Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

CMMC 2.0 Level 1: Alles wat u moet weten

Startpagina Woordenlijst CMMC 2.0 Level 1: Alles wat u moet weten

De Cybersecurity Maturity Model Certification (CMMC) is ontworpen om de bescherming van gevoelige nationale veiligheidsinformatie, zoals Controlled Unclassified Information (CUI) en Federal Contract Information (FCI), te waarborgen. De certificering is van toepassing op alle DoD-aannemers en onderaannemers. Een aannemer die niet aan de vereisten voldoet, kan geen biedingen uitbrengen op DoD-contracten. CMMC 2.0 is een update van CMMC 1.0, die oorspronkelijk in januari 2021 werd uitgebracht.

Onder DFARS- en DoD-regels en -beleid heeft het DoD cybersecuritymaatregelen geïmplementeerd in de CMMC-standaard om CUI en FCI te beschermen. De CMMC meet dus het vermogen van een organisatie om FCI en CUI te beschermen. FCI is alle informatie die ‘niet voor openbare verspreiding is bedoeld’, CUI is informatie die bescherming vereist en mogelijk ook onderhevig is aan verspreidingsbeperkingen. FCI is gedefinieerd in FAR-clausule 52.204-21, en CUI is gedefinieerd in Title 32 CFR Part 2002. Omdat Level 1 zich richt op de bescherming van FCI, zijn de toepasselijke zelfevaluatie-doelstellingen voor Level 1 aangepast om FCI te adresseren in plaats van CUI, zoals uiteengezet in 32 CFR § 170.15(c)(1)(i).

Dit artikel behandelt alles wat u moet weten over CMMC 2.0 Level 1, de controls en vereisten.

CMMC 2.0 Level 1: Alles wat u moet weten

Hoe bepaalt u of CMMC 2.0 Level 1 geschikt is voor uw organisatie?

Het vereiste CMMC-certificeringsniveau wordt bepaald door het specifieke soort informatie dat een bedrijf verwerkt en het type werkzaamheden dat het uitvoert. Het specifieke certificeringsniveau wordt vermeld in alle nieuwe DoD-contracten. Als een leverancier niet gecertificeerd is op het vereiste niveau, kan het bedrijf niet meedingen naar DoD-opdrachten.

Defensie-aannemers die een FAR 52.204-21 (wat een subset is van DFARS-vereisten) in hun contract hebben en alleen FCI verwerken, moeten CMMC Level 1 behalen. Dit niveau vereist geen gecertificeerde derde partij voor de beoordeling. Het vereist een jaarlijkse zelfevaluatie met attestatie door een directielid.

Overzicht van CMMC 2.0-vereisten

CMMC 2.0 is een belangrijke update van de aanpak van het Department of Defense (DoD) voor cybersecurityverificatie van aannemers binnen de industriële defensiebasis (DIB). Het overkoepelende doel is het beschermen van gevoelige informatie, met name Federal Contract Information (FCI) en Controlled Unclassified Information (CUI), tegen cyberdreigingen. CMMC 2.0 vereenvoudigt de oorspronkelijke vijf niveaus tot een model met drie lagen, waardoor naleving eenvoudiger wordt zonder concessies te doen aan robuuste beveiligingsnormen.

  • CMMC 2.0 Level 1 (Foundational) komt direct overeen met de 15 basisvereisten voor beveiliging uit Federal Acquisition Regulation (FAR) Clausule 52.204-21. Dit niveau is bedoeld voor organisaties die alleen FCI verwerken en vereist een jaarlijkse zelfevaluatie met bevestiging door een directielid. Het legt de basis voor goede cyberhygiëne.
  • CMMC 2.0 Level 2 (Advanced) sluit aan bij de 110 beveiligingsmaatregelen die zijn gespecificeerd in NIST 800-171. Dit niveau is van toepassing op organisaties die CUI verwerken. Afhankelijk van de kritiek van de CUI in het contract, vereist naleving ofwel een jaarlijkse zelfevaluatie of een driejaarlijkse beoordeling door een derde partij, uitgevoerd door CMMC Organisaties van derde beoordelaars (C3PAO’s). Dit betekent een aanzienlijke stap omhoog, met meer uitgebreide cybersecuritymaatregelen en naleving van specifieke CMMC 2.0 Level 2-vereisten.
  • CMMC 2.0 Level 3 (Expert) bouwt voort op Level 2 door een subset van controls uit NIST SP 800-172 toe te voegen. Dit niveau is bedoeld voor organisaties die CUI verwerken die verband houdt met de hoogste prioriteit DoD-programma’s en richt zich op bescherming tegen Advanced Persistent Threats (APT’s). Naleving vereist een driejaarlijkse DIBCAC-beoordeling door het Defense Industrial Base Cybersecurity Assessment Center (DIBCAC). Inzicht in deze niveaus en de bijbehorende vereisten onder cmmc2.0 is essentieel voor elke organisatie die betrokken is bij DoD-contracten die onder DFARS-clausules vallen.

