiligingsnormen in de DoD-toeleveringsketen en beschermt gevoelige informatie tegen datalekken.
-
CMMC 2.0 Vereenvoudiging
Het terugbrengen van vijf naar drie niveaus vergroot de toegankelijkheid, sluit aan bij NIST-normen en stemt beveiligingsmaatregelen af op de behoeften van de organisatie.
-
Overwegingen voor kleine bedrijven
Kleine bedrijven staan voor unieke uitdagingen bij het voldoen aan CMMC 2.0; er zijn middelen en ondersteuningsprogramma’s beschikbaar om aan de vereisten te voldoen.
-
CMMC Certificeringsproces
Het certificeringsproces omvat grondige planning, zelfevaluatie, implementatie van controles en continue monitoring.
CMMC 2.0: Wie wordt geraakt
Alle civiele organisaties die zaken doen met de overheid moeten voldoen aan CMMC 2.0. De lijst van entiteiten omvat:
- DoD-hoofdaannemers
- DoD-onderaannemers
- Leveranciers op alle niveaus in de industriële defensiebasis (DIB)
- Kleine DoD-leveranciers
- Commerciële leveranciers die CUI verwerken, behandelen of opslaan
- Buitenlandse leveranciers
- Teamleden van DoD-aannemers die CUI behandelen, zoals IT managed service providers
CMMC-niveau wordt toegewezen aan aannemers en onderaannemers op basis van het type CUI en FCI dat zij verwerken en uitwisselen.
CMMC 2.0 Rechtsbevoegdheid: Hoe diep reikt CMMC in de DoD-toeleveringsketen?
De CMMC-standaard is van toepassing op alle entiteiten binnen de DoD-toeleveringsketen, inclusief organisaties die federal contract information (FCI), gecontroleerde niet-geclassificeerde informatie (CUI) en andere gevoelige informatie verwerken, ongeacht bij welke specifieke organisatie het contract is geplaatst. Dit omvat zowel hoofdaannemers als hun onderaannemers op elk niveau, inclusief leveranciers, verkopers en adviseurs.
CMMC 2.0-niveaus: Wat is er veranderd
Opnieuw vereenvoudigt CMMC 2.0 wat oorspronkelijk werd uitgebracht in CMMC 1.0 en vermindert het volwassenheidsniveau van vijf naar drie niveaus. De beslissing om van vijf naar drie volwassenheidsniveaus te gaan is genomen na grondige evaluatie en feedback uit de sector. Dit is gedaan om diverse redenen, waarvan de belangrijkste het doel is om het implementatieproces voor defensie-aannemers, met name kleine tot middelgrote bedrijven, te vereenvoudigen. Het vorige model met vijf niveaus werd als te complex en belastend ervaren voor sommige bedrijven, wat vaak leidde tot verwarring en het belemmeren van efficiënte naleving.
Door het raamwerk te comprimeren tot drie duidelijke niveaus: Foundational, Advanced en Expert, wil CMMC 2.0 een gestroomlijnde, beheersbare en kosteneffectieve oplossing bieden voor organisaties. Dit model maakt een meer geleidelijke vooruitgang mogelijk in de implementatie van beveiligingsmaatregelen, waardoor het voor bedrijven eenvoudiger wordt om hun nalevingsvereisten te begrijpen en te realiseren.
Een ander belangrijk voordeel is dat de nieuwe structuur met drie niveaus beter aansluit bij het diverse scala aan bedreigingen waarmee verschillende organisaties te maken kunnen krijgen. Het biedt een meer op maat gemaakte benadering van cyberbeveiliging, waarbij het niveau van beveiligingscontroles wordt afgestemd op de gevoeligheid en het belang van de informatie die een bedrijf verwerkt.
Tot slot kan de reductie naar drie niveaus in CMMC 2.0 leiden tot verbeterde standaardisatie binnen de defensiesector. Een eenvoudiger raamwerk zal waarschijnlijk consistenter worden toegepast, waardoor de algehele cyberhygiëne en weerbaarheid van bedrijven binnen de toeleveringsketen wordt versterkt.
Kortom, de overgang naar minder volwassenheidsniveaus in CMMC 2.0 is een poging om de noodzaak van robuuste cyberverdediging in balans te brengen met de praktische realiteit van bedrijfsvoering in de defensietoeleveringsketen. Het doel is een model te bereiken dat naleving stimuleert, complexiteit vermindert en tegemoetkomt aan de behoeften van een diverse groep organisaties.
We gaan hieronder dieper in op elk niveau.
CMMC 2.0-niveaus uitgelegd
CMMC 1.0 had vijf volwassenheidsniveaus, maar CMMC 2.0 heeft deze teruggebracht tot drie lagen. CMMC 2.0 elimineert alle volwassenheidsprocessen en unieke CMMC 1.0-beveiligingspraktijken en sluit nauw aan bij NIST 800-normen.
Tabel 1. CMMC 2.0 heeft het aantal lagen teruggebracht van vijf naar drie en Level 2 gekoppeld aan NIST SP 800-171.
CMMC 2.0 bevat drie lagen van beoordelingen op basis van het niveau van informatie-toegang (zie Tabel 1). Deze zijn:
CMMC 2.0 Level 1: Foundational
CMMC Level 1 vereist een jaarlijkse zelfevaluatie met attestatie door een bedrijfsleider. Dit niveau omvat de basisbeschermingsvereisten voor FCI zoals gespecificeerd in FAR Clause 52.204-21.
CMMC 2.0 Level 2: Advanced
CMMC Level 2 is afgestemd op NIST SP 800-171. Het vereist driejaarlijkse beoordelingen door derden voor aannemers die kritieke nationale veiligheidsinformatie verzenden, delen, ontvangen en opslaan. Deze beoordelingen worden uitgevoerd door C3PAO’s. Geselecteerde aannemers die onder Level 2 vallen, hoeven alleen een jaarlijkse zelfevaluatie met bedrijfsattestatie uit te voeren.
Dit niveau omvat de beveiligingsvereisten voor CUI zoals gespecificeerd in NIST SP 800-171 Rev 2 per DFARS Clause 252.204-7012 [3, 4, 5].
CMMC 2.0 Level 3: Expert
CMMC Level 3 is afgestemd op NIST SP 800-172 en vereist driejaarlijkse beoordelingen onder leiding van de overheid. Level 3 bevat 24 vereisten uit NIST SP 800-172.
14 Kernbeveiligingsdomeinen van CMMC 2.0 Level 2
De 14 kernbeveiligingsdomeinen van CMMC 2.0 vertegenwoordigen de beveiligingspraktijken en -processen waaraan organisaties moeten voldoen bij het verwerken van CUI. De 14 domeinen worden als essentieel beschouwd voor de bescherming van CUI en vormen de basis waarop de diverse niveaus van CMMC-certificering zijn gebouwd.
De 14 domeinen zijn:
1. Toegangscontrole (AC) – Beperk toegang tot CUI
Een beveiligingspraktijk die toegang tot CUI beperkt op basis van het need-to-know-principe. Toegangscontrole zorgt er ook voor dat alleen geauthenticeerde en geautoriseerde personen, processen en andere entiteiten toegang hebben tot CUI door gebruik te maken van verschillende methoden zoals identificatie, authenticatie, autorisatie en non-repudiatie. Toegangscontrole monitort en logt ook alle toegang tot CUI.
2. Audit en Verantwoording (AA) – Volg en rapporteer wie CUI benadert
Het proces van verifiëren en volgen van activiteiten van gebruikers, processen en andere entiteiten die CUI benaderen. Dit omvat het loggen van toegang tot CUI, het volgen van wijzigingen aan CUI en het periodiek beoordelen van CUI om de integriteit te waarborgen. Het doel van Audit en Verantwoording is om de beveiliging van CUI te behouden en ongeautoriseerde toegang en gebruik van CUI te detecteren, te onderzoeken en te voorkomen.
3. Bewustwording en Training (AT) – Ontwikkel en versterk correct omgaan met CUI
De praktijk van het bieden van beveiligingsbewustzijnstraining en andere beveiligingsgerelateerde educatie en training aan medewerkers en aannemers. Deze training moet ten minste de basisprincipes van het beveiligingsprogramma van de organisatie behandelen, zoals het herkennen van beveiligingsdreigingen, omgaan met en beschermen van CUI, correcte gegevensverwijdering en reageren op beveiligingsincidenten.
4. Configuratiebeheer (CM) – Behoud de integriteit van informatiesystemen
Een praktijk die de integriteit van de hardware, software en documentatie van een informatiesysteem gedurende de levenscyclus waarborgt. Dit omvat het opstellen en onderhouden van een basisconfiguratie, het bijhouden van een inventaris van componenten, het monitoren van wijzigingen aan de basislijn en het waarborgen van de juistheid van de configuratie. Configuratiebeheer omvat ook het beveiligen en beschermen van systeemcomponenten en het zorgen dat deze beschikbaar zijn wanneer nodig.
5. Identificatie en Authenticatie (IA) – Verifieer dat alleen geautoriseerd personeel CUI kan benaderen
Een beveiligingspraktijk waarbij de identiteit van een individu, proces of andere entiteit wordt geverifieerd en wordt gewaarborgd dat deze geautoriseerd is om CUI te benaderen. Dit omvat doorgaans het gebruik van wachtwoorden, biometrie of tokens om gebruikers, processen of apparaten te authenticeren en te identificeren. Het is belangrijk om te waarborgen dat alleen geautoriseerde personen en processen toegang krijgen tot CUI.
