De Cybersecurity Maturity Model Certification (CMMC) is een certificering die is ontworpen om de vertrouwelijke informatie van het Department of Defense (DoD) te beschermen. Het maakt deel uit van een bredere inspanning om ervoor te zorgen dat alle DoD-aannemers en leveranciers in de industriële defensiebasis (DIB) beschikken over de noodzakelijke cyberbeveiligingsprocessen en -procedures om gecontroleerde, niet-geclassificeerde informatie (CUI) en federale contractinformatie (FCI) te beschermen.

CMMC 2.0 bestaat uit drie verschillende volwassenheidsniveaus, die centraal staan in dit artikel. Organisaties kunnen kiezen uit de drie volwassenheidsniveaus: Foundational, Advanced en Expert, om hun beveiligingsstatus beter te beoordelen en te verbeteren. Dit artikel legt deze volwassenheidsniveaus in detail uit om DoD-aannemers, leveranciers en andere organisaties die compliant moeten worden, te helpen begrijpen en te voldoen door de noodzakelijke beveiligingsmaatregelen te implementeren.

Inzicht in CMMC 2.0 Levels: Een uitgebreid overzicht voor defensie-aannemers

CMMC 2.0 Volwassenheidsniveau 1: Foundational

Het Foundational-niveau is het eerste van de drie niveaus en bestaat uit basale praktijken voor risicobeheer op het gebied van cyberbeveiliging. Dit niveau omvat de meest elementaire cyberbeschermingsmaatregelen en is bedoeld om de meest voorkomende cyberdreigingen aan te pakken. De focus ligt op basismaatregelen voor beveiliging en risicobeheer, zoals authenticatie en toegangscontrole, oftewel het vermogen om te bepalen wie toegang heeft tot welke informatie.

De vereisten van dit niveau zijn onderverdeeld in 17 verschillende praktijken, waaronder, maar niet beperkt tot, Asset Management, Media Protection, Identification & Authentication, Security Assessment & Authorization en System & Communication Protection. Organisaties moeten aantonen dat alle vereiste praktijken zijn geïmplementeerd, evenals effectieve processen voor cyberbeveiligingsbeheer.

Voorbeelden van geschikte beveiligingspraktijken voor het Foundational-niveau zijn:

  • Regelmatig back-ups maken van data en deze data veilig op een externe locatie opslaan
  • Gebruikmaken van complexe wachtwoorden en twee-factor authenticatie voor alle accounts
  • Firewalls, antivirus en andere beveiligingssoftware installeren, onderhouden en updaten
  • Regelmatig beveiligingsaudits uitvoeren om kwetsbaarheden te identificeren en actie te ondernemen om deze aan te pakken

Wie heeft CMMC Level 1-naleving nodig?

CMMC 2.0 Level 1 is van toepassing op DoD-aannemers en onderaannemers die federale contractinformatie (FCI) verwerken die door of voor de overheid wordt verstrekt onder een contract om een product of dienst voor de overheid te ontwikkelen of te leveren.

Het Foundational-niveau vereist dat organisaties basale cyberbeveiligingspraktijken uitvoeren. Zij mogen certificering behalen via een jaarlijkse zelfevaluatie. CMMC Organisaties van derde beoordelaars (C3PAO’s) zijn niet betrokken bij Level 1-certificering.

CMMC 2.0 Volwassenheidsniveau 2: Advanced

Het Advanced-niveau is de volgende stap in het CMMC-certificeringsproces en bestaat uit meer gedetailleerde, gespecialiseerde cyberbeveiligingspraktijken. Deze praktijken zijn ontworpen om bescherming te bieden tegen meer geavanceerde cyberdreigingen. Het is bedoeld als een hoger beschermingsniveau dan het Foundational-niveau en richt zich op het beschermen van de meest waardevolle bedrijfsmiddelen van een organisatie.

Het Advanced-niveau is onderverdeeld in 110 verschillende praktijken, waaronder, maar niet beperkt tot, Access Control, Security Assessment & Authorization, System & Communications Protection en Attack & Response Planning. Organisaties moeten aantonen dat alle vereiste praktijken zijn geïmplementeerd, evenals effectieve processen voor cyberbeveiligingsbeheer. CMMC 2.0 Level 2 is gekoppeld aan NIST 800-171.