Wat is CMMC 2.0 Level 1?

Het Foundational-niveau is het eerste van de drie niveaus en bestaat uit basispraktijken voor risicobeheer op het gebied van cybersecurity. Dit niveau omvat de meest elementaire cyberbeschermingsmaatregelen en is bedoeld om de meest voorkomende cyberdreigingen aan te pakken. Het richt zich op basismaatregelen voor beveiliging en risicobeheer, zoals authenticatie en toegangscontrole, oftewel het vermogen om te bepalen wie toegang heeft tot welke informatie.

De vereisten van dit niveau zijn verdeeld over 6 domeinen en 15 vereisten, waaronder, maar niet beperkt tot, Access Control, Identification and Authentication en System and Information Integrity. Organisaties moeten aantonen dat alle vereiste praktijken zijn geïmplementeerd en effectieve processen voor risicobeheer op het gebied van cybersecurity hebben.

CMMC 2.0-niveaus in één oogopslag

  • Level 1 (Foundational): Deze instapcertificering is voor aannemers die alleen Federal Contract Information (FCI) verwerken. Het vereist de implementatie van 15 basisvereisten voor beveiliging uit FAR 52.204-21. Naleving wordt geverifieerd via een jaarlijkse zelfevaluatie die door de aannemer wordt ingediend met een bevestiging door een directielid, waardoor dit het meest toegankelijke niveau van CMMC 2.0-certificering is.
  • Level 2 (Advanced): Dit niveau is vereist voor aannemers die Controlled Unclassified Information (CUI) creëren, opslaan of verzenden. De CMMC 2.0 Level 2-vereisten zijn afgestemd op de 110 beveiligingsmaatregelen uit NIST SP 800-171. Afhankelijk van de gevoeligheid van het contract worden beoordelingen uitgevoerd als een driejaarlijkse beoordeling door een derde partij (C3PAO) of als een jaarlijkse zelfevaluatie voor geselecteerde programma’s. Het behalen van CMMC 2.0 Level 2-naleving toont een robuuste beveiligingsstatus aan die gevoelige nationale veiligheidsinformatie kan beschermen.
  • Level 3 (Expert): Dit niveau is voor aannemers die CUI verwerken in de hoogst geprioriteerde DoD-programma’s. Het bouwt voort op de controls van Level 2 en omvat een subset van vereisten uit NIST SP 800-172 om te beschermen tegen Advanced Persistent Threats (APT’s). Beoordelingen voor Level 3 worden driejaarlijks uitgevoerd door overheidsfunctionarissen van het Defense Industrial Base Cybersecurity Assessment Center (DIBCAC), wat het strengste niveau van CMMC2.0 vertegenwoordigt.

CMMC 2.0 en NIST 800‑171: Welke heeft u nodig?

Hoewel CMMC 2.0 sterk leunt op NIST-standaarden, met name NIST SP 800-171, dienen ze verschillende primaire doelen. NIST SP 800-171 biedt een reeks aanbevolen beveiligingsvereisten (controls) voor het beschermen van de vertrouwelijkheid van CUI in niet-federale systemen. Het fungeert als richtlijn. CMMC 2.0 daarentegen is een DoD-certificeringsprogramma dat is ontworpen om te verifiëren dat aannemers deze controls correct hebben geïmplementeerd.

Het belangrijkste verschil zit in beoordeling en handhaving. NIST SP 800-171-naleving was historisch gebaseerd op zelfattestatie, hoewel DFARS-clausule 252.204-7012 de implementatie ervan verplicht stelde. CMMC 2.0 introduceert verplichte beoordelingen (zelfevaluaties voor Level 1, en een mix van zelf- en derde partij/overheidsbeoordelingen voor Level 2 en 3) met formele certificering of bevestiging als vereiste om op DoD-contracten te mogen bieden. CMMC 2.0 Level 2 is direct afgestemd op alle 110 controls van NIST SP 800-171 Rev. 2, waardoor NIST SP 800-171 de basis vormt voor CMMC Level 2-naleving.