6. Reactie op incidenten (IR) – Detecteer en reageer op beveiligingsincidenten
De praktijk van het identificeren, reageren op en beperken van beveiligingsincidenten. Reactie op incidenten omvat het detecteren en reageren op datalekken en andere kwaadaardige activiteiten, het analyseren van de impact van het incident, het opstellen van een beheersplan en het ontwikkelen en implementeren van een herstelplan. Reactie op incidenten omvat ook het herstellen van systemen naar normale werking, het onderzoeken van de bron van het incident en het implementeren van maatregelen om soortgelijke incidenten in de toekomst te voorkomen.
7. Onderhoud (MA) – Houd informatiesystemen optimaal operationeel
De praktijk van het onderhouden van de operationele staat van een informatiesysteem, inclusief de componenten en de omgeving, om te waarborgen dat het systeem veilig en operationeel blijft. Dit omvat preventief onderhoud, correctief onderhoud en administratief onderhoud. Preventief onderhoud houdt in dat systeemcomponenten en software up-to-date zijn en dat beveiligingsbeleid, procedures en beschermingsmaatregelen correct worden geïmplementeerd. Correctief onderhoud omvat het identificeren, reageren op en beperken van beveiligingsincidenten en andere kwaadaardige activiteiten. Administratief onderhoud houdt in dat systeemtoegangsrechten up-to-date zijn en dat beveiligingscontroles correct worden geïmplementeerd.
8. Mediabescherming (MP) – Bescherm CUI op verwisselbare media
De praktijk van het beschermen van CUI die is opgeslagen op verwisselbare media, zoals USB-sticks, cd-roms en andere soorten externe opslagmedia. Dit omvat het beschermen van media tegen ongeautoriseerde toegang en wijziging, het waarborgen dat media niet worden blootgesteld aan potentiële dreigingen en het correct verwijderen van media. Mediabescherming omvat ook het versleutelen van CUI op media en het afdwingen van toegangscontrolebeleid voor media.
9. Personeelsbeveiliging (PS) – Screen en bescherm medewerkers die CUI verwerken
De bescherming van de beveiligingsstatus van personeel, zowel binnen als buiten de organisatie, die betrokken zijn bij het verwerken of behandelen van CUI. Dit omvat het beschermen van personeel tegen potentiële dreigingen, zoals ongeautoriseerde toegang, wijziging, vernietiging of diefstal van CUI. Het omvat ook het implementeren van beleid en procedures die waarborgen dat personeel de kennis, vaardigheden en kwalificaties heeft om CUI te beschermen, inclusief de noodzakelijke achtergrondcontroles en andere beveiligingsgerelateerde kwalificaties.
10. Fysieke beveiliging (PE) – Zorg voor fysieke beveiliging van apparatuur en faciliteiten
Een beveiligingspraktijk die betrekking heeft op de bescherming van fysieke middelen en activa, zoals computers, netwerken en andere hardware en apparatuur, tegen ongeautoriseerde toegang, wijziging, vernietiging of diefstal. Dit omvat het implementeren van diverse fysieke en logische beveiligingsmaatregelen zoals sloten, bewakers, camera’s, barrières, authenticatieapparaten en firewalls. Fysieke beveiliging omvat ook het afdwingen van toegangscontrolebeleid en het monitoren van fysieke toegang tot CUI.
11. Risicobeoordeling (RA) – Identificeer en evalueer risico’s voor informatiesystemen
Deze praktijk omvat het uitvoeren van regelmatige risicobeoordelingen om potentiële dreigingen, kwetsbaarheden en hun impact op een organisatie te detecteren. Dit domein zorgt ervoor dat risico’s effectief worden beheerd en beperkt door een basislijn voor risicobeheeractiviteiten vast te stellen. Belangrijke praktijken zijn het beoordelen van cyberbeveiligingsrisico’s, het implementeren van risicobeperkende strategieën en het periodiek bijwerken van risicobeoordelingen om in te spelen op nieuwe dreigingen. Dit domein is van cruciaal belang voor het handhaven van robuuste cyberbeveiligingsmaatregelen en het beschermen van gevoelige informatie binnen de infrastructuur van een organisatie.
12. Beveiligingsbeoordeling (CA) – Evalueer beveiligingsvereisten en maak een plan om aan de vereisten te voldoen
Het proces van het identificeren van de beveiligingsvereisten en het bepalen dat passende beveiligingscontroles aanwezig zijn om aan die vereisten te voldoen. Dit omvat het identificeren van potentiële dreigingen, het uitvoeren van kwetsbaarheids- en risicobeoordelingen, het implementeren van passende beveiligingscontroles en het monitoren van systemen en netwerken op potentiële dreigingen. Beveiligingsbeoordeling omvat ook het ontwikkelen en implementeren van beveiligingsbeleid, procedures en richtlijnen, en het monitoren van de naleving hiervan. Daarnaast omvat beveiligingsbeoordeling het periodiek beoordelen van systemen en netwerken om te waarborgen dat beveiligingscontroles effectief werken.
13. Systeem- en communicatiebeveiliging (SC) – Implementeer controles om potentiële dreigingen te identificeren en af te weren
De beveiligingspraktijk van het beschermen van systemen en communicatie tegen ongeautoriseerde toegang, wijziging, vernietiging of diefstal. Dit omvat het implementeren van diverse fysieke en logische beveiligingsmaatregelen, zoals firewalls, encryptie, authenticatieapparaten, toegangscontrolebeleid en het monitoren van systemen en netwerken op potentiële dreigingen. Systeem- en communicatiebeveiliging is een belangrijk aspect van beveiliging, omdat het helpt om CUI te beschermen tegen ongeautoriseerde toegang, wijziging, vernietiging of diefstal.
14. Systeem- en informatie-integriteit (SI) – Bescherm informatie en informatiesystemen tegen dreigingen
Een essentieel onderdeel van het CMMC 2.0-model dat betrekking heeft op het waarborgen van de nauwkeurigheid, volledigheid en betrouwbaarheid van informatie en systemen. Dit omvat het implementeren van effectieve beveiligingscontroles om systemen te beschermen tegen kwaadaardige activiteiten, het monitoren van systemen op potentiële dreigingen en het periodiek uitvoeren van beoordelingen om te waarborgen dat informatie en systemen veilig en ongewijzigd blijven. Daarnaast omvat systeem- en informatie-integriteit het voorkomen van ongeautoriseerde toegang tot informatie en systemen, en het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie.
Welk CMMC 2.0-niveau moeten DoD-aannemers nastreven?
Er zijn drie niveaus van CMMC 2.0, variërend van basis cyberhygiëne tot geavanceerde cyberbeveiligingspraktijken. Deze niveaus zijn cumulatief opgebouwd, wat betekent dat elke klasse voortbouwt op de vereisten van de vorige. Hoe hoger de groep, hoe grondiger de cyberbeveiligingsvereisten.
Om te kunnen inschrijven op DoD-contracten die cyberbeveiligingsnaleving vereisen, moeten aannemers gecertificeerd zijn op het juiste niveau. Dit betekent dat aannemers hun cyberbeveiligingspraktijken moeten beoordelen en stappen moeten ondernemen om te waarborgen dat ze het vereiste nalevingsniveau halen. Voor DoD-aannemers betekent CMMC 2.0 dat zij aan specifieke cyberbeveiligingsvereisten moeten voldoen om in aanmerking te komen voor contracten met het DoD.
CMMC 2.0 en kleine zakelijke aannemers
Kleine bedrijven vormen een vitaal onderdeel van de industriële defensiebasis (DIB) en spelen een belangrijke rol in de economie. De implementatie van CMMC 2.0 brengt echter een unieke set uitdagingen en overwegingen met zich mee voor deze aannemers. Kleine bedrijven staan voor dezelfde vereisten als grotere aannemers, maar beschikken mogelijk niet over dezelfde middelen en mogelijkheden om aan de normen te voldoen. Het CMMC 2.0-raamwerk vereist dat aannemers voldoende cyberbeveiligingsmaatregelen hebben om CUI in hun systemen te beschermen. Kleine bedrijven moeten het effect van CMMC 2.0 op hun bedrijfsvoering begrijpen en actie ondernemen om te zorgen voor naleving van regelgeving.
Kleine bedrijven staan voor unieke uitdagingen en overwegingen bij het voldoen aan de vereisten van CMMC 2.0. De gemeenschap van kleine bedrijven moet het effect van CMMC 2.0 op hun bedrijfsvoering begrijpen en proactieve stappen ondernemen om aan de vereisten te voldoen. Kleine bedrijven moeten rekening houden met de kosten van het implementeren van voldoende cyberbeveiligingsmaatregelen en training, de beschikbaarheid van cyberbeveiligingsexpertise en de noodzaak van regelmatige beoordelingen.
Impact van CMMC 2.0 op kleine bedrijven
Het CMMC 2.0-raamwerk vereist dat aannemers beoordelingen door derden ondergaan om te verifiëren dat zij voldoende cyberbeveiligingsmaatregelen in hun systemen hebben geïmplementeerd. Kleine bedrijven moeten hun mate van gereedheid voor deze beoordelingen begrijpen en een plan ontwikkelen om aan de vereisten te voldoen. Kleine bedrijven zullen moeten investeren in cyberbeveiligingsmaatregelen en training om ervoor te zorgen dat ze voorbereid zijn op de beoordelingen. Niet voldoen aan de vereisten van CMMC 2.0 kan leiden tot verlies van bestaande contracten, het onvermogen om op nieuwe contracten in te schrijven of zelfs boetes en sancties.
Lees onze blog post over CMMC-naleving voor kleine bedrijven voor meer informatie.