Voorbeelden van geschikte beveiligingspraktijken voor het Advanced-niveau zijn:

  • Beleid en procedures opstellen om gebruikersrechten en authenticatie te beheren
  • Effectieve beveiligingssystemen en communicatiebescherming implementeren, zoals encryptie en netwerkisolatie
  • Een systeem instellen om snel en effectief te reageren op cyberdreigingen
  • Regelmatig beveiligingsbeoordelingen uitvoeren om kwetsbaarheden te identificeren en aan te pakken
  • Strategieën ontwikkelen om kwaadaardige activiteiten te voorkomen en te detecteren

Wie heeft CMMC Level 2-naleving nodig?

DoD-aannemers en onderaannemers die hetzelfde type CUI verwerken, moeten voldoen aan Level 2-naleving. DoD-aannemers met prioritaire opdrachten die data verwerken die kritiek is voor de nationale veiligheid, moeten elke drie jaar een beoordeling door een C3PAO ondergaan, terwijl niet-prioritaire opdrachten met data die niet kritiek is voor de nationale veiligheid een jaarlijkse zelfevaluatie moeten uitvoeren.

 

CMMC 2.0 Volwassenheidsniveau 3: Expert

Het Expert-niveau is het hoogste niveau van het CMMC-certificeringsproces en bestaat uit de meest uitgebreide cyberbeveiligingspraktijken. Het is ontworpen om de beveiliging van de meest gevoelige informatie en bedrijfsmiddelen van een organisatie te waarborgen, evenals het vermogen van de organisatie om zich te verdedigen tegen complexe, geavanceerde cyberaanvallen.

CMMC 2.0 Level 3 richt zich op de meest geavanceerde hardnekkige dreigingen en is bedoeld om de cyberbeveiliging van een systeem te versterken. Het vereist dat organisaties een plan opstellen, onderhouden en voorzien van middelen om cyberbeveiligingspraktijken correct te implementeren. Dit plan moet doelen, missies, projecten, middelen, training en de betrokkenheid van stakeholders omvatten. De plannen moeten ook gericht zijn op het beschermen van CUI.

Hoewel de specifieke vereisten nog worden ontwikkeld, zal Level 3 waarschijnlijk bestaan uit de 110 controls van NIST SP 800-171 en een deelverzameling van de controls uit NIST SP 800-172. Het concept en de implementatie van Level 3 helpen organisaties hun kwetsbaarheid voor advanced persistent threats te verminderen en zorgen voor goede cyberhygiëne.

Naast de beveiligingsvereisten van NIST SP 800-172 zijn er op Level 3 ook 20 extra praktijken toegevoegd. Bovendien is de DFARS-clausule 252.204-7012 van toepassing, die een extra beveiligingslaag toevoegt voor systemen die CUI verwerken voor DoD-programma’s met de hoogste prioriteit.

Voorbeelden van geschikte beveiligingspraktijken voor het Expert-niveau zijn:

  • Een effectief systeem implementeren om kwaadaardige activiteiten te monitoren en te detecteren
  • Beleid en procedures opstellen om gebruikersrechten en authenticatie te beheren
  • Geavanceerde beveiligingssystemen en communicatiebescherming implementeren, zoals encryptie en netwerkisolatie
  • Een incident response-systeem opzetten om snel en effectief te reageren op cyberdreigingen
  • Een systeem implementeren om regelmatig systemen en netwerken te auditen en te monitoren op potentiële cyberbeveiligingsproblemen

Wie heeft CMMC 2.0 Level 3-naleving nodig?

CMMC 2.0 Level 3 is van toepassing op bedrijven die CUI verwerken voor DoD-programma’s met de hoogste prioriteit. Het is vergelijkbaar met CMMC 1.02 Level 5, hoewel het DoD nog bezig is met het ontwikkelen van de specifieke beveiligingsvereisten.