CMMC 2.0 en NIST 800-171: Overeenkomsten en verschillen

Hoewel CMMC 2.0 voortbouwt op de basis die is gelegd door NIST SP 800-171, dienen de twee raamwerken verschillende doelen en zijn er belangrijke verschillen in implementatie en handhaving. De vergelijking hieronder laat zien waar ze overeenkomen—en waar ze uiteenlopen:

  • Overlap: CMMC Level 2 omvat alle 110 controls uit NIST SP 800-171 Rev 2. Level 3 voegt een subset van controls uit NIST 800-172 toe.
    Doel: NIST SP 800-171 biedt beveiligingsrichtlijnen; CMMC 2.0 is een certificeringsraamwerk om implementatie te verifiëren.
  • Beoordeling: NIST was traditioneel gebaseerd op zelfevaluatie; CMMC vereist beoordelingen (zelf, derde partij of overheid) afhankelijk van het niveau.
  • Certificering: NIST geeft geen certificeringen uit; CMMC biedt formele certificering (Level 2 beoordeeld door C3PAO, CMMC Level 3 beoordeeld door DIBCAC) of vereist bevestiging (Level 1 zelfevaluatie, Level 2 zelfevaluatie).
  • POA&Ms: CMMC 2.0 staat beperkt gebruik toe van Plans of Action & Milestones (POA&Ms) voor bepaalde Level 2-controls (moeten binnen 180 dagen zijn afgesloten), terwijl Level 1 geen POA&Ms toestaat. NIST 800-171 stond ruimer gebruik van POA&Ms toe onder eerdere zelfattestatiemodellen.

Hoewel CMMC Level 1 alleen vereist dat wordt voldaan aan FAR 52.204-21 (wat overlapt met enkele NIST SP 800-171-controls), is het nuttig om NIST-terminologie te begrijpen, aangezien het CMMC-raamwerk, inclusief de beoordelingsgidsen, sterk verwijst naar NIST-publicaties zoals SP 800-171 en SP 800-171A (de beoordelingsgids voor 800-171).

Belangrijkste wijzigingen van CMMC 1.0 naar CMMC 2.0

De introductie van CMMC 2.0 betekende een grote verschuiving ten opzichte van zijn voorganger, CMMC 1.0, met de nadruk op het vereenvoudigen van het model, nauwere afstemming op bestaande federale standaarden en het verminderen van de nalevingslast—vooral voor kleine en middelgrote aannemers. Hieronder de belangrijkste updates die defensie-aannemers moeten begrijpen:

  • Vereenvoudigde niveaus: CMMC 2.0 heeft het aantal nalevingsniveaus teruggebracht van vijf (in CMMC 1.0) naar drie (Foundational, Advanced, Expert). Niveaus 2 en 4 uit CMMC 1.0 zijn verwijderd.
  • Afstemming op NIST: CMMC 2.0 sluit nauwer aan bij gevestigde NIST-standaarden. Level 1 is gekoppeld aan FAR 52.204-21, Level 2 sluit aan bij NIST SP 800-171 Rev 2, en Level 3 bevat controls uit NIST SP 800-172. CMMC-specifieke praktijken en volwassenheidsprocessen uit versie 1.0 zijn verwijderd.
  • Beoordelingsvereisten aangepast: CMMC 1.0 vereiste beoordelingen door derden voor alle niveaus. CMMC 2.0 staat jaarlijkse zelfevaluaties toe voor Level 1. Level 2 vereist ofwel jaarlijkse zelfevaluaties of driejaarlijkse beoordelingen door derden (door C3PAO’s), afhankelijk van het contract. Level 3 vereist driejaarlijkse beoordelingen onder leiding van de overheid.
  • Plans of Action & Milestones (POA&Ms): CMMC 1.0 stond geen POA&Ms toe voor certificering. CMMC 2.0 staat beperkt gebruik van POA&Ms toe voor Level 2-beoordelingen onder specifieke voorwaarden (moeten binnen 180 dagen zijn afgesloten, bepaalde kritieke controls uitgesloten). POA&Ms zijn niet toegestaan voor Level 1.
  • Introductie van uitzonderingen: CMMC 2.0 staat uitzonderingen op CMMC-vereisten toe onder beperkte omstandigheden, iets wat in CMMC 1.0 niet was toegestaan.

