
Hoe u CMMC-nalevingsrisico’s in de toeleveringsketen kunt beperken
Vanaf 2025 wordt CMMC 2.0 een wettelijke vereiste voor samenwerking met het DoD. Zowel Britse als Amerikaanse aannemers zijn bezig met het implementeren van de nalevingsvereisten, maar doen jouw partners dat ook?
Als essentiële schakel in de toeleveringsketen vertegenwoordigen Defense Industrial Base (DIB) aannemers en onderaannemers een potentieel cyberbeveiligingsrisico voor het DoD. Als aannemers willen voldoen aan CMMC 2.0, is het evalueren van hun eigen toeleveringsketen om te waarborgen dat zij voldoen aan hoge beveiligingsnormen essentieel. In dit artikel bespreken we hoe je de risico’s in je toeleveringsketen kunt verkleinen, met vier praktische stappen om de beveiligings- en nalevingsstatus van je partners te beoordelen.
Waarom CMMC-naleving verder gaat dan je toeleveringsketen
Cyberbeveiligingsdreigingen worden steeds complexer en elke inbreuk bij een derde partij kan een risico vormen voor het DoD en de nationale veiligheid van de VS. De recente datalek bij het Ministerie van Defensie (MoD), waarbij personeelsgegevens werden benaderd via een externe salarisverwerker, onderstreept het belang van beveiliging in de toeleveringsketen.
Daarom hebben overheidsorganisaties vaak regelgeving die vereist dat hun leveranciers aan bepaalde cyberbeveiligingsnormen voldoen. Zo heeft het MoD het Defence Cyber Protection Partnership (DCPP), dat is opgezet om de bescherming van de defensie-toeleveringsketen tegen cyberdreigingen te verbeteren.
CMMC 2.0 heeft vergelijkbare gevolgen voor organisaties die samenwerken met het DoD, of met een aannemer of onderaannemer. De CMMC-richtlijnen stellen:
“Als aannemers en onderaannemers hetzelfde type FCI en CUI verwerken, geldt hetzelfde CMMC-niveau. In gevallen waarin de hoofdaannemer alleen geselecteerde informatie doorgeeft, kan een lager CMMC-niveau van toepassing zijn op de onderaannemer.”
Daarom moeten DIB-aannemers ook de cyberrisico’s van hun eigen toeleveringsketen beoordelen. Doen ze dit niet, dan kunnen hun DoD-contracten in gevaar komen. Het is zelfs waarschijnlijk dat andere grote defensieorganisaties zoals het MoD of DoD-partners om deze reden formeel CMMC 2.0-vereisten zullen opnemen in hun eigen leverancierscontracten.
4 manieren om het risico in je toeleveringsketen te verkleinen onder CMMC 2.0
Om ervoor te zorgen dat je toeleveringsketen aansluit bij de CMMC 2.0-vereisten van het DoD, dienen aannemers deze vier stappen te volgen om het cyberrisico te beperken:
1. Beoordeel de zelfevaluaties van je huidige partners
Ter voorbereiding op CMMC 2.0 moeten organisaties hun eigen nalevingsstatus beoordelen. Organisaties worden geëvalueerd op de volwassenheid van hun cyberbeveiligingspraktijken, evenals hun transparantie en bewustzijn.
Om de potentiële risico’s van hun eigen toeleveringsketen te beheersen, moeten ze deze principes ook toepassen bij het beoordelen van de cyberstatus van hun leveranciers. Voer een gap-analyse uit ten opzichte van de CMMC-beveiligingsvereisten en identificeer welke acties externe leveranciers moeten nemen.
Vragen om te beantwoorden:
- Voldoen leden van mijn toeleveringsketen aan CMMC-naleving?
- Hebben zij dit aangetoond?
- Zijn ze voorbereid op aankomende CMMC-beoordelingen?
- Ben ik voorbereid om mijn CMMC-naleving te bewijzen?
2. Werk regelmatig samen met deze derde partijen
Het DoD vereist tijdige en regelmatige rapportage over incidenten, dreigingsinformatie, informatie-uitwisseling, technische ondersteuning en meer. DIB-aannemers en onderaannemers kunnen hun leveranciers stroomopwaarts en stroomafwaarts ondersteunen bij het handhaven van CMMC-normen door consequent samen te werken en te communiceren.
DIB-aannemers moeten ervoor zorgen dat externe leveranciers op de hoogte zijn van de verwachtingen onder CMMC. Ze moeten ook hun eigen CMMC-beleid of procedures delen om hun toeleveringsketen hiermee in lijn te brengen.
Het beoordelen van onderaannemers vóór de CMMC-beoordelingen geeft DIB-aannemers ook de tijd om niet-conforme organisaties te ondersteunen bij verbetering, of om deze contracten te beëindigen.
3. Werk samen met kleinere leveranciers
Kleinere onderaannemers van het DoD beschikken mogelijk niet over de middelen om aan de naleving te voldoen, vooral als het voldoen aan deze normen grote veranderingen in hun infrastructuur of processen vereist. Directe partners van het DoD hebben de mogelijkheid om extra begeleiding en ondersteuning te bieden. Dit kan onder meer bestaan uit:
- Uitvoeren van audits en gap-analyses
- Opstellen van herstelplannen, inclusief aanbevelingen voor CMMC-conforme tools
- Delen van raamwerken en beleidssjablonen
- Training bieden aan interne teams
- Doorlopende ondersteuning bij beoordelingen
4. Handhaaf CMMC-naleving binnen je hele organisatie
Ervoor zorgen dat externe leveranciers compliant zijn, begint met het goede voorbeeld geven. DIB-aannemers moeten zich eerst richten op hun eigen naleving en ervoor zorgen dat alle praktijken en beleidsmaatregelen aanwezig zijn om aan de CMMC 2.0-normen te voldoen.