CMMC-nalevingsmiddelen voor kleine bedrijven
Het DoD erkent het belang van kleine bedrijven in de DIB en heeft middelen en ondersteuningsprogramma’s ontwikkeld om hen te helpen voldoen aan de vereisten van CMMC 2.0. De Small Business Administration (SBA) biedt verschillende programma’s, waaronder het Small Business Innovation Research (SBIR) en Small Business Technology Transfer (STTR) programma, die financiering bieden voor kleine bedrijven om nieuwe technologieën en capaciteiten te ontwikkelen die kunnen worden ingezet om aan de vereisten van CMMC 2.0 te voldoen.
Het CMMC-certificeringstraject: wat te verwachten
Accreditatie voor CMMC 2.0 Level 2 vereist voorbereiding en tijd om te voltooien, zowel de zelfevaluatie als de beoordeling door een C3PAO.
Verschil tussen CMMC-zelfevaluatie en beoordeling door derden
CMMC 2.0 gebruikt verschillende beoordelingstypes afhankelijk van het vereiste niveau en de gevoeligheid van de verwerkte informatie.
Een zelfevaluatie is een interne beoordeling uitgevoerd door de Organisatie die Certificering zoekt (OSC) aan de hand van de toepasselijke CMMC-vereisten. Dit omvat het documenteren van hoe controles worden nageleefd en het indienen van resultaten, samen met een leidinggevende bevestiging, in het Supplier Performance Risk System (SPRS) van het DoD. Level 1-naleving vereist een jaarlijkse zelfevaluatie. Sommige contracten die Level 2-naleving vereisen, vereisen ook alleen een jaarlijkse zelfevaluatie.
Een beoordeling door derden, of certificeringsbeoordeling, is vereist voor de meeste contracten waarbij CUI op Level 2 betrokken is. Deze beoordeling moet worden uitgevoerd door een geaccrediteerde CMMC Organisatie van derde beoordelaars (C3PAO’s). C3PAO’s zijn onafhankelijke entiteiten die door het CMMC Accreditation Body (CMMC AB) zijn gemachtigd om CMMC-beoordelingen uit te voeren.
Dit proces is aanzienlijk grondiger dan een zelfevaluatie, met een gedetailleerde beoordeling van bewijs, interviews en testen door gecertificeerde beoordelaars om de implementatie en effectiviteit van alle 110 NIST 800-171-controles te verifiëren. Een succesvolle CMMC-nalevingsaudit resulteert in een CMMC Level 2-certificering die drie jaar geldig is, onder voorbehoud van jaarlijkse bevestigingen.
Level 3-beoordelingen worden uitgevoerd door overheidsbeoordelaars van het Defense Industrial Base Cybersecurity Assessment Center (DIBCAC), niet door C3PAO’s. Voorbereiding op een beoordeling door derden of door de overheid vereist meer uitgebreide documentatie, volwassen processen, robuuste bewijsverzameling en coördinatie met het beoordelingsteam, vergeleken met de interne focus van een zelfevaluatie. Het vroegtijdig begrijpen van het vereiste beoordelingstype is cruciaal voor het plannen van de juiste middelen en inspanning voor de CMMC-certificeringstijdlijn.
Documentatie voor CMMC-naleving
Accreditatie vereist het opzetten van periodieke beoordelingen van beveiligingscontroles om te bepalen of deze effectief zijn in hun toepassing, documentatie en updates van het systeembeveiligingsplan (SSP) en documentatie van een herstelplan (POA&M) om praktijkcontrolegebieden aan te pakken die niet zijn geslaagd voor de initiële audit en de tijdlijnen en middelen die nodig zijn om geïdentificeerde problemen op te lossen.
Vanwege deze vereisten raden CMMC 2.0-experts aan dat organisaties minstens zes maanden van tevoren een audit starten. Met de publicatie van de definitieve regel 32 CFR Part 170 in het Federal Register op 15 oktober 2024 start de gefaseerde implementatie in Q1 2025 en is het tijd voor DoD-aannemers en onderaannemers om nu te beginnen.
De huidige DoD-methodologie voor NIST SP 800-171—waar CMMC 2.0 Level 2 aan is gekoppeld—zelfevaluatie levert drie scores op voor elk van de 110 Level 2-praktijken met een gewicht van 1, 3 of 5.
Hoewel de definitieve details over CMMC 2.0-scores nog niet zijn vrijgegeven, zijn er aanwijzingen dat de score- en wegingmethodologie voor NIST SP 800-171 waarschijnlijk zal worden weerspiegeld in deze richtlijnen. Het belangrijkste is dat van de 110 beveiligingscontroles in CMMC 2.0 (en NIST SP 800-171), 50 een gewicht van 1 hebben, terwijl de andere 60 3 of 5 punten waard zijn.
Op basis van informatie die is vrijgegeven door een CMMC-directeur op een cyberbeveiligingsevenement in april 2022, mogen alleen praktijkcontroles met 1 punt een POA&M krijgen. Voor praktijkcontroles met een gewicht van 3 of 5 is geen POA&M toegestaan; het tekort moet worden hersteld voordat zaken met het DoD kunnen worden gedaan.
Het DoD is ook van plan een minimale Supplier Performance Risk Score (SPRS) vast te stellen die moet worden behaald wanneer POA&M’s worden gebruikt om accreditatie te verkrijgen. Tegelijkertijd krijgen organisaties een gespecificeerde termijn om tekortkomingen aan te pakken, aangezien POA&M’s tijdsgebonden zijn met strikt gehandhaafde limieten (waarschijnlijk 180 dagen).
Kostenoverwegingen voor CMMC-certificering
Het behalen van CMMC-certificering brengt diverse kosten met zich mee waarmee organisaties rekening moeten houden in hun budget. Deze kosten variëren aanzienlijk op basis van het beoogde CMMC-niveau, de omvang en complexiteit van de organisatie en de huidige cyberbeveiligingsvolwassenheid. Belangrijke kostencomponenten zijn onder meer:
- Beoordelingskosten: Voor Level 2-certificering kunnen de vergoedingen aan een C3PAO voor de formele beoordeling variëren van tienduizenden tot meer dan $100.000, afhankelijk van de complexiteit van de scope. Level 1 en sommige Level 2 vereisen zelfevaluaties, die lagere directe kosten hebben maar nog steeds interne middelen vereisen. Level 3-beoordelingskosten worden gedragen door de overheid (DIBCAC).
- Herstel- en voorbereidingskosten: Dit is vaak de grootste uitgavencategorie. Dit omvat investeringen in nieuwe beveiligingstechnologieën (zoals endpointbeveiliging, SIEM, multi-factor authentication-oplossingen), hardware-upgrades, softwarelicenties, het ontwikkelen of bijwerken van beleid en procedures en de tijd van het personeel voor implementatie. Deze kosten kunnen minimaal zijn (voor volwassen organisaties) tot aanzienlijk (honderdduizenden) als er grote beveiligingsgaten zijn.
- Advies- en begeleidingskosten: Veel organisaties huren CMMC-adviseurs, Registered Practitioners (RP’s) of Geregistreerde aanbiedersorganisaties (RPO’s) in voor gap-analyses, gereedheidsbeoordelingen, implementatieondersteuning en voorbereiding op de beoordeling. De kosten variëren sterk afhankelijk van de omvang van de opdracht.
- Interne middelen: Er is aanzienlijke interne tijd van medewerkers nodig voor projectmanagement, documentatie, training, implementatie van controles en ondersteuning van de beoordeling zelf.
- Doorlopend onderhoud: Naleving is continu. Kosten omvatten jaarlijkse bevestigingen, mogelijke verlenging van softwareabonnementen, continue monitoringtools/-diensten, doorlopende training en driejaarlijkse herbeoordelingen (voor Level 2/3). Hoewel Level 1-kosten relatief laag zijn, kan het behalen van Level 2-certificering een aanzienlijke investering zijn, vooral voor kleine tot middelgrote bedrijven.
CMMC uitsluitend als kostenpost zien, doet echter geen recht aan het rendement: een verbeterde cyberbeveiligingsstatus vermindert het risico op datalekken, zorgt voor geschiktheid voor DoD-contracten die essentieel zijn voor de continuïteit van de DIB en biedt potentiële concurrentievoordelen. Organisaties kunnen hun uitgaven optimaliseren door bestaande conforme tools te benutten, tijdig grondige gap-analyses uit te voeren, herstelinspanningen te prioriteren en gebruik te maken van beschikbare middelen van de CMMC-AB en NIST.
De voordelen van CMMC 2.0
Hoewel weinigen van ons uitkijken naar weer een lang traject op het gebied van informatiebeveiliging, is de overstap van CMMC 1.0 naar 2.0 een cruciale en noodzakelijke. De nieuwe vereisten weerspiegelen een grotere focus op de bescherming van FCI en CUI.
Dit verhoogde beschermingsniveau is essentieel in de huidige zakelijke omgeving, waar datalekken steeds vaker voorkomen en cyberaanvallen toenemen in complexiteit—elementen die een ernstig risico vormen voor de DoD-toeleveringsketen.
Het goede nieuws is dat er aanzienlijke voordelen zijn bij de implementatie van CMMC 2.0. Enkele hiervan zijn:
- Het verminderen van cyberrisico’s in de DoD-toeleveringsketen door het vaststellen van risicobeheer toeleveringsketen-normen waaraan alle aannemers en onderaannemers moeten voldoen.
- Voortbouwen op bestaande regelgeving (zoals DFARS 252.204-7012, NIST SP 800-171) die wordt gebruikt om vertrouwen op te bouwen door een verificatiestandaard voor cyberbeveiliging toe te voegen.
- Een kosteneffectieve manier voor kleine bedrijven—waarvan de meeste DoD-aannemers en onderaannemers zijn—om cyberbeveiligingscontroles te implementeren die het risico voor henzelf, het DoD en andere publieke en private partijen met wie zij zaken doen, verminderen. Accreditatie kan een competitief voordeel opleveren voor een klein bedrijf door hen te helpen zich te onderscheiden van concurrenten zonder CMMC 2.0-certificering.