Waarom wijzigingen van CMMC 1.0 naar CMMC 2.0 belangrijk zijn voor Level 1-aannemers

De belangrijkste verandering voor aannemers die alleen CMMC Level 1 nodig hebben, is de overstap naar een jaarlijks zelfevaluatiemodel in plaats van een verplichte beoordeling door derden. Dit verlaagt de directe kosten en complexiteit van het behalen van naleving, hoewel zorgvuldige documentatie en een nauwkeurige zelfevaluatie nog steeds cruciaal zijn. De afstemming op FAR 52.204-21 blijft de kernvereiste.

Wie heeft CMMC 2.0 Level 1 nodig?

CMMC 2.0 Level 1 is van toepassing op DoD-aannemers en onderaannemers die FCI verwerken die door of voor de overheid wordt verstrekt onder een contract om een product of dienst te ontwikkelen of te leveren aan de overheid.

Het Foundational-niveau vereist dat organisaties basispraktijken op het gebied van cybersecurity uitvoeren. Zij mogen certificering behalen via een jaarlijkse zelfevaluatie. CMMC Organisaties van derde beoordelaars (C3PAO’s) zijn niet betrokken bij Level 1-certificering. 

Implementatietijdlijn en belangrijke deadlines

CMMC 2.0 wordt geleidelijk ingevoerd, zodat defensie-aannemers de tijd krijgen om zich voor te bereiden op nieuwe beoordelings- en certificeringsvereisten. Hieronder vindt u een overzicht van belangrijke mijlpalen en wat u bij elke fase van de uitrol kunt verwachten:

  • 16 december 2024: 32 CFR Final Rule (32 CFR Part 170) ingangsdatum. De regel die het CMMC-programma vaststelt, is van kracht geworden. CMMC-beoordelingen zijn beschikbaar vanaf 2 januari 2025.
  • Begin tot midden 2025 (verwacht): 48 CFR CMMC Proposed Rule wordt gepubliceerd. Deze regel zal uiteenzetten hoe CMMC-vereisten worden opgenomen in DoD-contracten (DFARS-clausule 252.204-7021). Dit is het startpunt voor de gefaseerde uitrol.
  • Fase 1 (vanaf midden 2025): Initiële uitrol. Zodra de 48 CFR-regel definitief is, zal het DoD beginnen met het opnemen van CMMC Level 1-zelfevaluatie en Level 2-zelfevaluatievereisten in toepasselijke aanbestedingen. Aannemers die willen inschrijven, moeten hun zelfevaluatie hebben afgerond en hun naleving hebben bevestigd in SPRS.
  • Fase 2 (vanaf circa midden 2026): Start van Level 2-certificeringsvereisten. Het DoD zal beginnen met het opnemen van CMMC Level 2-certificeringsbeoordelingen (uitgevoerd door C3PAO’s) in toepasselijke aanbestedingen.
  • Fase 3 (vanaf circa midden 2027): Start van Level 3-vereisten en voorwaarden voor optieperiodes. Het DoD zal CMMC Level 3-beoordelingsvereisten introduceren in toepasselijke aanbestedingen. Daarnaast kan CMMC Level 2-certificering een voorwaarde worden voor het uitoefenen van optieperiodes op contracten die zijn toegekend na de ingangsdatum van de CMMC-regel.
  • Fase 4 (vanaf circa midden 2028): Volledige implementatie. CMMC-vereisten zullen worden opgenomen in alle toepasselijke DoD-aanbestedingen en contracten, ook als voorwaarde voor optieperiodes op alle relevante contracten, ongeacht de toekenningsdatum.

Advies voor Level 1-aannemers: Omdat Level 1 een jaarlijkse zelfevaluatie en bevestiging in SPRS vereist, en deze vereisten vanaf fase 1 (midden 2025) in contracten zullen verschijnen, moeten organisaties die CMMC Level 1 nodig hebben hun eerste zelfevaluatie en SPRS-indiening zo snel mogelijk in 2025 afronden. Vooruitlopen zorgt voor gereedheid wanneer relevante contracten worden vrijgegeven. Onthoud: de zelfevaluatie is een jaarlijkse vereiste.

