CMMC 2.0 Governancecrisis: Gegevens tonen aan dat 62% van de defensie-aannemers essentiële controles mist voor succesvolle certificering

Defensie-aannemers die CMMC 2.0 Level 2-certificering nastreven, worden geconfronteerd met een harde realiteit: 62% opereert zonder de uitgebreide governancecontroles die samenhangen met certificeringssucces. Deze bevinding komt uit de 2025-analyse van Kiteworks van 104 organisaties die actief werken aan CMMC 2.0, als onderdeel van een bredere enquête naar de data security- en compliancepraktijken van 461 organisaties wereldwijd. Rapport: Meer dan de helft van de DoD-leveranciers faalt met hun governancecontroles.

Het tekort aan governance creëert een keten van kwetsbaarheden in defensie-toeleveringsketens. Organisaties die effectiviteitsmetingen bijhouden, laten duidelijk betere beveiligingsresultaten zien—slechts 19% valt in de categorieën met lage encryptie, tegenover 25% van degenen zonder meetdiscipline. Voor aannemers die gevoelige gegevens verwerken, vormen deze gaten aanzienlijke operationele en compliance risico’s.

Wat de Data Onthult over CMMC 2.0 Gereedheid

Onder 104 defensie-aannemers die CMMC 2.0 Level 2-certificering nastreven, komen patronen naar voren die elke organisatie binnen de industriële defensiebasis zorgen zouden moeten baren. De enquêtegegevens, verzameld in april 2025, tonen fundamentele discrepanties tussen beveiligingsinvesteringen en governancevolwassenheid.

Slechts 38% van de CMMC-organisaties heeft uitgebreide governancecontrole- en volgsystemen ingevoerd, iets onder het percentage van 40% in alle onderzochte sectoren. Dit nadeel van 2 procentpunten wordt kritiek wanneer het wordt gecombineerd met andere governance-tekorten, waardoor samengestelde risico’s voor certificeringssucces ontstaan. Het verschil in meetdiscipline is zelfs nog veelzeggender—organisaties die enige vorm van effectiviteitsmeting toepassen, behalen aantoonbaar betere resultaten. Binnen de CMMC-groep valt 19% van de organisaties die metrics bijhouden in de categorieën met lage encryptie (≤50% dekking) tegenover 25% van de niet-metende organisaties, terwijl 95% van de CMMC-organisaties enkele metrics bijhoudt versus 93% in alle sectoren.

Misschien het meest zorgwekkend: slechts 22% van de CMMC-organisaties verwerkt beveiligingsvereisten in leverancierscontracten, tegenover 27% van alle onderzochte organisaties. Dit verschil van 5 procentpunten wijst op een fundamentele zwakte in de beveiliging van de toeleveringsketen—extra kritiek gezien de flow-down vereisten van CMMC voor gegevensbescherming in de gehele industriële defensiebasis.

Geografische Concentratie en Dynamiek van Omvang

De geografische verdeling laat een sterke druk zien binnen de Amerikaanse industriële defensiebasis, met 62% van de CMMC-respondenten actief in Noord-Amerika tegenover slechts 32% in de algemene enquête. Azië-Pacific levert 20% van de CMMC-respondenten, Europa vertegenwoordigt 11% en het Midden-Oosten/Afrika is goed voor 7%. Deze concentratie suggereert dat internationale leveranciers hun CMMC-verplichtingen mogelijk onderschatten of minder ver zijn in hun voorbereidingen.

De omvang van de organisatie correleert sterk met beveiligingsresultaten, maar niet op de verwachte manier. Middelgrote organisaties (5.000-9.999 medewerkers) laten de beste prestaties zien, met 59% die topklasse encryptiedekking (76-100%) behaalt. Dit is meer dan kleinere organisaties met minder dan 5.000 medewerkers (52%) en aanzienlijk beter dan grote ondernemingen met meer dan 20.000 medewerkers (38%). De paradox suggereert dat succes voortkomt uit governance-discipline in plaats van middelen of schaal.

De aanpak van middelgrote organisaties verschilt duidelijk van hun sectorgenoten. Waar 36% prioriteit geeft aan beleids- en dataprotectieovereenkomst-updates (gelijk aan verhoging van compliancebudgetten), richten kleinere organisaties zich vooral op nieuwe technische controles (37%) en leggen de grootste ondernemingen eveneens de nadruk op technologische oplossingen (38%). Deze governance-first aanpak bij middelgrote bedrijven hangt direct samen met hun superieure resultaten.