CMMC 2.0-naleving: recept voor succes
Net als bij CMMC 1.0 draait CMMC 2.0 volledig om het beschermen van FCI en CUI. Met de overgang naar CMMC 2.0 voltooid, moeten organisaties nieuwe controles en processen implementeren om deze informatie te beschermen.
Hoewel dit ontmoedigend kan lijken, zijn er veel middelen beschikbaar om je voor te bereiden op de overgang. De tijd nemen om vertrouwd te raken met de nieuwe vereisten zal zich op de lange termijn uitbetalen en zorgt voor een soepele overgang voor je organisatie.
Bouw een CMMC 2.0-nalevingsstrategie
Het opstellen van een CMMC 2.0-nalevingsstrategie vereist zorgvuldige planning en uitvoering. Aannemers moeten een nalevingsplan opstellen, rollen en verantwoordelijkheden definiëren en de benodigde middelen en tools identificeren.
Stel een nalevingsplan en beleid op
Het ontwikkelen van een nalevingsplan is de eerste stap naar het behalen van CMMC 2.0-naleving. Het is essentieel om de scope van het nalevingsprogramma te bepalen, inclusief de activa en systemen die bescherming vereisen. Daarnaast is het belangrijk om het vereiste CMMC-volwassenheidsniveau voor naleving te bepalen. Het nalevingsplan moet beleid bevatten dat procedures voor gegevensbescherming, toegangscontroles en gegevensverwerking beschrijft. Beleid moet consistent zijn met het vereiste CMMC-niveau en de bedrijfsvoering van de aannemer. Daarnaast moeten beleidsregels regelmatig worden herzien om naleving van de steeds evoluerende CMMC-normen te waarborgen.
Definieer rollen en verantwoordelijkheden
Rollen en verantwoordelijkheden moeten duidelijk worden gedefinieerd om naleving van de CMMC 2.0-normen te waarborgen. Het nalevingsteam moet bestaan uit personen die kennis hebben van de CMMC-normen en ervaring hebben met het implementeren van nalevingsprogramma’s. Het is essentieel om rollen toe te wijzen aan personen die de bevoegdheid hebben om nalevingsbeleid en -procedures af te dwingen. Het team moet ook personen uit verschillende delen van de organisatie omvatten, waaronder IT, juridisch, HR en financiën, om nalevingskwesties effectief te beheren.
Identificeer benodigde middelen en tools
Om CMMC 2.0-naleving te bereiken, moeten aannemers de benodigde middelen en tools identificeren en hierin investeren. Zo moeten aannemers investeren in beveiligingstools zoals firewalls, antivirussoftware en inbraakdetectiesystemen. Daarnaast moeten aannemers overwegen om medewerkers te trainen op het gebied van beveiligingsbewustzijn, kwetsbaarheidsbeoordelingen en reactie op incidenten. Deze middelen en tools moeten aansluiten bij het CMMC-niveau en de bedrijfsvoering van de aannemer. Aannemers kunnen ook samenwerken met externe leveranciers voor expertise en tools om naleving te bereiken.
CMMC-vereisten in kaart brengen
Bij het opstellen van een CMMC 2.0-nalevingsstrategie moeten DoD-aannemers en onderaannemers ook CMMC-vereisten in kaart brengen, beveiligingsgaten identificeren en controles implementeren. De aannemers moeten een benadering van continue monitoring en verbetering hanteren om naleving van de steeds evoluerende CMMC-normen te behouden.
Gap-analyse-methodologie voor CMMC-naleving
Een CMMC-gap-analyse vergelijkt systematisch de huidige cyberbeveiligingsstatus van een organisatie met de specifieke vereisten van het beoogde CMMC-niveau. Een methodische aanpak omvat:
- Bepaal de scope: Identificeer duidelijk de CMMC Assessment Scope (CAS), inclusief alle activa (mensen, processen, technologie) die FCI of CUI verwerken, opslaan of verzenden. Gebruik de officiële CMMC Scoping Guidance.
- Bepaal het doel-niveau & vereisten: Bepaal het vereiste CMMC-niveau (1, 2 of 3) op basis van contractuele verplichtingen en de verwerkte gegevens. Verzamel de bijbehorende vereisten (FAR Clause 52.204-21 voor Level 1; NIST SP 800-171 Rev 2 voor Level 2; NIST SP 800-171 + geselecteerde NIST SP 800-172-controles voor Level 3).
- Beoordeel de huidige situatie: Bekijk bestaand beleid, procedures, configuraties en praktijken die relevant zijn voor elke CMMC-vereiste/beoordelingsdoelstelling. Gebruik de officiële CMMC Assessment Guides voor gedetailleerde criteria.
- Map controles: Koppel bestaande beveiligingscontroles aan de CMMC-vereisten die ze adresseren. Identificeer waar controles volledig, gedeeltelijk of niet zijn geïmplementeerd.
- Verzamel bewijs: Verzamel objectief bewijs (zoals beleidsdocumenten, systeemconfiguraties, logbestanden, trainingsregistraties, interviewnotities) om de huidige situatie voor elke vereiste te onderbouwen.
- Identificeer & documenteer gaten: Leg duidelijk elke vereiste vast die niet volledig wordt nageleefd. Beschrijf het specifieke tekort, het bijbehorende risico en de CMMC-praktijken/doelstellingen die worden beïnvloed. Veelvoorkomende gaten zijn onder andere onvolledige documentatie (SSP, beleid), inconsistente implementatie van controles (zoals multi-factor authentication of audit logs), gebrek aan formele procedures of onvoldoende beveiligingsbewustzijnstraining.
- Prioriteer gaten: Rangschik de geïdentificeerde gaten op basis van factoren zoals het bijbehorende CMMC-controlegewicht (voor Level 2/3), potentiële risicobeïnvloeding, kosten en inspanning voor herstel en afhankelijkheden tussen controles.
- Ontwikkel herstelplan: Gebruik de geprioriteerde gap-lijst om het Plan van Aanpak & Mijlpalen (POA&M) op te stellen of bij te werken, met daarin specifieke herstelacties, verantwoordelijken, benodigde middelen en streefdata voor voltooiing.
Identificeer gaten en implementeer controles
Gaten die tijdens het mappingproces worden geïdentificeerd, moeten worden aangepakt door controles te implementeren die consistent zijn met het vereiste CMMC-niveau en de bedrijfsvoering van de aannemer of onderaannemer. Controles moeten worden gedocumenteerd, getest en gemonitord om te waarborgen dat ze risico’s effectief beperken en voldoen aan de CMMC-vereisten. Zo moeten aannemers mogelijk toegangscontroles implementeren om toegang tot gevoelige data te beperken, procedures voor gegevensback-up invoeren, zorgen voor het gebruik van veilige softwareontwikkelingspraktijken en procedures voor reactie op incidenten implementeren.
Commitment aan continue monitoring en verbetering
Het behalen van CMMC 2.0-naleving is geen eenmalige gebeurtenis; het vereist continue monitoring en verbetering van beleid, procedures en controles. De aannemers moeten een systeem voor continue monitoring opzetten om beveiligingsincidenten te detecteren en erop te reageren en eventuele gaten die herstel vereisen te identificeren. Aannemers moeten ook periodieke beoordelingen uitvoeren om te waarborgen dat systemen en beleid up-to-date zijn met de steeds evoluerende CMMC-normen. Continue verbeteringsinspanningen helpen aannemers om naleving te behouden en kostbare beveiligingsincidenten te voorkomen.
Tools en middelen voor CMMC-vereistenmapping
Het in kaart brengen van bestaande beveiligingscontroles aan CMMC-vereisten kan complex zijn, maar er zijn verschillende tools en middelen die organisaties kunnen ondersteunen:
- Officiële CMMC-documentatie: De primaire bronnen zijn het CMMC Model Overview, Scoping Guidance en specifieke Assessment Guides voor Level 1, Level 2 en Level 3, beschikbaar op de officiële DoD CMMC-website. Deze gidsen beschrijven de beoordelingsdoelstellingen voor elke praktijk, essentieel voor nauwkeurige mapping.
- NIST-publicaties: Aangezien CMMC Level 2 is afgestemd op NIST 800-171 Rev 2 en Level 3 elementen van NIST 800-172 bevat, zijn deze documenten essentieel. NIST biedt controlecatalogi, mappings en aanvullende richtlijnen (zoals NIST SP 800-171A, de beoordelingsdoelstellingen). Deze zijn beschikbaar op de NIST-website.
- Spreadsheet-sjablonen: Veel organisaties beginnen met spreadsheet-sjablonen (zelfgemaakt of via adviseurs/online bronnen) om CMMC-vereisten te inventariseren, bestaande controles te koppelen, bewijs te volgen, gaten te documenteren en POA&M-items te beheren. Hoewel flexibel, kunnen ze omslachtig worden voor complexe omgevingen.
- Bestuur, risico en naleving (GRC)-platforms: Commerciële GRC-software bevat vaak vooraf gebouwde CMMC-raamwerken. Deze tools kunnen mapping automatiseren, documentatie en bewijs centraliseren, workflows voor herstelbeheer beheren, voortgang volgen en rapporten genereren voor beoordelingen en interne controles. Opties variëren in prijs en complexiteit, geschikt voor middelgrote tot grote organisaties die automatisering en integratie zoeken.
- CMMC AB Marketplace: The Cyber AB onderhoudt een marketplace met geautoriseerde C3PAO’s, RPO’s, RP’s en gelicentieerde toolproviders. Dit helpt organisaties gevalideerde tools en diensten te vinden die specifiek zijn ontworpen voor CMMC-voorbereiding en -beoordeling.