CMMC voor organisaties die niet compliant hoeven te zijn

Organisaties die niet verplicht zijn om te voldoen aan de CMMC-standaarden kunnen toch profiteren van het framework. De CMMC-niveaus zijn namelijk ook bruikbaar als referentie voor organisaties buiten de industriële defensiebasis om hun eigen beveiligingsbeleid en -procedures op te stellen, zodat hun vertrouwelijke informatie goed beschermd is. Om te bepalen welk CMMC-volwassenheidsniveau het meest geschikt is voor hun organisatie, moeten zij hun beveiligingsstatus beoordelen. Dit biedt een startpunt om een effectief beveiligingsplan op te stellen dat aansluit bij de doelstellingen van de organisatie.

Organisaties die hun eigen beveiligingsplan willen opstellen, dienen de maatregelen van de CMMC te implementeren. Dit omvat onder andere toegangscontrole, systeem- en informatie-integriteit, mediabescherming en incident response. Tijdens het doorlopen van elk gebied moet je de vereisten van de CMMC-niveaus meenemen om het plan op maat te maken voor jouw organisatie. Je moet ook je beveiligingsstatus beoordelen om eventuele beveiligingsgaten te identificeren en te bepalen hoe je deze aanpakt. Deze stappen horen thuis in iedere strategie voor risicobeheer cyberbeveiliging.

Overweeg daarnaast om andere maatregelen te implementeren die je beveiligingsstatus verbeteren, zoals continue monitoring en patching, veilige systeemontwikkeling, informatiebeveiliging en training. Al deze maatregelen kunnen worden afgestemd op de behoeften van jouw organisatie en moeten worden opgenomen in het totale beveiligingsplan.

Door de CMMC-niveaus als referentie te gebruiken en een effectief beveiligingsplan op te stellen, kunnen organisaties ervoor zorgen dat hun vertrouwelijke informatie goed beschermd is. Daarnaast bevorderen ze een vertrouwensklimaat met klanten en partners en voldoen ze aan hun verplichtingen uit gegevensbeschermingswetten en -normen. Uiteindelijk kunnen organisaties die de principes van de CMMC als leidraad nemen, een veilige omgeving creëren voor hun informatie en systemen.

Hoe het door Kiteworks ondersteunde Private Content Network CMMC 2.0 Level 2-naleving versnelt

Het door Kiteworks ondersteunde Private Content Network (PCN) vereenvoudigt en versnelt het CMMC 2.0 Level 2-nalevingsproces voor bedrijven. Kiteworks verenigt, volgt, beheert en beveiligt alle communicatie van gevoelige content op één platform. Het stelt zowel eerste als derde partijen in staat om samen te werken aan vertrouwelijke content. Kiteworks helpt het proces van het behalen van CMMC 2.0 Level 2-naleving te vereenvoudigen en te versnellen door toegangscontrole, beveiligde bestandsoverdracht, file encryptie, beveiligd delen van bestanden en authenticatie met twee-factor authenticatie en multi-factor authentication te bieden. Organisaties kunnen granulaire rechten en beleidsregels instellen om het hoogste beveiligingsniveau van hun data en content te waarborgen.

Met Kiteworks kunnen organisaties hun CMMC 2.0 Level 2-documentatie en bewijsmateriaal veilig intern delen met een C3PAO (Third Party Assessor Organization) en met de CMMC Accreditation Body (CMMC-AB). Dit helpt organisaties om het nalevingsproces sneller en efficiënter te doorlopen.

Kiteworks helpt organisaties een digitale audittrail te creëren voor al hun communicatie met gevoelige content. Hierdoor kunnen zij gevoelige communicatie monitoren en aantonen dat zij voldoen aan wet- en regelgeving op het gebied van gegevensbescherming en beveiliging, waaronder CMMC 2.0 Level 2. Kiteworks biedt C3PAO-auditors ook een volledige audittrail die kan worden gebruikt om het certificeringsproces te versnellen. Bovendien ondersteunt Kiteworks bijna 90% van de CMMC 2.0 Level 2-vereisten direct uit de doos.

Wil je meer weten over het Kiteworks Private Content Network en hoe dit jouw CMMC 2.0 Level 2-naleving kan versnellen? Plan vandaag nog een demo op maat in.

 

Terug naar Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Share
Tweet
Share
Explore Kiteworks