Conformidade com CMMC: O que você precisa saber sobre a regra final de 2024

O Departamento de Defesa (DoD) divulgou sua regra final para conformidade com CMMC, marcando uma mudança significativa nos requisitos de segurança cibernética para contratantes de defesa. Este guia abrangente detalha tudo o que você precisa saber sobre o novo Estrutura CMMC 2.0 e seu cronograma de implementação.

Logotipo CMMC

Compreendendo os níveis de conformidade do CMMC

A nova estrutura de conformidade do CMMC simplifica o sistema anterior de cinco níveis em três níveis distintos:

  • Nível 1 – Fundamental:
    • Exige proteção básica de Federal Contract Information (FCI) por meio de 15 controles de segurança fundamentais. Este nível é projetado para contratados que lidam com informações menos sensíveis e se concentra em práticas essenciais de segurança cibernética, como controle de acesso, manutenção básica do sistema e protocolos fundamentais de proteção de dados. Organizações neste nível normalmente lidam com informações de contratos federais que, embora importantes, não exigem a proteção aprimorada necessária para informações não classificadas controladas.
  • Nível 2 – Avançado:
    • Exige a implementação de 110 controles de segurança do NIST SP 800-171 para manuseio Informações não classificadas controladas (CUI). Este nível intermediário aumenta significativamente os requisitos de segurança para incluir controles de acesso avançados, planos de resposta a incidentes, treinamento de segurança abrangente e recursos robustos de monitoramento de sistema. As organizações devem demonstrar proteção adequada de CUI em toda a sua infraestrutura, incluindo ativos físicos e digitais, enquanto mantêm documentação detalhada de suas práticas de segurança.
  • Nível 3 – Especialista:
    • Adiciona 24 controles de segurança adicionais do NIST SP 800-172 para proteção máxima. Este nível mais alto é reservado para contratados que lidam com as informações não classificadas mais sensíveis e requer medidas de segurança sofisticadas, como protocolos avançados de criptografia, monitoramento contínuo de segurança, testes de penetração regulares e recursos aprimorados de resposta a incidentes. As organizações também devem implementar controles de segurança especializados para gerenciamento de risco da cadeia de suprimentos e demonstrar a capacidade de detectar e responder a ameaças persistentes avançadas.

Um gráfico detalhando os níveis de conformidade do CMMC 2.0.

Cronograma de conformidade e implementação do CMMC

A partir de 2025, todos os contratantes de defesa devem demonstrar conformidade com o CMMC no momento da adjudicação do contrato. O programa inclui:

  • Um período de fase de três anos para garantir uma transição suave, durante o qual os contratados podem implementar gradualmente os controles de segurança necessários e passar pelas avaliações necessárias sem correr o risco de desqualificação imediata do contrato. Este período permite que as organizações orçamentem adequadamente as melhorias de segurança, treinem o pessoal e estabeleçam processos de documentação robustos, mantendo sua capacidade de licitar contratos do DoD.
  • Implementação das mudanças nas regras do DFARS até meados de 2025, que codificarão formalmente os requisitos do CMMC em regulamentações de aquisição de defesa. Essas mudanças afetarão tudo, desde a linguagem do contrato até os requisitos da proposta, mudando fundamentalmente como os contratados abordam a conformidade com a segurança cibernética em suas operações comerciais do DoD. As organizações precisarão entender e se adaptar a esses novos requisitos regulatórios, mantendo seus protocolos de segurança existentes.
  • Requisitos de afirmação anual para manter o status de conformidade, o que envolve a liderança sênior confirmando a adesão contínua da organização a todos os controles de segurança aplicáveis. Este processo inclui documentar quaisquer incidentes de segurança, mudanças na arquitetura do sistema e esforços de remediação ao longo do ano. As organizações também devem manter evidências de monitoramento contínuo de conformidade e avaliações regulares de segurança para dar suporte às suas afirmações.

Requisitos de avaliação de conformidade do CMMC

O processo de avaliação varia de acordo com o nível:

  • Nível 1:
    • Autoavaliação permitida para contratados que lidam com FCI básico, exigindo que as organizações avaliem completamente sua implementação dos 15 controles básicos de segurança. Isso inclui manter documentação detalhada da implementação do controle, auditorias internas regulares e estabelecer um processo para abordar quaisquer lacunas identificadas. As organizações também devem desenvolver e manter políticas e procedimentos que demonstrem sua compreensão e aplicação desses controles dentro de seu contexto operacional específico.
  • Nível 2:
    • Mistura de autoavaliação e certificação de terceiros, dependendo da sensibilidade do CUI sendo tratado. Organizações que exigem certificação de terceiros devem passar por avaliações abrangentes por C3PAOs autorizados, que avaliarão tanto as implementações técnicas quanto a aderência processual a todos os 110 controles de segurança. Isso inclui exames detalhados de configurações de sistema, documentação de política, registros de treinamento de pessoal e capacidades de resposta a incidentes. Empresas autorizadas a autoavaliar ainda devem manter documentação rigorosa e evidências de conformidade.
  • Nível 3:
    • Avaliação obrigatória de terceiros pelo DIBCAC, envolvendo a avaliação mais rigorosa de todos os controles de segurança, incluindo os 24 requisitos adicionais do NIST SP 800-172. Essas avaliações incluem testes técnicos aprofundados, revisão abrangente de documentação e avaliação de recursos avançados de segurança, como caça a ameaças e orquestração de segurança. As organizações devem demonstrar não apenas a implementação, mas também a eficácia operacional de todos os controles de segurança por meio de exercícios práticos e cenários do mundo real.

