Conformità CMMC: cosa devi sapere sulla norma definitiva del 2024

Il Dipartimento della Difesa (DoD) ha rilasciato la sua norma definitiva per la conformità CMMC, segnando un cambiamento significativo nei requisiti di sicurezza informatica per i contractor della difesa. Questa guida completa analizza tutto ciò che devi sapere sul nuovo Struttura CMMC 2.0 e i tempi della sua attuazione.

Logo del CMMC

Comprensione dei livelli di conformità CMMC

Il nuovo quadro di conformità CMMC semplifica il precedente sistema a cinque livelli in tre livelli distinti:

  • Livello 1 – Fondamentale:
    • Richiede una protezione di base delle informazioni contrattuali federali (FCI) tramite 15 controlli di sicurezza fondamentali. Questo livello è progettato per i contraenti che gestiscono informazioni meno sensibili e si concentra su pratiche essenziali di sicurezza informatica come controllo degli accessi, manutenzione di base del sistema e protocolli fondamentali di protezione dei dati. Le organizzazioni a questo livello in genere gestiscono informazioni contrattuali federali che, sebbene importanti, non richiedono la protezione avanzata necessaria per le informazioni non classificate controllate.
  • Livello 2 – Avanzato:
    • Richiede l'implementazione di 110 controlli di sicurezza da NIST SP 800-171 per la gestione Informazioni non classificate controllate (CUI). Questo livello intermedio aumenta significativamente i requisiti di sicurezza per includere controlli di accesso avanzati, piani di risposta agli incidenti, formazione completa sulla sicurezza e solide capacità di monitoraggio del sistema. Le organizzazioni devono dimostrare una protezione adeguata della CUI nell'intera infrastruttura, inclusi asset fisici e digitali, mantenendo al contempo una documentazione dettagliata delle loro pratiche di sicurezza.
  • Livello 3 – Esperto:
    • Aggiunge 24 controlli di sicurezza aggiuntivi da NIST SP 800-172 per la massima protezione. Questo livello più alto è riservato ai contractor che gestiscono le informazioni non classificate più sensibili e richiede misure di sicurezza sofisticate come protocolli di crittografia avanzati, monitoraggio continuo della sicurezza, test di penetrazione regolari e capacità di risposta agli incidenti migliorate. Le organizzazioni devono inoltre implementare controlli di sicurezza specializzati per la gestione del rischio della supply chain e dimostrare la capacità di rilevare e rispondere alle minacce persistenti avanzate.

Un grafico che illustra i livelli di conformità CMMC 2.0.

Cronologia e implementazione della conformità CMMC

A partire dal 2025, tutti gli appaltatori della difesa dovranno dimostrare la conformità al CMMC al momento dell'assegnazione del contratto. Il programma include:

  • Un periodo di introduzione graduale di tre anni per garantire una transizione fluida, durante il quale i contractor possono implementare gradualmente i controlli di sicurezza richiesti e sottoporsi alle valutazioni necessarie senza rischiare l'immediata squalifica del contratto. Questo periodo consente alle organizzazioni di stanziare correttamente un budget per i miglioramenti della sicurezza, formare il personale e stabilire solidi processi di documentazione, mantenendo al contempo la capacità di presentare offerte per i contratti del DoD.
  • Implementazione delle modifiche alle regole DFARS entro la metà del 2025, che codificheranno formalmente i requisiti CMMC nelle normative di acquisizione della difesa. Queste modifiche influenzeranno tutto, dal linguaggio contrattuale ai requisiti delle proposte, cambiando radicalmente il modo in cui i contractor affrontano la conformità alla sicurezza informatica nelle loro operazioni commerciali DoD. Le organizzazioni dovranno comprendere e adattarsi a questi nuovi requisiti normativi mantenendo al contempo i loro protocolli di sicurezza esistenti.
  • Requisiti di affermazione annuale per mantenere lo stato di conformità, che implica che la dirigenza senior confermi la continua aderenza dell'organizzazione a tutti i controlli di sicurezza applicabili. Questo processo include la documentazione di eventuali incidenti di sicurezza, modifiche all'architettura del sistema e sforzi di correzione durante l'anno. Le organizzazioni devono inoltre mantenere la prova del monitoraggio continuo della conformità e delle valutazioni di sicurezza regolari per supportare le loro affermazioni.

Requisiti di valutazione della conformità CMMC

Il processo di valutazione varia a seconda del livello:

  • Livello 1:
    • Autovalutazione consentita per i contractor che gestiscono FCI di base, che richiede alle organizzazioni di valutare attentamente la loro implementazione dei 15 controlli di sicurezza di base. Ciò include il mantenimento di una documentazione dettagliata dell'implementazione dei controlli, audit interni regolari e l'istituzione di un processo per affrontare eventuali lacune identificate. Le organizzazioni devono anche sviluppare e mantenere politiche e procedure che dimostrino la loro comprensione e applicazione di questi controlli nel loro specifico contesto operativo.
  • Livello 2:
    • Combinazione di autovalutazione e certificazione di terze parti, a seconda della sensibilità del CUI gestito. Le organizzazioni che richiedono la certificazione di terze parti devono sottoporsi a valutazioni complete da parte di C3PAO autorizzati, che valuteranno sia le implementazioni tecniche sia l'aderenza procedurale a tutti i 110 controlli di sicurezza. Ciò include esami dettagliati delle configurazioni di sistema, documentazione delle policy, registri di formazione del personale e capacità di risposta agli incidenti. Le aziende autorizzate all'autovalutazione devono comunque mantenere una documentazione rigorosa e prove di conformità.
  • Livello 3:
    • Valutazione obbligatoria di terze parti da parte di DIBCAC, che comprende la valutazione più rigorosa di tutti i controlli di sicurezza, inclusi i 24 requisiti aggiuntivi di NIST SP 800-172. Queste valutazioni includono test tecnici approfonditi, revisione completa della documentazione e valutazione di funzionalità di sicurezza avanzate come la ricerca delle minacce e l'orchestrazione della sicurezza. Le organizzazioni devono dimostrare non solo l'implementazione ma anche l'efficacia operativa di tutti i controlli di sicurezza attraverso esercitazioni pratiche e scenari del mondo reale.

