CMMC-naleving: wat u moet weten over de definitieve regelgeving van 2024

Het Department of Defense (DoD) heeft zijn definitieve regel voor CMMC-naleving vrijgegeven, wat een significante verschuiving in cybersecurityvereisten voor defensiecontractanten markeert. Deze uitgebreide gids geeft alles wat u moet weten over de nieuwe CMMC 2.0-raamwerk en de tijdlijn voor de implementatie.

CMMC-logo

Inzicht in CMMC-nalevingsniveaus

Het nieuwe CMMC-nalevingskader vereenvoudigt het vorige systeem met vijf niveaus tot drie afzonderlijke niveaus:

  • Niveau 1 – Fundamenteel:
    • Vereist basisbescherming van Federal Contract Information (FCI) via 15 fundamentele beveiligingscontroles. Dit niveau is ontworpen voor contractanten die minder gevoelige informatie verwerken en richt zich op essentiële cybersecuritypraktijken zoals toegangscontrole, basissysteemonderhoud en fundamentele gegevensbeschermingsprotocollen. Organisaties op dit niveau hebben doorgaans te maken met federale contractinformatie die, hoewel belangrijk, niet de verbeterde bescherming vereist die nodig is voor gecontroleerde niet-geclassificeerde informatie.
  • Niveau 2 – Geavanceerd:
    • Vereist implementatie van 110 beveiligingsmaatregelen uit NIST SP 800-171 voor de verwerking Gecontroleerde niet-geclassificeerde informatie (CUI). Dit tussenliggende niveau verhoogt de beveiligingsvereisten aanzienlijk, met geavanceerde toegangscontroles, incidentresponsplannen, uitgebreide beveiligingstraining en robuuste systeembewakingsmogelijkheden. Organisaties moeten de juiste bescherming van CUI over hun gehele infrastructuur aantonen, inclusief zowel fysieke als digitale activa, terwijl ze gedetailleerde documentatie van hun beveiligingspraktijken bijhouden.
  • Niveau 3 – Deskundige:
    • Voegt 24 extra beveiligingscontroles toe van NIST SP 800-172 voor maximale bescherming. Deze hoogste laag is gereserveerd voor contractanten die de meest gevoelige niet-geclassificeerde informatie verwerken en vereist geavanceerde beveiligingsmaatregelen zoals geavanceerde encryptieprotocollen, continue beveiligingsbewaking, regelmatige penetratietests en verbeterde mogelijkheden voor incidentrespons. Organisaties moeten ook gespecialiseerde beveiligingscontroles implementeren voor risicobeheer in de toeleveringsketen en aantonen dat ze geavanceerde aanhoudende bedreigingen kunnen detecteren en erop kunnen reageren.

Een grafiek met een overzicht van de CMMC 2.0-nalevingsniveaus.

Belangrijkste CMMC-nalevingstijdlijn en implementatie

Vanaf 2025 moeten alle defensiecontractanten CMMC-naleving aantonen op het moment van contracttoekenning. Het programma omvat:

  • Een driejarige inloopperiode om een soepele overgang te garanderen, waarin contractanten geleidelijk de vereiste beveiligingsmaatregelen kunnen implementeren en de nodige beoordelingen kunnen ondergaan zonder het risico te lopen dat het contract onmiddellijk wordt gediskwalificeerd. Deze periode stelt organisaties in staat om een goed budget op te stellen voor beveiligingsverbeteringen, personeel te trainen en robuuste documentatieprocessen op te zetten, terwijl ze hun vermogen om te bieden op DoD-contracten behouden.
  • Implementatie van DFARS-regelwijzigingen medio 2025, die CMMC-vereisten formeel zullen codificeren in regelgeving voor defensie-aankopen. Deze wijzigingen hebben invloed op alles van contracttaal tot voorstelvereisten, en veranderen fundamenteel hoe contractanten cybersecurity-naleving benaderen in hun DoD-bedrijfsactiviteiten. Organisaties moeten deze nieuwe wettelijke vereisten begrijpen en zich eraan aanpassen, terwijl ze hun bestaande beveiligingsprotocollen behouden.
  • Jaarlijkse bevestigingsvereisten om de nalevingsstatus te behouden, waarbij senior leiderschap de voortdurende naleving van alle toepasselijke beveiligingscontroles door de organisatie bevestigt. Dit proces omvat het documenteren van beveiligingsincidenten, wijzigingen in de systeemarchitectuur en herstelmaatregelen gedurende het jaar. Organisaties moeten ook bewijs van voortdurende nalevingsbewaking en regelmatige beveiligingsbeoordelingen bijhouden om hun bevestigingen te ondersteunen.

Vereisten voor CMMC-nalevingsbeoordeling

Het beoordelingsproces verschilt per niveau:

  • Niveau 1:
    • Zelfbeoordeling is toegestaan voor contractanten die basis-FCI hanteren, waarbij organisaties hun implementatie van de 15 basisbeveiligingscontroles grondig moeten evalueren. Dit omvat het bijhouden van gedetailleerde documentatie van de implementatie van de controle, regelmatige interne audits en het vaststellen van een proces voor het aanpakken van geïdentificeerde hiaten. Organisaties moeten ook beleid en procedures ontwikkelen en onderhouden die hun begrip en toepassing van deze controles binnen hun specifieke operationele context aantonen.
  • Niveau 2:
    • Mix van zelfbeoordeling en certificering door derden, afhankelijk van de gevoeligheid van de CUI die wordt afgehandeld. Organisaties die certificering door derden nodig hebben, moeten uitgebreide evaluaties ondergaan door geautoriseerde C3PAO's, die zowel technische implementaties als procedurele naleving van alle 110 beveiligingscontroles zullen beoordelen. Dit omvat gedetailleerde onderzoeken van systeemconfiguraties, beleidsdocumentatie, personeelstrainingsrecords en incidentresponsmogelijkheden. Bedrijven die toestemming hebben om zelf te beoordelen, moeten nog steeds rigoureuze documentatie en bewijs van naleving bijhouden.
  • Niveau 3:
    • Verplichte beoordeling door derden door DIBCAC, met de strengste evaluatie van alle beveiligingscontroles, inclusief de 24 extra vereisten van NIST SP 800-172. Deze beoordelingen omvatten diepgaande technische tests, uitgebreide documentatiebeoordeling en evaluatie van geavanceerde beveiligingsmogelijkheden zoals threat hunting en beveiligingsorkestratie. Organisaties moeten niet alleen de implementatie, maar ook de operationele effectiviteit van alle beveiligingscontroles aantonen door middel van praktische oefeningen en real-world scenario's.

Recente gegevens toont een aanzienlijke kloof in de perceptie van naleving: terwijl 75% van de bedrijven geloofde dat ze CMMC-conform waren op basis van zelfevaluatie, voldeden slechts 4% daadwerkelijk aan de vereisten toen ze door derden werden geëvalueerd.

Belangrijke CMMC-nalevingsoverwegingen voor aannemers

Vereisten voor onderaannemers

  • Alle onderaannemers moeten de juiste CMMC-nalevingsniveaus handhaven
  • Hoofdaannemers zijn verantwoordelijk voor het verifiëren van de naleving door onderaannemers
  • Flow-down-vereisten zijn van toepassing op de gehele toeleveringsketen

Beoordeling en certificering

  • Certificeringen door derden beginnen in december 2024
  • Actieplannen en mijlpalen (POA&Ms) toegestaan voor aannemers van niveau 2 en 3
  • Venster van 180 dagen om POA&M's af te sluiten na voorwaardelijke certificering

Risicomanagement

  • Jaarlijkse bevestigingen vereist door hoge ambtenaren
  • Aansprakelijkheid voor onjuiste nalevingsverklaringen op grond van de False Claims Act
  • Nieuwe beoordelingen vereist na belangrijke systeemwijzigingen of fusies

Voorbereiden op CMMC-naleving

Organisaties moeten:

  1. Bepaal hun vereiste CMMC-nalevingsniveau
  2. Plan beoordelingen door derden vroegtijdig in vanwege de verwachte achterstand
  3. Huidige cybersecuritypraktijken herzien en actualiseren
  4. Implementeer de vereiste beveiligingsmaatregelen
  5. Documenteer nalevingsinspanningen en houd de juiste gegevens bij

Gevolgtrekking

CMMC-naleving vertegenwoordigt een cruciale verschuiving in de cybersecurityvereisten van DoD. Met verplichte implementatie vanaf 2025 moeten contractanten nu actie ondernemen om ervoor te zorgen dat ze aan alle noodzakelijke vereisten voldoen en hun vermogen om te concurreren voor DoD-contracten behouden.

Voor de laatste updates over CMMC-nalevingsvereisten en implementatierichtlijnen moeten aannemers regelmatig de officiële DoD-bronnen raadplegen en overwegen om gecertificeerde nalevingsbeoordelaars in te schakelen.

MyWorkDrive kan worden opgenomen in een volledig CMMC-compatibele set-up. MyWorkDrive slaat qua ontwerp geen klantgegevens op in welke vorm dan ook. MyWorkDrive is simpelweg een gateway om bestandsshares te organiseren en openen, waar ze zich ook bevinden. Daarom is CMMC-compliance gebaseerd op het beveiligingsframework van de eindgebruiker.

FAQ

Wat is het verschil tussen CMMC versie 1 en 2?

CMMC versie 1 had vijf niveaus met veel gedetailleerde controles, waarbij op elk niveau beoordelingen door derden nodig waren. CMMC versie 2 vereenvoudigt dit door de niveaus terug te brengen tot drie, af te stemmen op NIST-normen en zich te richten op zelfbeoordelingen voor lagere niveaus en beoordelingen door derden voor hogere niveaus, waardoor naleving eenvoudiger en toegankelijker wordt.

Welk CMMC-nalevingsniveau heeft mijn organisatie nodig?

Uw vereiste CMMC-niveau is afhankelijk van het type informatie dat u verwerkt. Organisaties die werken met Federal Contract Information (FCI) hebben Level 1 (15 controls) nodig. Als u Controlled Unclassified Information (CUI) verwerkt, hebt u Level 2 (110 controls) nodig. Organisaties die omgaan met de meest gevoelige niet-geclassificeerde informatie hebben Level 3 nodig, wat 24 verbeterde beveiligingscontroles toevoegt van NIST SP 800-172.

Wanneer moeten defensie-aannemers CMMC-gecertificeerd zijn?

CMMC-naleving wordt verplicht voor alle DoD-contractanten in 2025. Certificeringen door derden beginnen in december 2024, met een inloopperiode van drie jaar om een soepele implementatie te garanderen. Het DoD zal de DFARS-regelwijzigingen medio 2025 implementeren, waarbij contractanten moeten aantonen dat ze voldoen aan de vereisten op het moment van gunning van het contract.

Daniel, oprichter van MyWorkDrive.com, heeft sinds 1992 verschillende functies op het gebied van technologiebeheer vervuld bij ondernemingen, de overheid en het onderwijs in de baai van San Francisco. Daniel is gecertificeerd in Microsoft Technologies en schrijft over informatietechnologie, beveiliging en strategie en is bekroond met de Amerikaanse Patent #9985930 in netwerken met externe toegang