CMMC 2.0 Level 1-domeinen en controls

CMMC Maturity Level 1 is het eerste en fundamentele niveau van CMMC-certificering. De vereisten van dit niveau zijn verdeeld over deze 6 domeinen:

Domein

Aantal controls

Access Control (AC)

4 controls

Identification and Authentication (IA)

2 controls

Media Protection (MP)

1 control

Physical Protection (PE)

2 controls

System and Communications Protection (SC)

2 controls

System and Information Integrity (SI)

4 controls

De controls en beveiligingsvereisten in elk domein omvatten:

Access Control (AC)

Het domein Access Control richt zich op het bijhouden en begrijpen van wie toegang heeft tot uw systemen en netwerk. Dit omvat gebruikersrechten, externe toegang en interne systeemtoegang. De specifieke controls zijn:

  • Beperk toegang tot informatiesystemen tot geautoriseerde gebruikers, processen die namens geautoriseerde gebruikers handelen, of apparaten (inclusief andere informatiesystemen)
  • Beperk toegang tot informatiesystemen tot de soorten transacties en functies die geautoriseerde gebruikers mogen uitvoeren
  • Verifieer en beheer/beperk verbindingen met en het gebruik van externe informatiesystemen
  • Beheer informatie die wordt geplaatst of verwerkt op publiek toegankelijke informatiesystemen

Identification and Authentication (IA)

Het domein Identification and Authentication richt zich op de rollen binnen een organisatie. Het werkt samen met het access control-domein door ervoor te zorgen dat toegang tot alle systemen en netwerken traceerbaar is voor rapportage en verantwoordelijkheid. De controls zijn:

  • Identificeer gebruikers van informatiesystemen, processen die namens gebruikers handelen, of apparaten
  • Authenticeer (of verifieer) de identiteit van deze gebruikers, processen of apparaten als voorwaarde voor toegang tot de informatiesystemen van de organisatie

Media Protection (MP)

Media Protection richt zich op het identificeren, bijhouden en doorlopend beheren van media. Het omvat ook beleid over bescherming, datasanering en acceptabel transport. Dit domein heeft slechts één vereiste:

  • Sanitiseer of vernietig informatiesysteemmedia met federale contractinformatie vóór verwijdering of hergebruik

Physical Protection (PE)

Veel organisaties voeren een aanmeldproces in, waarbij identificatie via een kaartlezer vereist is voor toegang tot bepaalde delen van hun locatie. Toch houdt niet elke organisatie bezoekers gedurende hun hele verblijf in de gaten. Dit domein bevat de volgende vereisten die organisaties daarbij helpen:

  • Beperk fysieke toegang tot de informatiesystemen, apparatuur en de bijbehorende omgevingen van de organisatie tot geautoriseerde personen
  • Begeleid bezoekers en monitor hun activiteiten
  • Onderhoud logs van fysieke toegangsapparaten
  • Beheer en controleer fysieke toegangsapparaten

System and Communications Protection (SC)

Communicatie tussen medewerkers moet veilig zijn, zodat kwaadwillenden geen gevoelige gegevens kunnen onderscheppen en vastleggen. Het domein System and Communications Protection richt zich op de implementatie van grensverdediging op organisatieniveau. De vereisten in dit domein zijn:

  • Monitor, beheer en bescherm communicatie van de organisatie (d.w.z. informatie die wordt verzonden of ontvangen door informatiesystemen van organisaties) aan de externe grenzen en belangrijke interne grenzen van de informatiesystemen
  • Implementeer subnetwerken voor publiek toegankelijke systeemcomponenten die fysiek of logisch gescheiden zijn van interne netwerken

System and Information Integrity (SI)

Dit domein richt zich op het doorlopend beheren en onderhouden van problemen binnen informatiesystemen. Het benadrukt dat organisaties zich inspannen om kwaadaardige code te identificeren en doorlopende bescherming op e-mail en systeemmonitoring toe te passen. De vereisten zijn:

  • Identificeer, rapporteer en corrigeer gebreken in informatie en informatiesystemen tijdig
  • Bied bescherming tegen kwaadaardige code op geschikte locaties binnen de informatiesystemen van de organisatie
  • Werk mechanismen voor bescherming tegen kwaadaardige code bij zodra nieuwe releases beschikbaar zijn
  • Voer periodieke scans uit van het informatiesysteem en realtime scans van bestanden uit externe bronnen zodra deze worden gedownload, geopend of uitgevoerd