De juiste tools kiezen hangt af van factoren zoals budget, interne expertise, de complexiteit van de IT-omgeving en het vereiste CMMC-niveau. Het gebruik van de officiële Assessment Guides samen met geschikte tools kan het mappingproces aanzienlijk stroomlijnen en de nauwkeurigheid van de gap-analyse verbeteren.
Een effectief CMMC-nalevingsstappenplan opstellen
Een effectief CMMC-nalevingsstappenplan is een strategisch projectplan dat de route naar het behalen en behouden van het vereiste certificeringsniveau beschrijft. Het opstellen ervan omvat deze belangrijke stappen:
Fase 1: Beoordeling & planning
- Bepaal niveau & scope: Bevestig het beoogde CMMC-niveau en definieer nauwkeurig de CMMC Assessment Scope (CAS).
- Voer gap-analyse uit: Voer een grondige beoordeling uit aan de hand van de CMMC-vereisten voor je beoogde niveau (gebruik de officiële Assessment Guides en NIST SP 800-171/172 waar van toepassing).
- Ontwikkel POA&M: Documenteer alle geïdentificeerde gaten, prioriteer ze en beschrijf herstelstappen, verantwoordelijkheden en tijdlijnen.
- Resource-allocatie: Schat budgetbehoeften in (tools, advies, beoordelingskosten) en wijs interne personeelsmiddelen toe.
- Beveilig sponsorship: Verkrijg expliciete steun van het uitvoerend management.
Fase 2: Implementatie & herstel
- Voer POA&M uit: Implementeer systematisch vereiste technische controles, ontwikkel/werk beleid en procedures bij en sluit geïdentificeerde gaten.
- Voer training uit: Leid relevant personeel op over nieuw beleid, procedures en hun CMMC-verantwoordelijkheden.
- Verzamel bewijs: Verzamel en organiseer objectief bewijs dat naleving voor elke vereiste aantoont.
- Update SSP: Onderhoud een actueel Systeembeveiligingsplan (SSP) dat de huidige implementatiestatus van alle controles weerspiegelt.
Fase 3: Validatie & beoordeling
- Interne review/gereedheidsbeoordeling: Voer interne audits uit of schakel een derde partij in (zoals een RPO) voor een gereedheidsbeoordeling om de paraatheid te valideren.
- Selecteer C3PAO (indien van toepassing): Voor Level 2-certificering, selecteer een geautoriseerde C3PAO uit de Cyber AB Marketplace.
- Onderga formele beoordeling: Neem deel aan de zelfevaluatie (Level 1/sommige Level 2) of de C3PAO/DIBCAC-beoordeling (Level 2/Level 3-certificering).
Fase 4: Certificering & onderhoud
- Pak bevindingen aan: Los eventuele bevindingen uit de beoordeling op binnen de toegestane POA&M-termijn (180 dagen voor Level 2/3).
- Behaal certificering/bevestiging: Ontvang formele certificering (Level 2/3) of dien jaarlijkse bevestiging in (alle niveaus).
- Continue monitoring: Implementeer processen voor voortdurende monitoring, regelmatige reviews en onderhoud van de beveiligingsstatus.
- Plan voor hercertificering: Bereid je voor op de driejaarlijkse hercertificeringsbeoordeling (Level 2/3). Het stappenplan moet duidelijke mijlpalen, realistische tijdlijnen (rekening houdend met de totale CMMC-implementatietijdlijn), toegewezen eigenaren voor taken, afhankelijkheden en regelmatige voortgangsreviews met een multidisciplinair team (IT, Security, Legal, Contracts, HR) bevatten. Flexibiliteit is essentieel, aangezien het CMMC-landschap en de behoeften van de organisatie kunnen veranderen.
Hoe bereid je je voor op CMMC 2.0
Een webinar met Optiv’s VP (en voormalig FBI CIO) James Turgal en Kiteworks’ CISO en SVP Operations Frank Balonis besprak wat DoD-aannemers en onderaannemers moeten doen om zich voor te bereiden op CMMC 2.0. Hieronder volgen enkele aanbevelingen voor het opstellen van een stappenplan voor CMMC 2.0:
1. Bundel bestand- en e-maildatacommunicatie op één platform
Het identificeren van een technologieplatform en/of tools voor het verzenden, delen, ontvangen en opslaan van FCI en CUI zal veel van de Level 2-praktijkvereisten adresseren. Het juiste platform voor gevoelige contentcommunicatie voor e-mail, bestandsoverdracht, geautomatiseerde bestandsoverdracht, webformulieren en API’s zal het accreditatieproces aanzienlijk stroomlijnen.
2. Ken je privédata: FCI, CUI of beide
Bekijk je contracten en bepaal welke informatie geclassificeerd is als FCI of CUI, indien van toepassing. CUI is informatie die relevant is voor de belangen van de VS en omvat gevoelige, niet-geclassificeerde informatie waarvoor controles nodig zijn om deze te beschermen of te verspreiden. Specifieke categorieën van CUI zijn te vinden in het DoD CUI-register.
3. Bepaal het juiste CMMC 2.0-niveau
FCI is informatie die door of onder een overheidscontract is verstrekt of gegenereerd en die niet openbaar is gemaakt of bedoeld is voor openbaarmaking. Elk bedrijf met FCI moet CMMC 2.0 Foundational Level 1-certificering behalen. Dit geldt voor DoD-aannemers en onderaannemers die zelfs geen CUI verwerken. Voor degenen die CUI verwerken, is CMMC 2.0 Level 2-certificering waarschijnlijk vereist.
4. Begrijp je SSP en POA&M
Bekijk je systeembeveiligingsplan (SSP) en POA&M-documenten. Stel jezelf onder andere de volgende vragen. Dekt je SSP de scope van waar je FCI en CUI hebt? Welke wijzigingen zijn er in je omgeving geweest die moeten worden herzien? Welke acties op je POA&M moet je nog voltooien? Plan uit wat je wanneer doet en waar het geld vandaan komt. (Belangrijke herinnering: POA&M’s zijn waarschijnlijk alleen toegestaan voor Level 2-praktijkvereisten met een gewogen score van 1.)
5. Zorg dat je documentatie op orde is
Zorg dat je geïntegreerd risicobeheer-documentatie op orde is. Heb je schriftelijk cyberbeveiligingsbeleid en -procedures? Worden deze nageleefd? Wanneer heb je ze voor het laatst herzien? Als je zou worden geaudit, zouden je beleid en procedures dan standhouden?
6. Test en valideer je controles
Test en valideer de controles die je al hebt geïmplementeerd. Onthoud dat beveiliging een proces is, geen eindbestemming, en dat je je controles regelmatig moet herbeoordelen (bij voorkeur minstens jaarlijks). Bekijk je gedocumenteerde beleid en procedures om te waarborgen dat ze effectief, efficiënt en nageleefd zijn.
7. Ga verder dan de basis cyberbeveiligingscontroles
Ga verder dan alleen de minimale nalevingsstappen om effectieve cyberbeveiliging voor je kritische bedrijfsinformatie te realiseren. Zo vereist CMMC niet dat je je data back-upt, maar het negeren van back-ups in het kader van naleving biedt geen zekerheid als je bedrijf slachtoffer wordt van ransomware. CMMC-experts benadrukken vaak terecht dat de vereiste controles slechts een minimumnorm zijn en niet noodzakelijk actieve beveiliging van je bedrijfsdata garanderen.
Veelvoorkomende valkuilen bij CMMC-beoordeling om te vermijden
Alles wat de moeite waard is, vereist inspanning. En CMMC-certificering vereist veel werk, zoals je hebt geconcludeerd. De diverse valkuilen waar defensie-aannemers in kunnen vallen bij het nastreven van CMMC-naleving en uiteindelijk CMMC-certificering maken het extra uitdagend. Enkele voorbeelden:
- Scope verkeerd begrijpen of definiëren: Het niet nauwkeurig identificeren van alle activa (systemen, mensen, faciliteiten, externe leveranciers) die CUI/FCI verwerken, opslaan of verzenden leidt tot een onvolledige beoordeling. Volg daarom zorgvuldig de CMMC Scoping Guidance en documenteer de CMMC Assessment Scope (CAS) nauwgezet.
- Onvoldoende of onjuiste documentatie: Gebrek aan een volledig Systeembeveiligingsplan (SSP), ontbrekend beleid/procedures of verouderde documentatie zijn belangrijke faalfactoren. Ontwikkel en onderhoud grondige, nauwkeurige documentatie die duidelijk beschrijft hoe elke controle wordt geïmplementeerd om dit risico te beperken.
- Beleid versus praktijk (“plankwaar”): Goed geschreven beleid dat niet daadwerkelijk wordt geïmplementeerd of consequent wordt nageleefd. Beoordelaars verifiëren implementatie, niet alleen documentatie. Zorg er dus voor dat procedures praktisch zijn, getraind worden en regelmatig intern worden gecontroleerd.
- Onvoldoende bewijsverzameling: Het aanleveren van ongeorganiseerd, onvolledig of irrelevant bewijs aan beoordelaars verspilt tijd en toont onvoorbereidheid. Gebruik daarom de CMMC Assessment Guides om de vereiste bewijstypes te begrijpen en verzamel/organiseer objectief bewijs voor elk beoordeeld doel vooraf.
- Zwakke controle-implementatie: Technische controles (zoals multi-factor authentication, encryptie, logging, toegangscontroles) kunnen zijn uitgerold maar verkeerd geconfigureerd, inconsistent toegepast of eenvoudig te omzeilen zijn. Regelmatig testen en valideren van de effectiviteit van controles via interne audits en kwetsbaarheidsscans is daarom essentieel.
