Wat is CMMC CUI?
Controlled unclassified information (CUI) onder CMMC is informatie waarvan de overheid bepaalt dat deze bescherming of verspreidingsbeperkingen vereist. Het heeft niet de wettelijke bescherming van geclassificeerde informatie, maar valt in plaats daarvan onder regelgeving en vereisten voor beveiliging, controle en gebruik. Het omvat informatie die niet wordt gespecificeerd als inlichtingen-, wetshandhavings- of nationale veiligheidsinformatie en wordt doorgaans gelabeld met tags, markeringen of legendes. CUI is een van de twee primaire informatietypen die de CMMC beschermt. De andere is federal contract information (FCI).
Wat is CMMC?
De Cybersecurity Maturity Model Certification, of CMMC, is een certificeringsprogramma dat is geïnitieerd door het Department of Defense (DoD) om de beveiliging van de toeleveringsketen en gegevens van het DoD te waarborgen. Het raamwerk werd in 2021 herzien om de oorspronkelijke vijf niveaus te consolideren tot drie. Het nieuwe raamwerk heet CMMC 2.0. De certificering meet en valideert de implementatie van beveiligingspraktijken, variërend van basis cyberbeveiligingshygiëne tot geavanceerd dreigingsbeheer. Het omvat ook maatregelen zoals het beoordelen van organisatorische prestaties en capaciteiten.
CUI moet worden beschermd door wetgeving of nationaal beleid. Het omvat overheids- en bedrijfsgegevens die gevoelig zijn, maar niet geclassificeerd. CUI omvat informatie die onderworpen is aan beperkte openbaarmaking of verspreiding, hetzij omdat deze gevoelig is, hetzij omdat deze op een andere manier wordt gereguleerd. CUI omvat alle informatie die beschermd moet worden om ongeoorloofde openbaarmaking te voorkomen. Een belangrijk doel van CMMC is het beschermen van het DoD tegen cyberaanvallen op zijn uitgebreide toeleveringsketen.
Wie heeft CMMC-certificering nodig?
Organisaties binnen de industriële defensiebasis (DIB) die Federal Contract Information (FCI) of Controlled Unclassified Information (CUI) verwerken, moeten Cybersecurity Maturity Model Certification (CMMC) behalen op het niveau dat in hun DoD-contracten is gespecificeerd. Dit omvat hoofdaannemers met directe contracten met het DoD, evenals onderaannemers en leveranciers op alle niveaus die goederen of diensten leveren aan hoofdaannemers.
De vereiste geldt voor diverse entiteiten, waaronder softwareleveranciers, cloudserviceproviders en adviespartners die DoD-contracten ondersteunen. Kortom, als uw organisatie FCI of CUI aanmaakt, verwerkt, verzendt of opslaat als onderdeel van het werk voor het DoD, is CMMC-certificering noodzakelijk.
Er zijn drie CMMC 2.0-niveaus en het specifieke vereiste CMMC-niveau hangt af van het type informatie dat wordt verwerkt: CMMC Level 1 is van toepassing op aannemers die alleen FCI verwerken en vereist de implementatie van basisbeveiligingsmaatregelen zoals beschreven in FAR 52.204-21. CMMC Level 2 is vereist voor organisaties die CUI verwerken en vereist naleving van de 110 beveiligingsmaatregelen die zijn gespecificeerd in NIST SP 800-171 Rev 2, zoals vereist door DFARS Clause 252.204-7012. CMMC Level 3 is voor organisaties die CUI verwerken die verband houdt met kritieke programma’s of waardevolle assets, en vereist aanvullende verbeterde maatregelen uit NIST 800-172 om geavanceerde persistent threats (APT’s) tegen te gaan.
Hoofdaannemers zijn verantwoordelijk voor het waarborgen dat hun onderaannemers het juiste CMMC-niveau behalen op basis van de informatie die aan hen wordt doorgegeven, zoals vereist door DFARS Clause 252.204-7021. Internationale leveranciers binnen de DIB vallen ook onder de CMMC-vereisten als zij FCI of CUI verwerken.