Stapsgewijs CMMC 2.0 Level 1-certificeringsproces

  • Bepaal uw scope: Identificeer alle systemen, middelen en locaties waar Federal Contract Information (FCI) wordt verwerkt, opgeslagen of verzonden. Deze eerste stap is cruciaal om de grenzen van uw beoordeling te begrijpen. De 15 controls van CMMC Level 1 zijn afkomstig uit de basisvereisten voor beveiliging in FAR 52.204-21, dus zorg dat uw scope alle systemen omvat die FCI verwerken.
  • Voer een zelfevaluatie en gap-analyse uit: Gebruik de CMMC Level 1 Assessment Guide van het DoD om uw huidige implementatie van de 15 vereiste controls te beoordelen. Deze gap-analyse brengt in kaart welke controls niet zijn gehaald of slechts gedeeltelijk zijn geïmplementeerd. Documenteer uw bevindingen grondig, want dit vormt de basis voor uw herstelplan.
  • Herstel beveiligingsgaten: Ontwikkel en voer een plan uit om de tekortkomingen die in uw gap-analyse zijn geïdentificeerd aan te pakken. Dit kan het opstellen van nieuw beleid, het implementeren van technische maatregelen zoals antivirussoftware of het aanpassen van fysieke beveiligingsprocedures omvatten. Prioriteer herstel op basis van risico en complexiteit.
  • Rond de zelfevaluatie en directiebevestiging af: Zodra alle beveiligingsgaten zijn hersteld, voltooit u formeel de CMMC Level 1-zelfevaluatie en bevestigt u dat alle 15 controls zijn geïmplementeerd. Een senior leidinggevende (bijvoorbeeld een CEO of ander directielid) moet vervolgens formeel bevestigen dat de beoordeling correct is.
  • Registreer resultaten in SPRS: Voer uw zelfevaluatieresultaten en de directiebevestiging in het Supplier Performance Risk System (SPRS) van het DoD in. Er wordt een score gegenereerd op basis van uw nalevingsstatus. Het bijhouden van een actieve en nauwkeurige registratie in SPRS is verplicht om te kunnen bieden op contracten waarvoor CMMC vereist is.
  • Plan jaarlijkse vernieuwing: CMMC Level 1-naleving is geen eenmalige gebeurtenis. U moet elk jaar een nieuwe zelfevaluatie uitvoeren en een nieuwe bevestiging indienen om uw certificering te behouden. Monitor uw controls en beveiligingsstatus gedurende het jaar om continue naleving te waarborgen.

Zelfevaluatieproces en documentatie voor Level 1

Het behalen van CMMC 2.0 Level 1-naleving vereist een verplichte jaarlijkse zelfevaluatie. Organisaties moeten hun implementatie van de 15 beveiligingsvereisten uit FAR 52.204-21 beoordelen aan de hand van de beoordelingsdoelstellingen uit de officiële DoD CMMC Level 1 Assessment Guide (die gebruikmaakt van NIST SP 800-171A). Het proces vereist zorgvuldige documentatie en een officiële bevestiging.

De workflow omvat doorgaans: het bepalen van de scope van de beoordeling (identificeren van middelen die FCI verwerken, opslaan of verzenden), het uitvoeren van de beoordeling met methoden als ‘onderzoeken’, ‘interviewen’ en ‘testen’ voor elk van de 15 controls, en het documenteren van bevindingen. Voor elke control moet de bevinding ‘behaald’ of ‘niet van toepassing’ zijn. Een bevinding ‘niet behaald’ betekent dat de organisatie niet voldoet aan CMMC Level 1. Bewijs dat elke ‘behaalde’ control ondersteunt, moet worden verzameld en bewaard. Dit bewijs kan bestaan uit beleid, procedures, systeemlogs, schermafbeeldingen of interviewnotities.

Zodra de zelfevaluatie bevestigt dat aan alle vereisten is voldaan, moet een senior leidinggevende formeel de naleving bevestigen door de beoordelingsresultaten in te dienen in het Supplier Performance Risk System (SPRS) van het DoD. Deze bevestiging moet jaarlijks worden vernieuwd na het uitvoeren van een nieuwe zelfevaluatie. Hoewel organisaties dit intern kunnen uitvoeren, is het gebruik van tools of hulp van derden (het blijft echter een ‘zelfevaluatie’ en geen certificering) gebruikelijk. Belangrijke bronnen zijn de officiële CMMC Level 1 Self-Assessment Guide en CMMC Level 1 Scoping Guidance, beschikbaar op de DoD CIO-website.