Dados recentes mostra uma lacuna significativa na percepção de conformidade: enquanto 75% das empresas acreditavam estar em conformidade com o CMMC por meio de autoavaliação, apenas 4% realmente atenderam aos requisitos quando avaliadas por terceiros.

Considerações importantes sobre conformidade com CMMC para contratados

Requisitos do subcontratado

  • Todos os subcontratados devem manter níveis de conformidade CMMC apropriados
  • Os contratantes principais são responsáveis por verificar a conformidade dos subcontratados
  • Os requisitos de fluxo descendente aplicam-se a toda a cadeia de abastecimento

Avaliação e Certificação

  • As certificações de terceiros começam em dezembro de 2024
  • Planos de Ações e Marcos (POA&Ms) permitidos para contratantes de Nível 2 e 3
  • Janela de 180 dias para encerrar POA&Ms após certificação condicional

Gestão de Riscos

  • Afirmações anuais exigidas por altos funcionários
  • Responsabilidade da Lei de Falsas Reclamações por declarações de conformidade imprecisas
  • Novas avaliações necessárias após mudanças significativas no sistema ou fusões

Preparando-se para a conformidade com o CMMC

As organizações devem:

  1. Determinar o nível de conformidade CMMC necessário
  2. Agende avaliações de terceiros com antecedência devido ao acúmulo de tarefas previsto
  3. Revise e atualize as práticas atuais de segurança cibernética
  4. Implementar os controles de segurança necessários
  5. Documentar os esforços de conformidade e manter registros adequados

Conclusão

A conformidade com o CMMC representa uma mudança crucial nos requisitos de segurança cibernética do DoD. Com a implementação obrigatória começando em 2025, os contratados devem agir agora para garantir que atendam a todos os requisitos necessários e mantenham sua capacidade de competir por contratos do DoD.

Para obter as atualizações mais recentes sobre os requisitos de conformidade do CMMC e orientações de implementação, os contratantes devem consultar regularmente os recursos oficiais do DoD e considerar a contratação de avaliadores de conformidade certificados.

MyWorkDrive pode ser incorporado em uma configuração totalmente compatível com CMMC. Por design, o MyWorkDrive não armazena dados do cliente em nenhuma forma. O MyWorkDrive é simplesmente um gateway para organizar e acessar compartilhamentos de arquivos onde quer que estejam localizados. Portanto, a conformidade com CMMC é baseada na estrutura de segurança do usuário final.

Perguntas frequentes

Qual é a diferença entre as versões 1 e 2 do CMMC?

A versão 1 do CMMC tinha cinco níveis com muitos controles detalhados, exigindo avaliações de terceiros em cada nível. A versão 2 do CMMC simplifica isso reduzindo os níveis para três, alinhando-se com os padrões do NIST e focando em autoavaliações para níveis mais baixos e avaliações de terceiros para níveis mais altos, tornando a conformidade mais fácil e acessível.

Qual nível de conformidade com o CMMC minha organização precisa?

Seu nível CMMC necessário depende do tipo de informação que você manipula. Organizações que trabalham com Federal Contract Information (FCI) precisam do Nível 1 (15 controles). Se você manipula Controlled Unclassified Information (CUI), precisará do Nível 2 (110 controles). Organizações que lidam com as informações não classificadas mais sensíveis exigem o Nível 3, que adiciona 24 controles de segurança aprimorados do NIST SP 800-172.

Quando os contratantes de defesa devem obter a certificação CMMC?

A conformidade com o CMMC se torna obrigatória para todos os contratados do DoD em 2025. As certificações de terceiros começam em dezembro de 2024, com um período de fase de três anos para garantir uma implementação tranquila. O DoD implementará as mudanças nas regras do DFARS até meados de 2025, exigindo que os contratados demonstrem conformidade no momento da adjudicação do contrato.

Daniel, fundador do MyWorkDrive.com, trabalhou em várias funções de gerenciamento de tecnologia atendendo empresas, governo e educação na área da baía de São Francisco desde 1992. Daniel é certificado em Microsoft Technologies e escreve sobre tecnologia da informação, segurança e estratégia e foi premiado Patente #9985930 em Rede de Acesso Remoto