- Gebrek aan betrokkenheid van stakeholders: CMMC uitsluitend als een IT-probleem zien zonder betrokkenheid van directie, juridisch, HR, contracten en eindgebruikers leidt tot gaten en weerstand. Stel daarom een multidisciplinair CMMC-team samen met executive sponsorship.
- Naleving zien als een eenmalig project: Niet plannen voor continue monitoring, jaarlijkse bevestigingen, POA&M-beheer en hercertificering. Bouw CMMC-vereisten daarom in lopende beveiligingsoperaties en budgetcycli in.
- Tijd en middelen onderschatten: Het proces overhaasten of onvoldoende budget en personeel toewijzen leidt tot het nemen van kortere routes en mislukking bij de beoordeling. Een realistische CMMC-tijdlijn en budget op basis van een grondige gap-analyse helpt deze valkuil te vermijden.
CMMC-implementatietijdlijn
Op basis van wat is gezegd en gepubliceerd door het CMMC-orgaan, begint de gefaseerde implementatie voor CMMC 2.0 binnenkort. DoD-aannemers en onderaannemers moeten vandaag nog bepalen of Level 1, 2 of 3 op hun organisatie van toepassing is. Zelfevaluaties en beoordelingen door derden via C3PAO’s moeten spoedig van start gaan, als dat niet al is gebeurd.
De vier fasen van CMMC-implementatie begrijpen
De CMMC Final Rule (48 CFR) beschrijft een gefaseerde uitrol voor het opnemen van CMMC-vereisten in DoD-contracten, te beginnen nadat de regel van kracht wordt. Deze geleidelijke aanpak is bedoeld om de industriële defensiebasis (DIB) tijd te geven om zich voor te bereiden. De vier fasen zijn:
Fase 1: Initiële implementatie (start bij inwerkingtreding 48 CFR-regel, verwacht begin 2025)
Tijdens deze fase kan het DoD vereisten voor CMMC Level 1 Zelfevaluatie of Level 2 Zelfevaluatie opnemen in geselecteerde aanbestedingen en contracten. Organisaties die deze contracten krijgen, moeten de vereiste zelfevaluatie uitvoeren, een specifieke SPRS-score behalen en jaarlijks resultaten en bevestiging indienen. Monitor aanbestedingen, voer indien van toepassing de vereiste zelfevaluatie uit, ontwikkel SSP en POA&M.
Fase 2: (start ~12 maanden na start Fase 1)
Het DoD begint met het opnemen van vereisten voor CMMC Level 2 *Certificerings*beoordeling in geselecteerde aanbestedingen waarbij CUI betrokken is. Organisaties die op deze contracten inschrijven of deze krijgen, moeten een beoordeling ondergaan door een geautoriseerde C3PAO en Level 2-certificering behalen. Bereid je voor en plan een C3PAO-beoordeling als je relevante contracten nastreeft.
Fase 3: (start ~24 maanden na start Fase 1)
Het DoD begint met het opnemen van vereisten voor CMMC Level 3 Certificeringsbeoordeling in geselecteerde aanbestedingen waarbij CUI betrokken is bij kritieke DoD-programma’s. Deze beoordelingen worden uitgevoerd door de overheid (DIBCAC). Bereid je voor op een DIBCAC-beoordeling als je high-value CUI verwerkt onder relevante contracten.
Fase 4: Volledige implementatie (start ~36 maanden na start Fase 1)
In deze fase wordt verwacht dat alle DoD-aanbestedingen en contracten waarbij FCI of CUI betrokken is, het toepasselijke CMMC-niveau vereisen (Level 1 Zelfevaluatie, Level 2 Zelfevaluatie, Level 2 Certificering of Level 3 Certificering). Zorg voor volledige naleving op het vereiste niveau voor alle relevante DoD-zaken. Het is belangrijk te begrijpen dat de CMMC-regelgevingstijdlijn de startdata voor deze fasen bepaalt, wat aangeeft wanneer het DoD vereisten kan opnemen. De specifieke timing voor een aannemer hangt af van de contracten die hij nastreeft. Voorbereiding moet ruim voor deze fasen beginnen, gezien het langdurige CMMC-implementatieproces.
CMMC 2.0-tijdlijn: Wanneer staat CMMC in contracten?
Met de definitieve regel 32 CFR Part 170 die op 15 oktober 2024 in het Federal Register is gepubliceerd, wordt deze van kracht op 16 december 2024 en wordt verwacht dat deze in Q1 2025 in contracten verschijnt.
Vanaf 2021 begon het DoD CMMC-vereisten op te nemen in verzoeken om informatie (RFI’s) en verzoeken om voorstellen (RFP’s) voor geselecteerde aanbestedingen. Met andere woorden, het DoD begon CMMC-vereisten op te nemen als onderdeel van de beoordelingscriteria voor sommige contracten.
Hoewel de gefaseerde implementatie van CMMC 2.0 pas in Q1 2025 start, betekent dit niet dat DoD-aannemers en onderaannemers nog een jaar of twee kunnen wachten voordat ze zich met de regelgeving bezighouden.
Bovendien is het zeer waarschijnlijk dat voorstellen van aannemers en onderaannemers worden beoordeeld op hun nalevingsniveau van CMMC 2.0 Level 2-praktijken—zeker wanneer de gefaseerde implementatie begint. Kiteworks merkt zelfs nu al dat sommige DoD-aannemers voorstellen van onderaannemers evalueren op basis van CMMC 2.0-naleving. (Zie Tabel 2 voor een snel overzicht van de CMMC-tijdlijn.)
Tabel 2. Belangrijke mijlpalen op de CMMC-tijdlijn.
Stapsgewijze handleiding voor CMMC-certificering
Overweeg deze stappen om het CMMC-certificeringsproces te versnellen:
- Bepaal vereist niveau & scope: Identificeer het CMMC-niveau (1, 2 of 3) dat door je contracten of potentiële contracten wordt vereist. Gebruik de CMMC Scoping Guidance om de precieze grenzen (mensen, technologie, faciliteiten, processen) van je beoordelingsomgeving (CMMC Assessment Scope – CAS) te definiëren. Geschatte tijd: weken.
- Voer gap-analyse uit: Beoordeel je huidige cyberbeveiligingsstatus aan de hand van de specifieke vereisten/praktijken en beoordelingsdoelstellingen uit de CMMC Assessment Guide voor je beoogde niveau. Identificeer alle gebieden waar niet volledig aan de vereisten wordt voldaan. Geschatte tijd: weken tot maanden.
- Ontwikkel Systeembeveiligingsplan (SSP): Maak of update je SSP om te documenteren hoe aan elke CMMC-vereiste binnen je scope wordt voldaan of zal worden voldaan. Dit is een verplicht document voor alle niveaus. Geschatte tijd: doorlopend, eerste versie weken tot maanden.
- Maak/bewerk Plan van Aanpak & Mijlpalen (POA&M): Documenteer alle geïdentificeerde gaten uit de analyse. Beschrijf de herstelactie, benodigde middelen, verantwoordelijke persoon en geplande voltooiingsdatum. (Let op: POA&M’s hebben beperkingen, vooral voor zwaarder wegende controles, en moeten binnen 180 dagen na beoordeling worden gesloten voor Level 2/3-certificering). Geschatte tijd: weken.
- Implementeer controles & herstel gaten: Voer je POA&M uit. Implementeer benodigde beveiligingscontroles (technisch, administratief, fysiek), update configuraties, rond beleid en procedures af en voer vereiste training uit. Geschatte tijd: maanden tot meer dan een jaar, afhankelijk van de gaten.
- Verzamel & organiseer bewijs: Verzamel objectief bewijs (zoals logs, schermafbeeldingen, beleidsdocumenten, trainingsregistraties, interviewnotities) dat aantoont dat elke vereiste controle effectief en consistent is geïmplementeerd. Organiseer dit bewijs logisch en koppel het aan specifieke CMMC-vereisten/doelstellingen. Geschatte tijd: doorlopend tijdens herstel.
- Voer zelfevaluatie & bevestiging uit: Voer een formele zelfevaluatie uit aan de hand van de CMMC-vereisten. Voor alle niveaus is een jaarlijkse bevestiging door een senior bedrijfsfunctionaris vereist, die samen met de beoordelingsscore aan SPRS wordt ingediend. Geschatte tijd: weken.
- (Indien vereist) Selecteer C3PAO/bereid je voor op DIBCAC: Voor Level 2-certificering, selecteer een geaccrediteerde C3PAO via de Cyber AB Marketplace. Voor Level 3, bereid je voor op beoordeling door het DIBCAC-team van de overheid. Geschatte tijd: weken.
- Onderga formele beoordeling: Werk volledig mee met de C3PAO- of DIBCAC-beoordelaars. Geef toegang tot documentatie, systemen, personeel en faciliteiten indien nodig. Geschatte tijd: weken tot maanden, afhankelijk van scope & beoordelaarsschema.
- Pak bevindingen uit de beoordeling aan (indien van toepassing): Als de beoordeling tekortkomingen identificeert die een POA&M toestaan, herstel deze en lever binnen 180 dagen bewijs van afsluiting aan de beoordelaar.
- Behaal certificering/behoud naleving: Na succesvolle beoordeling (en afsluiting van POA&M, indien van toepassing), ontvang je CMMC-certificering (3 jaar geldig voor Level 2/3). Blijf jaarlijkse bevestigingen uitvoeren, onderhoud je beveiligingsstatus en bereid je voor op toekomstige hercertificering. Geschatte tijd: doorlopend. De totale CMMC-certificeringstijdlijn van initiële planning tot certificering kan variëren van 6 maanden tot 2 jaar of langer, sterk afhankelijk van de aanvangsvolwassenheid en middelen.