DIB-aannemers kunnen ook de controle nemen over de beveiliging van communicatie tussen henzelf en hun partners. Beveiligde communicatieoplossingen voor inhoud – zoals end-to-end e-mailencryptie, granulaire toegangscontrole, beveiligde bestandsoverdracht of beheerde bestandsoverdracht – beschermen gevoelige gegevens wanneer deze gedeeld of verzonden worden door derden.
Het kiezen van compatibele oplossingen zorgt ervoor dat de beveiligingslaag intact blijft, ongeacht naar wie gegevens worden verzonden. Zo wordt voorkomen dat interne of externe actoren items zonder autorisatie kunnen benaderen, downloaden, delen of bewerken.
Hoe Kiteworks kan helpen
Kiteworks is een beveiligd platform voor bestand- en e-mailcommunicatie, ontworpen om bijna 90% van de CMMC 2.0 Level 2-vereisten direct te ondersteunen. Met FedRAMP Matige Autorisatie maakt Kiteworks naleving van de vereisten voor NIST SP 800-171 mogelijk.
Het Kiteworks Private Content Network ondersteunt ook de rest van je toeleveringsketen. De sterke beveiligings- en toegangscontrolefuncties stellen defensie-aannemers in staat om gevoelige inhoud intern en via de hele toeleveringsketen te delen via e-mail, bestandsoverdracht, file transfer en andere kanalen, op een manier die CUI en andere gevoelige gegevens op elk moment beschermt.
Met Kiteworks kun je communiceren en samenwerken met al je partners, aannemers en leveranciers en het cyberbeveiligingsrisico minimaliseren.
Zorg dat je klaar bent voor CMMC en de toekomst van het gereguleerde datalandschap.
Download onze gids ‘Beveiligde datacommunicatieoplossingen voor Britse DIB-aannemers’ en krijg inzicht in data- en cyberbeveiligingstrends en de oplossingen die je nodig hebt om deze aan te pakken.
Veelgestelde vragen
CMMC 2.0 is van toepassing op alle derde partijen binnen de defensie-toeleveringsketen, waaronder aannemers, leveranciers en alle andere gecontracteerde derde partijen die betrokken zijn bij de ondersteuning van het Department of Defense (DoD). Alle organisaties die zaken doen met het DoD moeten voldoen aan CMMC 2.0, afhankelijk van het type CUI en/of FCI dat zij verwerken, opslaan, verzenden of ontvangen. De lijst met entiteiten omvat:
- DoD-hoofdaannemers
- DoD-onderaannemers
- Leveranciers op alle niveaus in de DIB
- Kleine leveranciers van het DoD
- Niet-Amerikaanse bedrijven
Zodra CMMC 2.0 is geïmplementeerd, zijn zelfevaluaties voor alle niveaus jaarlijks verplicht en zijn voor Level 2 en 3 ook driejaarlijkse C3PAO-beoordelingen vereist.
Het niveau van een organisatie is gebaseerd op het type informatie dat zij verwerken. Als aannemers en hun onderaannemers zowel FCI- als CUI-gegevens verwerken, wordt verwacht dat zij aan hetzelfde niveau van CMMC-normen voldoen. Als de hoofdaannemer deze informatie niet deelt, of alleen geselecteerde informatie deelt met onderaannemers, kan een lager niveau van toepassing zijn.
CMMC 2.0 is een update van de Cybersecurity Maturity Model Certification (CMMC) die oorspronkelijk in januari 2021 werd uitgebracht. Het is de methode van het Department of Defense (DoD) om van organisaties in de DoD-toeleveringsketen te eisen dat zij federale contractinformatie (FCI) en gecontroleerde, niet-geclassificeerde informatie (CUI) beschermen op het juiste, vastgestelde niveau (er zijn drie niveaus in CMMC 2.0). CMMC 2.0 is een herstructurering van de volwassenheidsniveaus van CMMC door twee van de oorspronkelijke vijf ratings te schrappen, verbeterde beoordelingsprotocollen die de kosten voor aannemers verlagen, en een flexibelere route naar certificering te introduceren via Actieplannen & Mijlpalen (POA&Ms).
Samenwerken met een CMMC Organisatie van derde beoordelaars (C3PAO) biedt diverse voordelen voor organisaties die certificering onder CMMC 2.0-normen nastreven, naast het feit dat het verplicht is voor Levels 2 en 3:
- Expertise: een gecertificeerde derde beoordelaar heeft uitgebreide ervaring met het beoordelen van cyberbeveiligingsprogramma’s in diverse sectoren en kan waardevol inzicht bieden in beste practices om naleving van CMMC 2.0-normen te bereiken.
- Objectiviteit: een onafhankelijke derde beoordelaar geeft onbevooroordeelde feedback over de beveiligingsstatus van een organisatie en helpt zo verbeterpunten te identificeren.
- Kostenbesparing: samenwerken met een gecertificeerde derde beoordelaar kan tijd en geld besparen ten opzichte van het inhuren van intern personeel of adviseurs die mogelijk niet de juiste expertise hebben in het beoordelen van cyberbeveiligingsprogramma’s.
- Efficiëntie: een gecertificeerde derde beoordelaar kan snel beveiligingsgaten in de beveiligingsstatus van een organisatie identificeren, waardoor de voorbereidingstijd voor certificering wordt verkort.
- Gemoedsrust: een onafhankelijke derde beoordelaar die het cyberbeveiligingsprogramma van een DoD-leverancier beoordeelt, biedt gemoedsrust en verzekert dat organisaties alle noodzakelijke stappen hebben genomen richting naleving van CMMC 2.0-normen.