Dati recenti mostra un divario significativo nella percezione della conformità: mentre il 75% delle aziende riteneva di essere conforme al CMMC attraverso l'autovalutazione, solo il 4% ha effettivamente soddisfatto i requisiti quando valutato da terze parti.

Considerazioni importanti sulla conformità CMMC per i contraenti

Requisiti del subappaltatore

  • Tutti i subappaltatori devono mantenere livelli di conformità CMMC adeguati
  • I principali appaltatori sono responsabili della verifica della conformità dei subappaltatori
  • I requisiti di flusso verso il basso si applicano lungo tutta la catena di fornitura

Valutazione e certificazione

  • Le certificazioni di terze parti iniziano a dicembre 2024
  • Piani di azioni e traguardi (POA&M) consentiti per i contraenti di livello 2 e 3
  • Finestra di 180 giorni per chiudere POA&M dopo la certificazione condizionale

Gestione del rischio

  • Affermazioni annuali richieste ai funzionari senior
  • Responsabilità ai sensi del False Claims Act per dichiarazioni di conformità inesatte
  • Nuove valutazioni richieste dopo modifiche significative del sistema o fusioni

Preparazione alla conformità CMMC

Le organizzazioni dovrebbero:

  1. Determinare il livello di conformità CMMC richiesto
  2. Pianificare in anticipo le valutazioni di terze parti a causa dell'arretrato previsto
  3. Rivedere e aggiornare le attuali pratiche di sicurezza informatica
  4. Implementare i controlli di sicurezza richiesti
  5. Documentare gli sforzi di conformità e mantenere registri adeguati

Conclusione

La conformità CMMC rappresenta un cambiamento cruciale nei requisiti di sicurezza informatica del DoD. Con l'implementazione obbligatoria a partire dal 2025, i contraenti devono agire ora per garantire di soddisfare tutti i requisiti necessari e mantenere la loro capacità di competere per i contratti del DoD.

Per gli ultimi aggiornamenti sui requisiti di conformità CMMC e sulle linee guida per l'implementazione, i contraenti dovrebbero consultare regolarmente le risorse ufficiali del DoD e prendere in considerazione l'idea di rivolgersi a valutatori della conformità certificati.

MyWorkDrive può essere incorporato in un set up completamente conforme a CMMC. Per impostazione predefinita, MyWorkDrive non archivia i dati dei clienti in alcun formato. MyWorkDrive è semplicemente un gateway per organizzare e accedere alle condivisioni di file ovunque si trovino. Pertanto, la conformità a CMMC è basata sul framework di sicurezza dell'utente finale.

FAQ

Qual è la differenza tra la versione 1 e la versione 2 del CMMC?

La versione 1 del CMMC aveva cinque livelli con molti controlli dettagliati, che richiedevano valutazioni di terze parti a ogni livello. La versione 2 del CMMC semplifica questo riducendo i livelli a tre, allineandosi agli standard NIST e concentrandosi sulle autovalutazioni per i livelli inferiori e sulle valutazioni di terze parti per i livelli superiori, rendendo la conformità più facile e più accessibile.

Di quale livello di conformità CMMC ha bisogno la mia organizzazione?

Il livello CMMC richiesto dipende dal tipo di informazioni che gestisci. Le organizzazioni che lavorano con Federal Contract Information (FCI) necessitano del Livello 1 (15 controlli). Se gestisci Controlled Unclassified Information (CUI), avrai bisogno del Livello 2 (110 controlli). Le organizzazioni che gestiscono le informazioni non classificate più sensibili necessitano del Livello 3, che aggiunge 24 controlli di sicurezza avanzati da NIST SP 800-172.

Quando i fornitori della difesa devono ottenere la certificazione CMMC?

La conformità al CMMC diventa obbligatoria per tutti i contractor del DoD nel 2025. Le certificazioni di terze parti iniziano a dicembre 2024, con un periodo di introduzione graduale di tre anni per garantire un'implementazione fluida. Il DoD implementerà le modifiche alle regole DFARS entro la metà del 2025, richiedendo ai contractor di dimostrare la conformità al momento dell'aggiudicazione del contratto.

Daniel, fondatore di MyWorkDrive.com, ha lavorato in vari ruoli di gestione della tecnologia al servizio di aziende, governo e istruzione nell'area della Baia di San Francisco dal 1992. Daniel è certificato in Microsoft Technologies e scrive di tecnologia dell'informazione, sicurezza e strategia ed è stato premiato negli Stati Uniti Brevetto #9985930 in reti di accesso remoto