CMMC-certificeringsproces en tijdlijn
Het CMMC-certificeringsproces is doorgaans zwaar voor de meeste organisaties en vereist tijd, geld en mankracht. Het proces is echter in het voordeel van organisaties die georganiseerd, gefocust en flexibel zijn. De volgende lijst geeft een overzicht van het CMMC-certificeringsproces:
Bereid je voor op CMMC-certificering
Voordat een bedrijf zijn CMMC-certificering kan nastreven, moet het de basisprincipes en vereisten van het CMMC-raamwerk begrijpen. Ook moeten ze hun huidige beveiligingsstatus beoordelen aan de hand van de vereisten van de CMMC-standaard en eventuele gaten identificeren.
Wijs een kampioen aan voor CMMC-certificering
Organisaties moeten een verantwoordelijke aanwijzen die het proces van het behalen van CMMC-certificering leidt. Deze persoon moet de bevoegdheid en verantwoordelijkheid hebben om het hele proces te beheren en van begin tot eind aan te sturen.
1. Ontwikkel een plan voor CMMC-certificering
Er moet een grondig plan zijn dat de tijdlijn voor het behalen van certificering beschrijft. Dit plan moet alle activiteiten omvatten, van het in kaart brengen van hun systeemomgeving aan CMMC-vereisten tot het trainen van personeel.
2. Voer zelfevaluatie uit voor CMMC-certificering
Organisaties moeten een zelfevaluatie uitvoeren om eventuele gaten tussen de huidige systeemomgeving en de CMMC-vereisten te identificeren. Dit helpt bij het sturen van de ontwikkeling van hun beveiligingsprogramma.
3. Implementeer vereiste controles voor CMMC-certificering
Na het uitvoeren van de zelfevaluatie moet de organisatie alle vereiste controles implementeren om de geïdentificeerde gaten te dichten. Dit kan het aanschaffen van extra beveiligingshardware of -software omvatten, evenals het opstellen van passend beleid en procedures.
4. Voer een CMMC-gereedheidsbeoordeling uit
Organisaties moeten mogelijk een onafhankelijke derde beoordelaar inhuren om een gereedheidsbeoordeling uit te voeren om te waarborgen dat ze klaar zijn voor het formele certificeringsproces.
5. Verkrijg CMMC-certificering
Nadat de organisatie aan alle CMMC-vereisten heeft voldaan, moet zij het certificeringsproces afronden en haar CMMC-certificering ontvangen.
6. Behoud CMMC-certificering
Organisaties moeten ervoor zorgen dat ze hun systemen continu en regelmatig monitoren om te waarborgen dat ze blijven voldoen aan de CMMC-vereisten.
Over het algemeen kunnen organisaties verwachten dat het proces ongeveer 6-9 maanden duurt, afhankelijk van de middelen van de organisatie en de complexiteit van de systeemomgeving. Na de initiële voorbereiding moet de organisatie 3-4 maanden besteden aan het in kaart brengen van de systeemomgeving, het implementeren van controles en het uitvoeren van een gereedheidsbeoordeling. Het certificeringsproces zelf duurt nog eens 3-4 maanden, inclusief de beoordeling, certificering en eventueel herstel. Tot slot moet de organisatie plannen voor voortdurende monitoring van de systeemomgeving om blijvende naleving te waarborgen.
De kosten die gepaard gaan met het verkrijgen van CMMC-certificering variëren afhankelijk van de omvang en complexiteit van de organisatie. Kleinere organisaties kunnen de kosten relatief laag houden door vooral interne middelen te gebruiken. Voor grotere organisaties kunnen de kosten variëren van tienduizenden tot enkele honderdduizenden dollars. Dit omvat kosten voor het inhuren van een derde beoordelaar, het aanschaffen van nieuwe beveiligingshardware of -software en het trainen van personeel.
Ondanks de kosten, het proces en de tijdlijn die gepaard gaan met het behalen van CMMC-certificering, is het de moeite waard, omdat het organisaties helpt hun netwerk en informatie te beschermen. CMMC-certificering vergroot ook de geloofwaardigheid en het vertrouwen van een organisatie bij haar klanten, omdat gecertificeerde organisaties kunnen aantonen dat ze informatiebeveiliging serieus nemen en zich inzetten voor gegevensbescherming. Bovendien kan het behalen van CMMC-certificering een organisatie een competitief voordeel geven op de markt, aangezien de certificering steeds belangrijker wordt voor organisaties die zaken willen doen met DoD-aannemers.
Tijdlijnverwachtingen voor verschillende organisatiegroottes
De tijd die nodig is om CMMC-certificering te behalen, varieert aanzienlijk op basis van de omvang van de organisatie, complexiteit, beoogd niveau en aanvangsvolwassenheid op het gebied van cyberbeveiliging. Hier zijn algemene verwachtingen voor de CMMC-certificeringstijdlijn:
Kleine bedrijven (bijv. < 50 medewerkers, Level 1 of basis Level 2-scope)
- Voorbereiding & herstel: Bij lage volwassenheid kan het 6-12 maanden duren om de vereisten te begrijpen, een gap-analyse uit te voeren, basiscontroles (Level 1) of NIST SP 800-171-controles (Level 2) te implementeren en documentatie (SSP) te ontwikkelen.
- Beoordeling: Level 1-zelfevaluatie kan dagen/weken duren. Level 2 C3PAO-beoordelingsplanning en uitvoering kunnen 1-3 maanden duren, plus maximaal 180 dagen voor afsluiting van POA&M indien nodig.
- Totaal geschatte CMMC-tijdlijn: 8-18 maanden voor Level 2-certificeringsgereedheid en beoordeling. Level 1-gereedheid kan sneller zijn.
Middelgrote bedrijven (bijv. 50-500 medewerkers, standaard Level 2-scope)
- Voorbereiding & herstel: 9-18 maanden is gebruikelijk, met complexere gap-analyse, mogelijk aanzienlijke implementatie of upgrades van controles, beleidsontwikkeling en bewijsverzameling over meer systemen/gebruikers.
- Beoordeling: C3PAO-beoordelingsproces (planning, beoordeling, rapportage, afsluiting POA&M) kan 3-5 maanden duren.
- Totaal geschatte CMMC-tijdlijn: 12-24 maanden voor Level 2-certificering.
Grote bedrijven (bijv. 500+ medewerkers, complexe Level 2 of Level 3-scope)
- Voorbereiding & herstel: 12-24+ maanden vanwege complexe omgevingen, meerdere locaties, legacy-systemen, uitgebreide documentatiebehoeften en coördinatie over grote teams. Level 3 voegt NIST SP 800-172-vereisten toe, wat de voorbereidingstijd verlengt.
- Beoordeling: Level 2 C3PAO- of Level 3 DIBCAC-beoordelingsprocessen kunnen 4-6+ maanden duren, afhankelijk van complexiteit en mogelijke POA&M’s.
- Totaal geschatte CMMC-tijdlijn: 18-36+ maanden. Dit zijn schattingen. Factoren zoals ervaren adviseurs, gebruik van conforme platforms, sterk projectmanagement en hoge initiële volwassenheid kunnen de tijdlijn verkorten. Grote gaten, beperkte middelen of scopecomplexiteit kunnen deze verlengen. Organisaties moeten deze lange voorbereidingstijdlijn voor CMMC meenemen in hun strategische planning, vooral gezien de gefaseerde uitrol vanaf 2025.
Wat is de deadline voor CMMC 2.0-naleving?
Er is geen enkele, universele CMMC-nalevingsdeadline waarop alle DoD-aannemers gecertificeerd moeten zijn. In plaats daarvan worden CMMC 2.0-nalevingsvereisten gefaseerd opgenomen in DoD-contracten over meerdere jaren, te beginnen in 2025. De deadline voor een specifieke organisatie hangt af van wanneer CMMC-vereisten in de contracten verschijnen waarop zij inschrijven of die zij uitvoeren. Belangrijke data die de tijdlijn bepalen:
- 16 december 2024: De CMMC Program Final Rule (32 CFR Part 170) wordt van kracht. Dit stelt het DoD in staat om het implementatieproces te starten zoals beschreven in de bijbehorende (nog te verschijnen) 48 CFR-regel.
- Q1 2025 (verwacht): Gefaseerde implementatie begint (Fase 1). Het DoD kan beginnen met het opnemen van CMMC Level 1 of Level 2 zelfevaluatievereisten in geselecteerde nieuwe contracten. Dit is feitelijk het moment waarop CMMC voor sommige aannemers van kracht wordt.
- ~Q1 2026 (verwacht): Fase 2 begint. Het DoD kan beginnen met het opnemen van CMMC Level 2 Certificeringsbeoordelingsvereisten in geselecteerde nieuwe contracten. Dit is het moment waarop CMMC-certificering vereist zal zijn voor organisaties die deze specifieke contracten nastreven.
- ~Q1 2028 (verwacht): Fase 4 (volledige implementatie) begint. Op dit punt wordt verwacht dat CMMC-vereisten zijn opgenomen in alle toepasselijke nieuwe DoD-contracten waarbij FCI of CUI betrokken is. Dit is het dichtst bij een uiteindelijke “CMMC 2.0-deadline” voor de hele DIB om voorbereid te zijn op nieuwe contractvereisten. De kritische “deadline” is dus contractafhankelijk.
Aangezien de voorbereiding en beoordeling voor CMMC-certificering 6-24+ maanden kan duren, moeten organisaties nu beginnen met voorbereiden. Wachten tot een CMMC-clausule in een aanbesteding verschijnt, is waarschijnlijk te laat om aan de vereiste te voldoen en succesvol mee te dingen naar het contract.