Een voorbeeld: een kleine producent die onderdelen levert aan een hoofdaannemer en alleen basiscontractgegevens (FCI) verwerkt, heeft Level 1 nodig, terwijl een softwareontwikkelaar wiens product gevoelige technische specificaties (CUI) verwerkt voor een defensiesysteem waarschijnlijk Level 2 of mogelijk Level 3 nodig heeft, afhankelijk van de kritiek van het programma. Het begrijpen van de relatie tussen CUI CMMC-vereisten is essentieel om contractgeschiktheid te behouden.
Typen Controlled Unclassified Information (CUI)
Er zijn diverse typen CUI, en deze kunnen worden onderverdeeld in twee categorieën:
- Basic CUI: Basic CUI is een type CUI dat basisbeveiligingsmaatregelen vereist om de informatie te beschermen tegen ongeoorloofde openbaarmaking. Voorbeelden van basic CUI zijn informatie over overheidscontracten, gevoelige maar niet-geclassificeerde informatie, of informatie die onderworpen is aan naleving van regelgeving, waaronder wetgeving en standaarden voor gegevensprivacy (GDPR, HIPAA, PCI DSS, NIST CSF, CCPA, enzovoort), of uitvoeringsbesluiten.
- Specified CUI: Specified CUI is een type CUI dat aanvullende beveiligingsmaatregelen vereist om de informatie te beschermen tegen ongeoorloofde openbaarmaking. Specified CUI kan informatie omvatten die verband houdt met nationale veiligheid, wetshandhaving of andere informatie die bescherming vereist onder specifieke wetten of regelgeving.
Enkele specifieke voorbeelden van CUI zijn:
- Persoonlijk identificeerbare en beschermde gezondheidsinformatie: Informatie zoals namen, adressen, burgerservicenummers, evenals gezondheidsinformatie zoals laboratoriumresultaten, medicatiegeschiedenis en doktersnotities vormen PII/PHI en worden gereguleerd door GDPR, PCI DSS en vele anderen voor PII, en HIPAA en HITECH voor PHI.
- Export-gecontroleerde of internationale handelsgegevens: Gegevens met betrekking tot export, import en internationale handel.
- Intellectueel eigendom: Octrooien, auteursrechten en handelsmerken.
- Aannemersgevoelige informatie: Informatie met betrekking tot contracten, onderaannemingen en biedingen.
- Propriëtaire bedrijfsinformatie (PBI), ook wel aangeduid als vertrouwelijke bedrijfsinformatie (CBI).
- Niet-geclassificeerde gecontroleerde technische informatie (UCTI): Informatie die gevoelige militaire gegevens bevat die niet geclassificeerd zijn, maar wel bescherming vereisen. Voorbeelden zijn operationele plannen, ontwikkelende technologieën, essentiële uitrusting voor missies, surveillancemethoden en andere gevoelige informatie.
- Gevoelig maar niet-geclassificeerd (SBU): Niet-geclassificeerde informatie die nog steeds als gevoelig wordt beschouwd en speciale behandeling vereist. Kan beschermde persoonlijke informatie, bedrijfsinformatie en overheidsinformatie omvatten die beveiliging en bescherming tegen ongeoorloofde inzage en toegang vereisen.
Wanneer is CMMC-naleving verplicht?
Het Department of Defense (DoD) implementeert CMMC 2.0 via een gefaseerde uitrol. De CMMC Program Final Rule (32 CFR Part 170) werd gepubliceerd op 15 oktober 2024 en werd van kracht op 16 december 2024.
De opname van CMMC-vereisten in daadwerkelijke DoD-contracten hangt echter af van de afronding van de bijbehorende DFARS-regel (48 CFR, DFARS Case 2019-D041), die CMMC vastlegt in de inkoopregelgeving. Verwacht wordt dat deze regel rond Q2 of Q3 2025 wordt afgerond. Zodra de 48 CFR-regel definitief is, zal het DoD beginnen met het opnemen van CMMC-vereisten in nieuwe aanbestedingen en contracten volgens de volgende gefaseerde planning:
- Fase 1 (Start ~Q2/Q3 2025): DoD zal beginnen met het opnemen van CMMC Level 1- en Level 2-zelfevaluatievereisten in toepasselijke aanbestedingen.