Regulatoire Evolutie en Leveranciersnaleving Domineren Uitdagingen

Respondenten rangschikten uitdagingen met een gewogen scoresysteem, waarbij twee zorgen ver boven de rest uitsteken. “Bijblijven met veranderende regelgeving” scoorde 78 punten, waarbij 23% dit als hun grootste uitdaging ziet en 38% het in hun top twee plaatst. CMMC-organisaties geven deze uitdaging 6 procentpunten meer prioriteit dan de algemene populatie, wat de dynamiek van defensie compliancevereisten weerspiegelt.

Daar vlak achter scoorde “leveranciersnaleving en risico” 73 punten, met 18% die het als hun grootste uitdaging ziet en 38% het in hun top twee plaatst. Opvallend is dat 39% van de CMMC-organisaties leveranciersnaleving tot hun top drie uitdagingen rekent tegenover 32% in alle sectoren—een verschil van 7 procentpunten dat de unieke druk op de toeleveringsketen in defensiecontracten onderstreept.

Deze regulatoire en supply chain-uitdagingen wegen veel zwaarder dan andere zorgen. “Balanceren van compliance versus data access” scoort 59 punten, terwijl “medewerkerstraining en bewustwording” 42 punten registreert. Budgetbeperkingen scoren nauwelijks met 5 punten, wat suggereert dat middelen aanwezig zijn, maar governancekaders om ze effectief in te zetten ontbreken. Dit patroon is zichtbaar in alle organisatietypes, waarbij leveranciersnaleving de meest hardnekkige operationele uitdaging blijft, ongeacht de schaal.

Risicobeheer voor Leveranciers: Het Gat

De uitdaging van leveranciersnaleving verdient nadere aandacht gezien het belang ervan voor alle organisatietypes en de cruciale rol in CMMC-succes. De huidige risicobeheersmaatregelen voor leveranciers bij CMMC-organisaties tonen een gemengde volwassenheid. Terwijl 48% regelmatige leveranciersaudits uitvoert (tegenover 44% algemeen) en 38% tools voor risicobeheer door derden gebruikt (tegenover 37% algemeen), blijven er kritieke gaten bestaan.

Slechts 28% van de CMMC-organisaties voert formele risicobeoordelingen door derden uit, net iets boven het branchegemiddelde van 25%. Het meest zorgwekkend is dat slechts 22% contractuele beveiligingsvereisten opneemt—5 procentpunten onder de branchestandaard van 27%. Dit contractuele gat is extra zorgelijk gezien de verplichte flow-down vereisten van CMMC voor gegevensbescherming in de hele toeleveringsketen. Zonder contractuele verplichtingen kunnen organisaties niet garanderen dat leveranciers de vereiste beveiligingscontroles handhaven of gevoelige defensie-informatie correct verwerken.

De gevolgen werken door in de hele defensie-toeleveringsketen. Organisaties die honderden of duizenden leveranciers beheren, worden geconfronteerd met exponentiële complexiteit als er geen contractuele kaders zijn om normen af te dwingen. De 39% die leveranciersnaleving als topuitdaging noemt, onderschat waarschijnlijk de volledige omvang van hun blootstelling, vooral omdat velen hun complete leverancierslandschap niet kennen.

Strategische Implementatiepatronen Onthullen Succesfactoren

Kleine en middelgrote organisaties met minder dan 5.000 medewerkers richten zich vooral op technische oplossingen, waarbij 37% prioriteit geeft aan nieuwe technische controles. Secundaire acties zijn onder meer geüpdatete beleidsmaatregelen en dataprotectieovereenkomsten (33%) en versterkt risicobeheer door derden (28%). Hun uitdagingen weerspiegelen bredere patronen: leveranciersnaleving treft 41%, het balanceren van toegang versus vereisten baart 39% zorgen, en veranderende regelgeving is een probleem voor 37%. Met 52% die topklasse encryptie behaalt, boeken deze organisaties ondanks beperkte middelen redelijk succes.