De feitelijke CMMC-nalevingsdeadline wordt bepaald door zakelijke noodzaak en contractstrategie, wat proactieve voorbereiding vereist die aansluit bij de gefaseerde uitrol.
Definitieve CMMC-regel: wat je moet weten voor 2025
Met de CMMC 2.0 Final Rule (32 CFR Part 170) van kracht op 16 december 2024 en gefaseerde implementatie via contractclausules (48 CFR) die naar verwachting begint in Q1 2025, moeten DIB-organisaties zich in 2025 op het volgende richten:
- Gefaseerde uitrol start: Verwacht dat CMMC-vereisten begin 2025 in *geselecteerde* nieuwe DoD-aanbestedingen verschijnen (Fase 1). Dit zal aanvankelijk waarschijnlijk Level 1 Zelfevaluatie (voor FCI) en Level 2 Zelfevaluatie (voor CUI in sommige contracten) omvatten.
- Zelfevaluaties zijn cruciaal: Als je FCI of CUI verwerkt en inschrijft op contracten die onder Fase 1 vallen, moet je een nauwkeurige zelfevaluatie uitvoeren op het vereiste niveau (Level 1 = 15 FAR-controles; Level 2 = 110 NIST SP 800-171-controles), je SPRS-score berekenen en deze jaarlijks indienen met een leidinggevende bevestiging.
- SSP is verplicht: Een uitgebreid Systeembeveiligingsplan (SSP) waarin wordt beschreven hoe je aan elke vereiste controle voldoet (of zal voldoen), is essentieel voor zowel zelfevaluaties als certificeringsbeoordelingen. Begin nu met het ontwikkelen of verfijnen hiervan.
- POA&M begrijpen: Plannen van Aanpak & Mijlpalen (POA&M’s) zijn toegestaan voor Level 2 (zelfevaluatie en certificering), maar niet voor Level 1. Ze hebben strikte vereisten, waaronder een afsluitingsdeadline van 180 dagen na beoordeling voor certificering en mogelijke beperkingen op welke controles op een POA&M mogen staan. Plan herstel actief.
- Bereid je voor op Level 2-certificering: Hoewel Level 2 *Certificerings*vereisten (via C3PAO-beoordeling) pas in contracten worden verwacht wanneer Fase 2 begint (~Q1 2026), betekent de lange voorbereidingstijd dat organisaties die Level 2-certificering nodig hebben 2025 moeten gebruiken voor intensieve voorbereiding: herstel van gaten, bewijsverzameling en mogelijk inschakelen van RPO’s voor gereedheidsreviews.
- Focus op NIST SP 800-171: Voor elke organisatie die CUI verwerkt (gericht op Level 2), is het beheersen van de 110 controles in NIST SP 800-171 Rev 2 de kerntechnische taak voor de voorbereiding in 2025.
- Monitor contracten: Houd RFI’s, RFP’s en contractwijzigingen nauwlettend in de gaten op het opnemen van CMMC-clausules (DFARS 252.204-7021 en andere). Hoofdaannemers zullen ook beginnen met het doorgeven van vereisten.
Samengevat markeert 2025 het begin van de contractuele implementatie van CMMC. Prioriteer het begrijpen van je vereiste niveau, scoping, het nauwkeurig uitvoeren van zelfevaluaties, het ontwikkelen van robuuste documentatie (SSP/POA&M) en het actief herstellen van gaten, vooral als Level 2-certificering wordt verwacht voor toekomstige contracten.
Versnel je CMMC 2.0 Level 2-nalevingsproces met Kiteworks
Het CMMC 2.0-raamwerk omvat verregaande praktijkcontroles. DoD-aannemers en onderaannemers—zeker degenen die Level 2-accreditatie nodig hebben—moeten CMMC-experts inschakelen die hen op hun traject kunnen ondersteunen.
Adviespraktijken zoals Optiv hebben de expertise om Level 2-praktijkvereisten te koppelen aan je bestaande controles en technologie en je te begeleiden bij het herstellen van POA&M’s en het inschakelen van een C3PAO voor beoordeling en accreditatie.
Tegelijkertijd kunnen DoD-aannemers en onderaannemers, zoals hierboven vermeld, hun CMMC 2.0 Level 2-accreditatieproces versnellen door te waarborgen dat ze het juiste platform voor gevoelige contentcommunicatie hebben.
Veel organisaties geven toe dat ze tal van tools gebruiken voor het verzenden, delen, ontvangen en opslaan van privé-inhoud zoals CUI en FCI. Zo ontdekte Kiteworks in ons Sensitive Content Communications Privacy and Compliance Report dat meer dan tweederde van de organisaties vertrouwt op vier of meer systemen van record. Dit verhoogt de complexiteit en inefficiëntie en het risico.
In plaats van een gefragmenteerde set tools te gebruiken voor digitale uitwisseling van privé-inhoud zoals CUI en FCI, gebruiken steeds meer organisaties—momenteel al 3.800 en groeiend—het Kiteworks-platform. Omdat Kiteworks FedRAMP Authorized is, in tegenstelling tot veel andere oplossingen op de markt, voldoet het volledig of gedeeltelijk aan meer CMMC 2.0 Level 2-praktijkgebieden dan die van concurrenten. In plaats van te voldoen aan ongeveer 50% van de CMMC-praktijkvereisten, profiteren DoD-aannemers en onderaannemers die gebruikmaken van Kiteworks Private Content Networks van ondersteuning voor bijna 90% van de Level 2-vereisten out-of-the-box.
DoD-aannemers en onderaannemers die snel willen starten en CMMC 2.0 Level 2-accreditatie vóór hun concurrenten willen behalen, moeten serieus naar Kiteworks kijken. Plan vandaag nog een custom demo op maat van jouw behoeften.
Veelgestelde vragen
CMMC Level 1 (Foundational): Richt zich op de bescherming van Federal Contract Information (FCI) en bestaat uit 15 basisbeschermingsvereisten uit FAR Clause 52.204-21. CMMC Level 2 (Advanced): Richt zich op de bescherming van Controlled Unclassified Information (CUI) en omvat alle 110 beveiligingsvereisten uit NIST 800-171 Rev 2. CMMC Level 3 (Expert): Richt zich op de bescherming van CUI met verbeterde vereisten, bestaande uit een subset van 24 NIST 800-172 beveiligingsvereisten met door het DoD goedgekeurde parameters.
De implementatie van CMMC 2.0 begint met Fase 1 (Initiële implementatie), die start zodra de 48 CFR-regel van kracht wordt en Level 1- of 2-zelfevaluatievereisten vereist. Fase 2 begint 12 maanden na Fase 1 en introduceert de vereiste voor CMMC Level 2-certificering. Vervolgens start Fase 3 24 maanden na Fase 1 en voegt de vereiste voor CMMC Level 3-certificering toe. De laatste fase, Fase 4 (Volledige implementatie), begint 36 maanden na Fase 1 en vertegenwoordigt de volledige implementatie, waarbij alle aanbestedingen en contracten de toepasselijke CMMC-niveauvereisten moeten bevatten. Het DoD behoudt de flexibiliteit om CMMC-vereisten eerder dan deze geplande fasen toe te passen voor specifieke aanbestedingen indien nodig.
Organisaties in de industriële defensiebasis (DIB) die Federal Contract Information (FCI) of Controlled Unclassified Information (CUI) verwerken, opslaan of verzenden, moeten voldoen aan CMMC. Dit omvat meer dan 220.000 bedrijven die de toeleveringsketen van het Department of Defense (DoD) ondersteunen—van hoofdaannemers tot onderaannemers. Deze organisaties dragen bij aan DoD-systemen, netwerken, installaties, capaciteiten en diensten en moeten aan CMMC-vereisten voldoen om gevoelige defensie-informatie te beschermen.
CMMC Level 2 richt zich op de bescherming van Controlled Unclassified Information (CUI) en omvat 110 beveiligingsvereisten gespecificeerd in NIST 800-171 Rev 2. Dit niveau bestrijkt belangrijke domeinen zoals toegangscontroles, reactie op incidenten, beveiligingsbeoordeling en systeemintegriteit.
Er zijn 14 domeinen in het CMMC 2.0-raamwerk. Elk domein heeft specifieke vereisten waaraan defensie-aannemers moeten voldoen om CMMC-naleving aan te tonen. Deze domeinen/vereisten zijn: Toegangscontrole, Bewustwording en Training, Audit en Verantwoording, Configuratiebeheer, Identificatie & Authenticatie, Reactie op incidenten, Onderhoud, Mediabescherming, Personeelsbeveiliging, Fysieke beveiliging, Risicobeoordeling, Beveiligingsbeoordeling, Systeem- & communicatiebeveiliging en Systeem- en informatie-integriteit.
Aanvullende bronnen
- Webinar Wat Optiv en Kiteworks aanbevelen voor DoD-aannemers en onderaannemers voor CMMC 2.0
- Gids Een gedetailleerde CMMC 2.0-gids voor DoD-aannemers en onderaannemers
- Video Wat Kiteworks CISO Frank Balonis denkt over CMMC 2.0
- Artikel Wat is Cybersecurity Maturity Model Certification?
- Blog Post Wat is CMMC Security Compliance?
Dit is een voorbeeldtekst waarmee je kunt spelen!
intant HTML beautifier biedt je veel codebewerkingsopties:
De volgende Tidy-opties zijn beschikbaar:
- Inline stijlen
- Klassen, ID’s
- Lege tags
- Tags met één spatie
- Opeenvolgende spaties
- Opmerkingen verwijderen
- Tag-attributen
- Maak platte tekst
Om de Tidy-opties aan te passen, klik op de knop