- Fase 2 (Start ~Q2/Q3 2026): DoD zal beginnen met het opnemen van CMMC Level 2-certificeringsbeoordeling (uitgevoerd door een C3PAO) in relevante aanbestedingen.
- Fase 3 (Start ~Q2/Q3 2027): CMMC Level 2-certificeringsvereisten zullen als voorwaarde gaan gelden voor het uitoefenen van optieperiodes op toepasselijke contracten. CMMC Level 3-beoordelingen (uitgevoerd door DIBCAC) zullen waarschijnlijk ook in deze fase of later in relevante aanbestedingen verschijnen.
- Fase 4 (Volledige implementatie, verwacht tussen 1 oktober 2026 – 2028): Alle nieuwe DoD-aanbestedingen en contracten waarbij FCI of CUI betrokken is, zullen naar verwachting de juiste CMMC-niveauvereisten bevatten.
Hoewel de officiële opname in contracten begint met de afronding van de 48 CFR CMMC Proposed Rule, is er feitelijk al een “marktuitrol” gestart, waarbij CMMC-beoordelingen beschikbaar zijn vanaf Q1 2025.
Hoofdaannemers eisen steeds vaker dat hun onderaannemers nu al aantonen dat ze compliant zijn ter voorbereiding. Organisaties die CUI verwerken, moeten nu al voldoen aan NIST 800-171 via DFARS 252.204-7012 en zelfevaluatiescores rapporteren in SPRS volgens DFARS 252.204-7019/7020.
Aangezien het behalen van naleving 6-18 maanden kan duren, moeten organisaties niet wachten met de voorbereidingen. Voorbereidende stappen zijn onder meer het uitvoeren van een gap-analyse ten opzichte van het vereiste CMMC-niveau, het opstellen van een Systeembeveiligingsplan (SSP), het creëren van Actieplannen & Mijlpalen (POA&M) voor tekortkomingen en het zorgen voor een correcte indiening van SPRS-scores. Inzicht in de CUI CMMC-tijdlijn is essentieel voor ononderbroken DoD-activiteiten.
Vereisten voor het omgaan met Controlled Unclassified Information (CUI)
Het omgaan met CUI vereist specifieke maatregelen om de bescherming ervan te waarborgen, waaronder:
- Toegangscontrole: Toegang tot CUI moet worden beschermd door robuuste toegangscontroles die de toegang beperken tot personen met de juiste bevoegdheid en een need-to-know-basis.
- Opslag: CUI moet op een veilige locatie worden opgeslagen en worden beschermd met fysieke of elektronische beveiligingsmaatregelen.
- Verspreiding: CUI mag alleen worden verspreid naar personen met de juiste bevoegdheid en een need-to-know-basis.
- Vernietiging: CUI moet worden vernietigd wanneer het niet langer nodig is of wanneer dit wettelijk of door regelgeving is vereist.
Waarom is het belangrijk om Controlled Unclassified Information (CUI) te beschermen?
Het beschermen van CUI is om diverse redenen belangrijk, waaronder:
- Nationale veiligheid: Ongeoorloofde openbaarmaking van CUI kan aanzienlijke schade toebrengen aan de nationale veiligheid.
- Privacy: Ongeoorloofde openbaarmaking van PII kan de privacy van individuen schaden en leiden tot identiteitsdiefstal.
- Economische belangen: Ongeoorloofde openbaarmaking van propriëtaire bedrijfsinformatie kan aanzienlijke schade toebrengen aan de economische belangen van een bedrijf.
Beveiliging van CMMC CUI: CMMC 2.0 Levels 1, 2 en 3
CMMC is een set standaarden en beste practices voor het beschermen van CUI. Het wordt gebruikt door het Amerikaanse Department of Defense (DoD) en andere overheidsinstanties om ervoor te zorgen dat aannemers de bescherming van CUI serieus nemen. CMMC 2.0 bestaat uit drie beoordelingsniveaus voor organisaties die gecertificeerd willen worden om CUI te verwerken:
- CMMC Level 1: Fundamenteel. Dit beschermingsniveau vereist de implementatie van basismaatregelen voor cyberbeveiliging, zoals identiteitsbeheer, toegangscontrole en gegevensbescherming.
- CMMC Level 2: Geavanceerd. Dit niveau omvat meer geavanceerde beveiligingsmaatregelen, zoals systeemauthenticatie en encryptie.
- CMMC Level 3: Expert. Dit niveau omvat de meest geavanceerde beveiligingsmaatregelen, zoals continue monitoring en plannen voor reactie op beveiligingsincidenten.
CMMC Level 1: Fundamentele waarborgen voor FCI
- Reikwijdte: Van toepassing op aannemers die Federal Contract Information (FCI) verwerken, opslaan of verzenden, maar geen CUI.
- Vereisten: Verplicht de implementatie van de 15 basisbeveiligingsvereisten zoals beschreven in FAR 52.204-21 (soms aangeduid als 17 praktijken in CMMC-documentatie, maar in lijn met de 15 FAR-controles). Deze vereisten vormen de basis van cyberhygiëne.
- Voorbeeldpraktijken (in lijn met FAR 52.204-21): Praktijken zoals het beperken van toegang tot informatiesystemen tot geautoriseerde gebruikers, gebruikers authenticeren voordat toegang wordt verleend, systemen beschermen tegen kwaadaardige code (zoals antivirus), regelmatige systeemupdates/patches uitvoeren, fysieke toegang tot systemen controleren en media wissen vóór verwijdering of hergebruik.
- Type beoordeling: Vereist een jaarlijkse zelfevaluatie door de aannemer.
- Bevestiging: Een senior bedrijfsfunctionaris moet jaarlijks de naleving bevestigen via het Supplier Performance Risk System (SPRS).
- Typische belanghebbenden: Organisaties binnen de DIB, waaronder kleine bedrijven, onderaannemers en leveranciers die alleen FCI verwerken als onderdeel van hun DoD-contractwerk. Dit niveau is van toepassing op bijna alle niet-COTS DoD-contracten.
CMMC Level 2: Geavanceerde beveiliging voor CUI
CMMC Level 2 is ontworpen voor organisaties die Controlled Unclassified Information (CUI) verwerken en verhoogt de cyberbeveiligingsvereisten aanzienlijk ten opzichte van Level 1.
Dit niveau sluit direct aan bij en vereist de implementatie van alle 110 beveiligingsmaatregelen die zijn gespecificeerd in NIST 800-171 Revision 2, die sinds 2017 een vereiste zijn voor aannemers die CUI verwerken onder DFARS Clause 252.204-7012.
Het primaire doel van Level 2 is het waarborgen van robuuste bescherming van CUI tegen meer complexe cyberdreigingen. Afhankelijk van de specifieke contractvereisten en de gevoeligheid van de betrokken CUI, moeten organisaties die Level 2-naleving nastreven, een driejaarlijkse beoordeling door een geaccrediteerde CMMC Third-Party Assessment Organization (C3PAO) ondergaan of, voor bepaalde contracten met minder gevoelige CUI, een driejaarlijkse COPPA. Ongeacht het type beoordeling is een jaarlijkse bevestiging van naleving door een senior bedrijfsfunctionaris via SPRS vereist.
Effectieve bescherming van CUI omvat stappen zoals beschreven in de 110 NIST SP 800-171-controls. Belangrijke implementatiestappen zijn onder meer het opzetten van sterke toegangscontroles (beperken wie toegang heeft tot CUI), het implementeren van multi-factor authentication (MFA), het versleutelen van CUI in rust en onderweg, het ontwikkelen van uitgebreide incident response-plannen, het uitvoeren van regelmatige security awareness-trainingen, continue monitoring en kwetsbaarhedenbeheer, en het onderhouden van veilige systeemconfiguraties.
Het behalen van Level 2 toont een aanzienlijke inzet voor het beschermen van gevoelige defensie-informatie binnen het CUI CMMC-raamwerk.
CMMC Level 3: Expert-niveau controles voor volledige bescherming
CMMC Level 3 vertegenwoordigt het hoogste niveau van cyberbeveiligingsvolwassenheid binnen het CMMC 2.0-raamwerk, bedoeld voor organisaties die CUI verwerken die verband houdt met de meest kritieke programma’s en technologieën van het DoD.
Dit niveau bouwt voort op de 110 controles van Level 2 (NIST SP 800-171) door een subset van de verbeterde beveiligingsvereisten uit NIST 800-172 toe te voegen. Deze extra maatregelen richten zich op verbeterde bescherming tegen advanced persistent threats (APT’s) en complexe statelijke tegenstanders door middel van proactieve cyberverdedigingsmogelijkheden.
Belangrijke aandachtsgebieden zijn onder meer verbeterde incident response (mogelijk vereist een Security Operations Center of SOC), geavanceerde threat hunting, risicobeheer toeleveringsketen en het ontwerpen van systemen voor cyberweerbaarheid.
In tegenstelling tot Level 1 en 2 worden beoordelingen voor Level 3 niet uitgevoerd door C3PAO’s of via zelfevaluatie; ze worden geleid door overheidsmedewerkers van het Defense Contract Management Agency’s (DCMA) Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) op driejaarlijkse basis.
Het behalen van Level 3 vereist aanzienlijke investeringen in middelen, technologie en personeel. Organisaties die Level 3 nastreven, moeten grondige resourceplanning uitvoeren en overwegen hoe deze geavanceerde maatregelen integreren met hun bestaande beveiligingsraamwerken, zoals ISO 27001 of andere NIST-richtlijnen. Naar schatting zal slechts een klein percentage van de DIB-aannemers (misschien minder dan 1%) Level 3-certificering nodig hebben, specifiek degenen die betrokken zijn bij programma’s die als kritiek worden beschouwd of bijzonder gevoelige CUI CMMC-gegevens verwerken.
Hoe weet ik of ik CUI in mijn omgeving heb?
CUI kan op veel verschillende plekken voorkomen, waaronder databases, netwerken, websites en documenten. Om CUI in een omgeving te identificeren, is het belangrijk te begrijpen waar de gegevens zijn opgeslagen en wie er toegang toe heeft. Veelvoorkomende bronnen van CUI zijn klantenlijsten, financiële administratie en bedrijfsplannen. Daarnaast kan CUI voorkomen in e-mails, sms-berichten en andere communicatie.
Welk type CUI heb ik?
Zodra u CUI in uw omgeving hebt geïdentificeerd, is het belangrijk te bepalen welk type CUI het betreft. CUI is onderverdeeld in diverse categorieën, waaronder PII, PHI, export-gecontroleerde gegevens, intellectueel eigendom, aannemersgevoelige informatie en gevoelige nationale veiligheidsinformatie die niet geclassificeerd is. Elke categorie CUI vereist zijn eigen set beschermingsmaatregelen.
Hoe bescherm ik CUI en voldoe ik aan de nalevingsvereisten?
CUI kan vertrouwelijke, gevoelige en/of propriëtaire informatie bevatten—gegevens die koste wat kost beschermd moeten worden. Zoals hierboven vermeld, is het essentieel om CUI te beschermen en te voldoen aan de nalevingsvereisten, omdat het niet naleven hiervan kan leiden tot financieel verlies en, nog erger, verlies van vertrouwen van klanten, leveranciers en medewerkers.
De eerste stap om CUI te beschermen en aan de nalevingsvereisten te voldoen, is het bepalen van de wetten en regelgeving die van toepassing zijn op gegevens binnen uw organisatie. Het is belangrijk om een duidelijk inzicht te hebben in deze standaarden, inclusief de risico’s en kwetsbaarheden die specifiek zijn voor uw sector. Zodra u de toepasselijke standaarden hebt vastgesteld, moeten organisaties passende maatregelen implementeren om CUI te beschermen. Dit proces moet een reeks technische, fysieke en administratieve beveiligingsmaatregelen omvatten, zoals encryptie, bescherming tegen malware, veilige back-ups en wachtwoordbeveiliging. Daarnaast moeten er toegangsbeleid zijn om te bepalen wie toegang heeft tot en wijzigingen mag aanbrengen in CUI, evenals processen voor het volgen, registreren en rapporteren van CUI.
Organisaties moeten ook een systeem hebben voor incident- en kwetsbaarhedenbeheer om ervoor te zorgen dat beveiligingsproblemen of blootstelling van CUI snel worden aangepakt. Incident response-plannen moeten processen bevatten voor het reageren op incidenten, het verzamelen en analyseren van bewijs en het beperken van eventuele schade. Regelmatige beveiligingsreviews en tests moeten ook worden uitgevoerd om de effectiviteit van de huidige beveiligingsmaatregelen te valideren en verbeterpunten te identificeren.
Door de nodige stappen te nemen om CUI te beschermen en aan de nalevingsvereisten te voldoen, kunnen organisaties hun gegevens beveiligen en hun activiteiten in overeenstemming houden met de geldende wetgeving. Dit is van cruciaal belang voor de reputatie van een organisatie en de beveiliging van haar informatie.
Aanvullende stappen om ervoor te zorgen dat CUI op de juiste manier wordt beschermd door organisaties zijn onder meer:
- Het implementeren van robuuste cyberbeveiligingsmaatregelen, zoals identity & access management (IAM), encryptie van e-mail en multi-factor authentication (MFA).
- Het opstellen van protocollen voor het omgaan met CUI, zoals het beperken van toegang tot geautoriseerd personeel en het monitoren van toegang tot CUI via analyse van audit logs.
- Zorgen dat al het personeel met toegang tot CUI goed is getraind in CUI-beschermingsprocedures via passende security awareness-training.
Het Kiteworks Private Data Network is essentieel voor het beschermen van CUI
Elke dag staan organisaties voor steeds grotere uitdagingen om gevoelige gegevens zoals CUI te beschermen tegen kwaadwillende derden, cyberaanvallen en datalekken. Om de veiligheid van deze gevoelige gegevens te waarborgen, biedt Kiteworks een Private Data Network (PDN) dat gevoelige inhoudscommunicatie centraliseert, volgt, beheert en beveiligt met uitgebreide beveiligings- en nalevingsgovernance. Met Kiteworks kunnen organisaties gevoelige informatie zoals CUI beveiligen over alle communicatiekanalen met gecentraliseerde controles, geautomatiseerde handhaving en volledige zichtbaarheid—zonder operationele efficiëntie op te offeren.
Kiteworks gebruikt een hardened virtual appliance om gevoelige inhoudscommunicatie te beschermen tegen kwaadwillende cybercriminelen en vijandige staten. Door beveiligingslagen te gebruiken die dubbele AES-256 Encryptie toepassen op bestands- en schijfhoeveelheid, wordt het voor een cyberaanval uiterst moeilijk om toegang te krijgen tot inhoud. Door het beveiligingsniveau dat Kiteworks hanteert, worden de kwetsbaarheid en de ernst van de impact van kwetsbaarheden aanzienlijk verminderd.
Kiteworks verenigt bestand- en e-mailgegevenscommunicatie in één platform dat geconsolideerde tracking en controles biedt om inhoud te verzenden, delen, ontvangen, samenwerken en opslaan. Met beveiligde e-mail, beveiligde bestandsoverdracht, beveiligde beheerde bestandsoverdracht, beveiligde webformulieren en SFTP samengebracht in één platform, realiseren organisaties aanzienlijke verbeteringen in operationele compliance, efficiëntie en beveiliging.
Gegevensencryptie is een belangrijk onderdeel van het Kiteworks PDN. Het beschermt gevoelige gegevens door deze te coderen zodat alleen geautoriseerde personen er toegang toe hebben. Bovendien hebben noch Kiteworks noch cloudproviders toegang tot uw key management en encryptie. Klanten van Kiteworks behouden volledige eigendom en toegang tot hun encryptiesleutels. Overheidsinstanties, advocaten en rechtbanken kunnen geen toegang krijgen tot uw gevoelige inhoud in Kiteworks via juridische maatregelen.
Plan een demo op maat om te ontdekken hoe u CUI onder CMMC Level 2 kunt beschermen met Kiteworks—dat bijna 90% van de CMMC Level 2-vereisten standaard ondersteunt