EN DA
standards

Cybersäkerhetsmognadsmodellcertifiering CMMC - en översikt

4 minuters läsning
Cybersäkerhetsmognadsmodellcertifiering CMMC - en översikt

CMMC etablerar cybersäkerhetsstandarder för amerikanska försvarsföretag. Lär dig om krav, nivåer och implementering.

CMMC - ursprung och utveckling

Federal Acquisition Regulation (FAR) och Defense Federal Acquisition Regulation Supplement (DFARS) utgör grunden för federala upphandlingsregler i USA. DFARS 252.204-7012 kräver att entreprenörer som hanterar Controlled Unclassified Information (CUI) skyddar denna information enligt NIST Special Publication 800-171.

Problemet med DFARS-krav har varit genomförandet: entreprenörer självrapporterade sin compliance, utan oberoende verifiering. Detta ledde till sårbarheter i försvarsindustrins leverantörskedja som exploaterades av motståndare.

Cybersecurity Maturity Model Certification (CMMC) introducerades för att lösa denna verifieringslucka. Genom att kräva tredjepartscertifiering skapar CMMC en verifierbar säkerhetsstandard för försvarskontrakt.

Viktiga milstolpar:

  • 2019: Första CMMC-versionen introduceras
  • 2021: CMMC 2.0 tillkännages med förenklad struktur
  • Februari 2023: Förslag till regel för kommentarer
  • Oktober 2024: Slutlig regel publicerad i Federal Register
  • December 2024: Regel träder i kraft

CMMC-strukturen

CMMC organiserar cybersäkerhetskrav kring tre mognadsnivåer:

Nivå 1 - Grundläggande cyberhygien

Författad för Federal Contract Information (FCI). Kräver 15 säkerhetspraxis som är relaterade men inte identiska med de från NIST SP 800-171. Exempel inkluderar:

  • Begränsa informationssystemsåtkomst till auktoriserade användare
  • Begränsa informationssystemsåtkomst till den typ av transaktioner och funktioner som auktoriserade användare får utföra
  • Kontrollera anslutningen av mobila enheter

CMMC Nivå 1 kräver endast självbedömning, inte certifiering från tredje part.

Nivå 2 - Avancerad cybersäkerhet

Designad för CUI. Bygger på NIST SP 800-171 Rev 2, med alla 110 säkerhetskrav plus 20 ytterligare krav från NIST SP 800-172. Några exempel:

  • Genomför konfigurationshantering
  • Användning av bärbara medier med kontrollerat gränssnitt
  • Övervaka, kontrollera och skydda kommunikationer vid gränserna till externa nätverk

CMMC Nivå 2 kräver certifiering från tredje part.

Nivå 3 - Expertcybersäkerhet

Tillämpar på CUI-kontrakt som bedöms ha hög säkerhetsrisk eller kritisk programmprioritet. Bygger på en delmängd av NIST SP 800-172 "Enhanced Security" med ytterligare krav som kan definieras för specifika kontrakt.

CMMC Nivå 3 kräver också certifiering från tredje part.

Skillnad mellan regel och förordning

CMMC började som en försvarsministeriepolicy och blev en slutlig regel. Skillnaden är viktig:

  • Policy är intern vägledning som kan ändras relativt enkelt
  • Regel är förordning som kodifieras i CFR efter en formell process och måste följas från dess ikraftträdandedatum

Den 14 oktober 2024 publicerade DoD den slutliga regeln för CMMC-programmet i Federal Register. Regeln blir effektiv den 16 december 2024. En av de viktigaste förändringarna i denna slutliga regel är förenkling av mognadsnivåer till tre, vilket särskilt gynnar små och medelstora företag. CMMC-nivåerna är anpassade till kritikaliteten av den oklassificerade informationen som ska skyddas.

Viktiga aspekter för företag

För företag som vill arbeta med DoD är CMMC-compliance avgörande. Utan giltig CMMC-certifiering kan de inte tilldelas DoD-kontrakt, vilket kan resultera i betydande intäktsförluster. Företag måste säkerställa att de uppfyller kraven för FCI och CUI och har en plan för kontinuerlig övervakning och förbättring av sina säkerhetsåtgärder.

Slutsats

CMMC är ett centralt ramverk för att säkerställa cybersäkerhet inom det amerikanska försvarsministeriets leverantörskedja. Företag som redan arbetar med DoD eller planerar att göra det måste uppfylla CMMC-krav för att stärka sin marknadsposition och fortsätta nya affärsmöjligheter. Den nära anpassningen till NIST-standarder möjliggör för berörda organisationer att implementera kontroller konsekvent. Med den slutliga regeln har CMMC förenklats och gjorts mer effektivt så att organisationer av alla storlekar kan uppfylla kraven och förbli aktiva i försvarsektorn.

CMMC är inte en isolerad fråga för många företag; det existerar vid sidan av europeiska krav som CRA eller NIS 2. Om du vill förstå hur dessa krav förhåller sig till varandra och vilka nästa steg som är vettiga, kan detta förtydligas i ett icke-bindande samtal.