Inzicht in het CMMC-regelgevingsproces: Een grondige analyse van de indiening van het DoD bij het OMB

Inzicht in het CMMC-regelgevingsproces: Een grondige analyse van de indiening van het DoD bij het OMB

In de wereld van cyberbeveiliging zijn er maar weinig onderwerpen die zoveel aandacht en discussie hebben gekregen als de Cybersecurity Maturity Model Certification (CMMC). Terwijl defensie-aannemers en andere belanghebbenden reikhalzend uitkijken naar updates, heeft de recente indiening van het Department of Defense (DoD) bij het Office of Management and Budget (OMB) een nieuwe laag van intrige en verwachting toegevoegd aan het verhaal. Deze blog biedt een gedetailleerde verkenning van deze ontwikkeling en de bredere implicaties voor de defensiesector.

De CMMC: Een Kort Overzicht

Voordat we ingaan op de recente ontwikkelingen, is het essentieel om de oorsprong en doelstellingen van de CMMC te begrijpen. De CMMC is geïntroduceerd als een uniforme standaard voor cyberbeveiliging en heeft als doel de beschermingsmechanismen rond gevoelige defensie-informatie binnen de Amerikaanse defensieketen te versterken. Gezien de toenemende complexiteit van cyberdreigingen, erkende het DoD de noodzaak van een allesomvattende en gestandaardiseerde benadering van cyberbeveiliging, wat leidde tot de geboorte van de CMMC.

Het CMMC-certificeringsproces is intensief, maar ons CMMC 2.0 nalevingsstappenplan kan helpen.

De Monumentale Indiening bij het OMB

De beslissing van het DoD om het CMMC-plan bij het OMB in te dienen is niet slechts een administratieve stap. Het markeert het resultaat van uitgebreide overwegingen en voorbereidingen en betekent de formele start van het regelgevingsproces voor het CMMC-programma. Deze indiening onderstreept de toewijding van het DoD om zijn cyberverdediging te versterken en ervoor te zorgen dat zijn aannemers zich aan deze visie houden.

Het OMB-beoordelingsproces Ontcijferd

Nu het CMMC-raamwerk onder toezicht van het OMB valt, wat kunnen belanghebbenden verwachten? Het Office of Information and Regulatory Affairs van het OMB heeft maximaal 90 dagen om de indiening te beoordelen. Deze beoordeling zal van cruciaal belang zijn voor de uiteindelijke vormgeving van de CMMC en de daaropvolgende implementatie.

Zodra de beoordeling is afgerond, wordt de regel gepubliceerd in het Federal Register, waarna er twee routes mogelijk zijn:

1. Voorgestelde Regel

(Meer waarschijnlijk) Als het OMB een CMMC-voorgestelde regel publiceert, is een openbare commentaarperiode van 60 dagen vereist voordat het OMB en het DoD de regel mogen implementeren. Dit is het meest waarschijnlijke pad volgens velen die het proces volgen, waaronder veel mensen uit de sector. In dit scenario, nadat de 60-daagse commentaarperiode is afgesloten, duurt het gemiddeld tussen de 280 en 333 werkdagen voordat het DoD begint met het gefaseerd opnemen van CMMC in zijn contractvereisten, gebaseerd op de recente ervaringen van het DoD, aldus Horn. Een publicatie van een voorgestelde regel in september/oktober zou betekenen dat een gefaseerde CMMC-implementatie begint in Q2 van FY 2025, mogelijk Q3.

2. Interim Eindregel

(Minder waarschijnlijk) Het OMB kan ervoor kiezen een Interim Eindregel uit te brengen, waarmee het OMB en het DoD CMMC direct kunnen opnemen in contractvereisten terwijl ze de publieke reacties beoordelen, oftewel parallel. Kiest men voor een Interim Eindregel, dan kan CMMC al in Q1 van FY 2024 aan DoD-contracten worden toegevoegd, omdat zulke regels direct na publicatie van kracht zijn. Dit is het minder waarschijnlijke scenario, maar het is mogelijk.

Ongeacht het gekozen traject is een periode voor publieke reacties gegarandeerd, zodat belanghebbenden feedback en inzichten kunnen delen.

Implicaties voor het Defensiecontracterings-ecosysteem

De indiening van het DoD heeft het proces in gang gezet en wijst op aanstaande veranderingen in het landschap van defensiecontractering. Hoewel de exacte invulling van de definitieve CMMC-regel nog niet bekend is, is één ding duidelijk: verandering staat voor de deur.

De CMMC is niet slechts een wettelijke hobbel. Het weerspiegelt de visie van het Pentagon op een robuuste beveiligingsstatus en zorgt ervoor dat aannemers die gecontroleerde, niet-geclassificeerde informatie (CUI) verwerken, voldoen aan strenge standaarden. Deze standaarden sluiten aan bij de richtlijnen van het National Institute of Standards and Technology, met name NIST 800-171 en 800-172.

Voorbereiden op de Toekomst: Stappen voor Defensie-aannemers

Nu het regelgevingsproces van de CMMC loopt, moeten defensie-aannemers een proactieve houding aannemen. Dit houdt in:

  • Zelfevaluatie: Inzicht krijgen in de huidige cyberbeveiligingsmaatregelen en het identificeren van gaten in de naleving
  • Training en Bewustwording: Zorgen dat personeel en belanghebbenden op de hoogte zijn van CMMC-vereisten en de implicaties daarvan
  • Inschakelen van Experts: Overwegen om samen te werken met cyberbeveiligingsadviseurs om de complexiteit van CMMC-naleving te doorgronden, waaronder een CMMC Organisatie van derde beoordelaars (C3PAO) om een beoordeling uit te voeren of CMMC-certificering aan te bevelen
  • Op de Hoogte Blijven: Regelmatig updates volgen van het DoD en het OMB om op de hoogte te blijven van ontwikkelingen

De indiening van het DoD bij het OMB markeert een belangrijke mijlpaal in het CMMC-traject. Terwijl defensie-aannemers wachten op verdere duidelijkheid, is het van belang om de bredere visie achter de CMMC te erkennen: een toekomst waarin de cyberbeveiligingsmechanismen van de defensiesector robuust, uniform en veerkrachtig zijn tegen bedreigingen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Table of Content
Share
Tweet
Share
Explore Kiteworks