Middelgrote organisaties tussen 5.000 en 9.999 medewerkers tonen duidelijk andere aanpakken en resultaten. Evenveel (36%) geven prioriteit aan beleidsupdates en verhoogde compliancebudgetten, terwijl 32% risicobeheer door derden versterkt. Hun uitdagingen nemen toe—46% worstelt met leveranciersnaleving en 41% noemt overlappende regelgeving. Toch levert deze governancegerichte aanpak het hoogste succespercentage op, met 59% die topklasse encryptiedekking behaalt.

Grote ondernemingen met meer dan 20.000 medewerkers worden geconfronteerd met complexiteitsuitdagingen ondanks ruime middelen. Nieuwe technische controles domineren hun aanpak (38%), gevolgd door verhoogde budgetten (33%) en beleidsupdates (24%). Leveranciersnaleving blijft problematisch voor 38%, terwijl het vinden van gereguleerde data en het beheren van veranderende regelgeving elk 33% zorgen baart. Ondanks hun middelen behaalt slechts 38% topklasse encryptie—het laagste percentage van alle segmenten. Deze paradox bevestigt dat organisatorische schaal zonder governance-discipline juist meer kwetsbaarheden creëert in plaats van minder.

Partnerparadox en Meetimperatief

Een van de meest opvallende bevindingen uit de enquête betreft externe adviseurs. Organisaties die partners inzetten, tonen geen inherent voordeel ten opzichte van organisaties die zelfstandig certificering nastreven, mits beiden meetdiscipline hanteren. Onder organisaties met meetsystemen leveren zowel partner- als solo-aanpakken vergelijkbare resultaten op—ongeveer 45-46% behaalt topklasse encryptie met lage-encryptiecijfers rond de 19-20%. Organisaties die noch meten, noch partners inzetten, laten echter aanzienlijk slechtere resultaten zien, waarbij 30% in de lage-encryptiecategorieën valt.

Dit patroon suggereert dat succesvolle CMMC-programma’s partners zien als versterkers van interne discipline, niet als vervangers van governancevolwassenheid. De data toont aan dat expertise zonder meting weinig verbetering oplevert, terwijl meting zonder externe expertise nog steeds positieve resultaten geeft. Voor defensie-aannemers die overwegen adviseurs in te schakelen, is de les duidelijk: stel eerst meetkaders op en benut daarna externe expertise om de voortgang binnen dat kader te versnellen.

Governancefundamenten Bouwen voor CMMC-succes

Op basis van de enquêtebevindingen moeten defensie-aannemers zich richten op vijf onderling verbonden prioriteiten die de meest kritieke gaten aanpakken. Allereerst en het meest urgent: organisaties moeten het contractuele beveiligingsgat dichten. Met slechts 22% die beveiligingsvereisten in contracten opneemt—5 procentpunten onder het branchegemiddelde—is dit de meest aan te pakken zwakte. Elke leveranciersrelatie vereist expliciete vereisten voor gegevensbescherming, flow-down verplichtingen, auditrechten en meldingsprotocollen bij datalekken.

Ten tweede zijn uitgebreide meetsystemen essentieel voor succes. De verbetering van 6 procentpunten in beveiligingsresultaten voor metende organisaties vereist het opstellen van key performance indicators voor elke controlegroep, waar mogelijk geautomatiseerde metricverzameling, regelmatige governancebeoordelingen en trendanalyse in plaats van momentopnames. Organisaties die al metrics bijhouden, moeten hun dekking uitbreiden en beoordelingsprocessen formaliseren.

Ten derde moet risicobeheer voor leveranciers verder gaan dan alleen basiscontroles. Hoewel 48% leveranciersaudits uitvoert (boven het gemiddelde van 44%), vereist uitgebreid leveranciersbeheer systematische risicobeoordelingen, inzet van technologieplatforms, continue monitoring en regelmatige herbeoordelingscycli. Het feit dat 46% van de middelgrote organisaties worstelt met leveranciersnaleving, laat zien dat zelfs succesvolle segmenten blijvende uitdagingen hebben op dit vlak.

Ten vierde moeten organisaties hun strategie afstemmen op hun omvang en mogelijkheden. Succespatronen bij middelgrote bedrijven—59% topklasse encryptie via governance-first aanpak—bieden een navolgbaar model. Balanceer governance-investeringen met technische controles, geef prioriteit aan beleids- en procesontwikkeling naast technologische inzet, en weersta de neiging van grote ondernemingen om governanceproblemen alleen met technologie op te lossen.

Tot slot: beschouw externe partners als governance-enablers en niet als kant-en-klare oplossingen. Eis het opzetten van meetkaders, vraag om kennisoverdracht naast implementatie, behoud intern eigenaarschap van governanceprocessen en meet partnersucces aan de hand van verbeterde metrics in plaats van afgeronde activiteiten.

De Volgende Stap voor Defensie-aannemers

De implicaties reiken verder dan individueel succes van aannemers en raken de hele industriële defensiebasis. Met 62% van de CMMC-organisaties die geen uitgebreide governancecontroles hebben, blijven er systemische kwetsbaarheden bestaan in defensie-toeleveringsketens. Veranderende regelgeving, die 78 punten scoort als uitdaging, zal alleen maar toenemen naarmate dreigingen evolueren en vereisten uitbreiden. Leveranciersnalevingsproblemen, die 73 punten scoren, werken door in alle lagen van de toeleveringsketen en creëren samengestelde risico’s. Organisaties met volwassen governance behalen duurzame competitieve voordelen, terwijl degenen die falen voor certificering worden geconfronteerd met marktconsolidatiedruk.

Succespatronen bestaan in alle organisatietypes en sectoren. Middelgrote bedrijven die 59% topklasse encryptie behalen via governance-first aanpak, laten zien wat mogelijk is met de juiste prioritering. Zelfs organisaties met beperkte middelen slagen als ze zich richten op meetdiscipline en contractuele strengheid boven puur technologische investeringen. Het bemoedigende teken: CMMC-organisaties presteren al beter dan het branchegemiddelde op effectiviteitstracking (95% versus 93%), leveranciersaudits (48% versus 44%) en risicobeoordelingen (28% versus 25%). Wat ontbreekt is de contractuele discipline en uitgebreide governance om deze activiteiten om te zetten in consistente beveiligingsresultaten.

Conclusie: Governance als Fundament voor CMMC-succes

De data vertelt een ondubbelzinnig verhaal: succes met CMMC 2.0 hangt meer af van governancevolwassenheid dan van technische complexiteit of organisatorische middelen. Met bijna tweederde van de defensie-aannemers die zonder uitgebreide governancecontroles werken, vereist het pad naar certificering fundamentele veranderingen in aanpak in plaats van incrementele verbeteringen.

Organisaties die consequent meten, vereisten contractueel vastleggen en hun aanpak op de juiste schaal inzetten, behalen aantoonbaar betere resultaten. Het verschil van 6 procentpunten in lage-encryptiecijfers tussen metende en niet-metende organisaties betekent duizenden potentiële kwetsbaarheden in de industriële defensiebasis. Voor elke organisatie die worstelt met het 25% lage-encryptiecijfer, is er een andere met goede governance die 19% behaalt—een wezenlijk verschil als je dat over de hele defensie-toeleveringsketen vermenigvuldigt.

Voor defensie-aannemers is governance geen bureaucratie—het is het fundament dat elke andere investering effectief maakt. Organisaties die vandaag aan dit fundament bouwen, positioneren zichzelf niet alleen voor certificering, maar ook voor duurzaam competitief voordeel in een steeds meer op beveiliging gerichte defensiemarkt. De patronen zijn bewezen door empirische analyse van 104 CMMC-organisaties. De gaten zijn duidelijk geïdentificeerd via vergelijkende analyse met 461 respondenten in totaal. De vraag die overblijft is of jouw organisatie zich aansluit bij de succesvolle 38% met volwassen governance, of blijft behoren tot de 62% die hoopt dat alleen technische controles voldoende zijn.

Nu de CMMC 2.0 Level 2-vereisten vorderen en defensiecontracten steeds afhankelijker worden van certificering, wordt het venster om goede governancefundamenten te bouwen steeds kleiner. De data laat zien wat werkt, wat niet werkt en waarom. De rest hangt af van de inzet van de organisatie om deze inzichten om te zetten in actie.

Deze analyse is gebaseerd op het 2025 Data Security and Compliance Risk: Annual Survey Report van Kiteworks. Het richt zich op 104 organisaties die actief werken aan CMMC 2.0 Level 2-certificering, als onderdeel van een bredere enquête onder 461 organisaties uitgevoerd in april 2025.