CMMC 2.0 Level 1 Compliance Checklist

CMMC Level 1 richt zich op het beschermen van Federal Contract Information (FCI) via basismaatregelen voor beveiliging. Hoewel de vereisten minder complex zijn dan bij hogere niveaus, moeten aannemers nog steeds een gestructureerde aanpak volgen om naleving te waarborgen. Gebruik deze checklist om uw organisatie te begeleiden bij de belangrijkste stappen voor het behalen en behouden van CMMC Level 1-status:

  1. Identificeer en bepaal de scope van FCI: Bepaal waar Federal Contract Information (FCI) wordt verwerkt, opgeslagen of verzonden binnen de systemen van uw organisatie. Gebruik de officiële CMMC Level 1 Scoping Guidance.
  2. Bekijk FAR 52.204-21-vereisten: Maak uzelf vertrouwd met de 15 basisbeveiligingsmaatregelen uit FAR-clausule 52.204-21. Dit zijn de kerncontrols van CMMC 2.0 Level 1.
  3. Implementeer of verifieer beveiligingsmaatregelen: Zorg dat technische maatregelen en processen aanwezig zijn om aan elk van de 15 vereisten te voldoen binnen de zes domeinen (Access Control, Identification & Authentication, Media Protection, Physical Protection, System & Communications Protection, System & Information Integrity).
  4. Documenteer beleid en praktijken: Houd basisdocumentatie bij waarin wordt beschreven hoe uw organisatie aan elk vereiste voldoet. Hoewel uitgebreide beleidsstukken op Level 1 niet verplicht zijn zoals bij hogere niveaus, ondersteunt duidelijke documentatie de beoordeling.
  5. Voer jaarlijkse zelfevaluatie uit: Gebruik de officiële CMMC Level 1 Self-Assessment Guide om uw implementatie van elk van de 15 controls te beoordelen aan de hand van de gespecificeerde beoordelingsdoelstellingen. Bepaal of elke control ‘behaald’ of ‘niet van toepassing’ is.
  6. Verzamel en bewaar bewijs: Verzamel bewijs (logs, schermafbeeldingen, configuratie-instellingen, schriftelijke procedures) dat aantoont dat elke als ‘behaald’ beoordeelde control effectief is geïmplementeerd.
  7. Herstel beveiligingsgaten (indien nodig): Als bepaalde controls ‘niet behaald’ zijn, implementeer dan corrigerende maatregelen. Alle 15 controls moeten BEHAALD zijn (of N.V.T.) voor naleving. POA&Ms zijn niet toegestaan voor Level 1.
  8. Dien bevestiging in bij SPRS: Zodra alle controls BEHAALD zijn, moet een senior leidinggevende inloggen op het Supplier Performance Risk System (SPRS) en de resultaten van de zelfevaluatie indienen, waarmee naleving wordt bevestigd.
  9. Herhaal jaarlijks: De zelfevaluatie en SPRS-bevestiging moeten elk jaar worden uitgevoerd en ingediend om de CMMC Level 1-nalevingsstatus te behouden.

Belangrijke data en deadlines voor CMMC 2.0 Level 1-naleving

De definitieve CMMC 2.0-regel (32 CFR Part 170) is op 16 december 2024 van kracht geworden en heeft het programma officieel gelanceerd. De implementatie van CMMC-vereisten gebeurt echter gefaseerd. Het DoD begon begin 2025 met het opnemen van CMMC-taal in sommige contracten. Volledige implementatie is afhankelijk van de afronding van een tweede regel, 48 CFR (de DFARS-case), die wordt verwacht in het midden tot einde van 2025. Zodra de 48 CFR-regel definitief is, start het DoD een gefaseerde uitrol, waarbij wordt verwacht dat CMMC-vereisten uiterlijk in 2028 in alle nieuwe relevante DoD-contracten zijn opgenomen. Aannemers moeten zich nu voorbereiden; wachten tot CMMC-clausules in aanbestedingen verschijnen, leidt tot aanzienlijke concurrentienadelen. Het behalen van CMMC Level 1 vereist een jaarlijkse zelfevaluatie, en hoofdaannemers dringen nu al aan op naleving in hun toeleveringsketens.

Veelgestelde vragen

 

Wat is CMMC 2.0?

CMMC 2.0 is de nieuwste versie van de Cybersecurity Maturity Model Certification. Het is een uitgebreide set procedures en standaarden die zijn ontwikkeld door het Department of Defense, bedoeld om een consistente aanpak te creëren voor het beschermen van CUI. Het CMMC-model is ontworpen om organisaties te helpen hun cybersecurityrisico’s te evalueren en aan te pakken, en hun algehele beveiligingsstatus te verbeteren.

Wat is het doel van CMMC 2.0 Level 1?

Het primaire doel van CMMC 2.0 Level 1 is ervoor te zorgen dat organisaties de basismaatregelen op orde hebben om FCI te beschermen tegen ongeoorloofd gebruik. Level 1 bestaat uit de 15 basisvereisten voor beveiliging die zijn gespecificeerd in Federal Acquisition Regulation (FAR) Clausule 52.204-21.

Wat zijn de gevolgen van niet-naleving van CMMC 2.0 Level 1?

De gevolgen van niet-naleving van CMMC 2.0 Level 1 variëren. Het niet voldoen aan de minimumnormen kan een organisatie blootstellen aan potentiële schade, omdat gevoelige informatie kan uitlekken of worden gestolen. Daarnaast kunnen organisaties sancties krijgen van het Department of Defense of andere toezichthouders als blijkt dat ze niet compliant zijn.

Hoe kan ik CMMC 2.0 Level 1-praktijken implementeren?

Het implementeren van CMMC 2.0 Level 1-praktijken in een organisatie kan op verschillende niveaus en afgestemd op de situatie van de organisatie. Een goed beginpunt is het uitvoeren van een risicobeoordeling, waarna organisaties de specifieke controls en praktijken kunnen identificeren die nodig zijn om aan de normen te voldoen. Ze moeten ook een programma opzetten voor het monitoren en rapporteren van hun voortgang.

Wat zijn de voordelen van naleving van CMMC 2.0 Level 1?

De voordelen van naleving van CMMC 2.0 Level 1 zijn talrijk. Ten eerste kunnen organisaties de integriteit van hun FCI beschermen en erop vertrouwen dat deze veilig is tegen ongeoorloofd gebruik. Daarnaast kunnen organisaties met een basisset aan cybersecuritymaatregelen aantonen dat zij zorgvuldig handelen richting klanten en andere belanghebbenden, en kunnen zij helpen kostbare datalekken te voorkomen. Tot slot kan naleving van CMMC 2.0 Level 1 organisaties in staat stellen om in aanmerking te komen voor DoD-contracten.

Kiteworks Private Content Network maakt naleving van CMMC 2.0 Level 1 mogelijk

Het Kiteworks Private Content Network (PCN) vereenvoudigt en ondersteunt organisaties binnen de industriële defensiebasis (DIB) bij het nalevingsproces van CMMC 2.0 Level 1. Kiteworks verenigt, volgt, beheert en beveiligt alle gevoelige contentcommunicatie op één platform. Het stelt zowel eerste als derde partijen in staat om samen te werken aan vertrouwelijke content. Kiteworks helpt het proces van CMMC 2.0 Level 1-naleving te vereenvoudigen en te versnellen door toegangscontrole, beveiligde bestandsoverdracht, bestandsencryptie, beveiligd delen van bestanden en authenticatie met twee-factor authenticatie en multi-factor authentication te bieden. Organisaties kunnen granulaire machtigingen en beleidsregels instellen om het hoogste beveiligingsniveau van hun data en content te waarborgen.

Als onderdeel van CMMC 2.0 Level 1-naleving helpt Kiteworks organisaties bij het creëren van een digitale audittrail van hun gevoelige contentcommunicatie. Hierdoor kunnen zij gevoelige contentcommunicatie monitoren en aantonen dat zij voldoen aan regelgeving op het gebied van gegevensbescherming en beveiliging, waaronder CMMC 2.0 Level 1.

Wilt u meer weten over het Kiteworks Private Content Network en hoe dit uw CMMC 2.0 Level 1-naleving kan versnellen? Plan vandaag nog een demo op maat. 

Terug naar Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks