Lär dig allt om CMMC, dess koppling till NIST SP 800-171, och vilka krav den ställer på leverantörer i USA.
CMMC - ursprung och utveckling
Federal Acquisition Regulation (FAR) är den primära regelboken för upphandling av varor och tjänster av amerikanska federala agenturer. Den fastställer policyer och krav för anbudsförfaranden och kontrakt.
Defense Federal Acquisition Regulation Supplement (DFARS) kompletterar FAR specifikt för det amerikanska försvarsministeriet och inkluderar ytterligare bestämmelser och säkerhetskrav för försvarskontrakt.
CMMC utvecklades för att förbättra säkerheten inom DoDs leverantörskedja. Sedan 2015 har DFARS 252.204-7012 krävt skydd av "Covered Defense Information" och rapportering av cyberhändelser. Den första versionen av CMMC släpptes 2020, följt av CMMC 2.0 i november 2021. Denna version träder i kraft den 16 december 2024 efter dess officiella publicering i Federal Register.
CMMC 2.0 består av tre mognadsnivåer, där varje nivå kräver olika säkerhetspraxis och kontroller som huvudsakligen baseras på NIST-standarder. Jämfört med den första versionen reducerar CMMC 2.0 antalet mognadsnivåer från fem till tre för att förenkla certifieringsprocessen för små och medelstora företag.
CMMC-nivåerna är:
- Nivå 1: Grundläggande skydd av FCI genom fundamentala säkerhetskrav härledda från FAR 52.204-21. Bedömning på denna nivå utförs av organisationerna själva (självbedömning).
- Nivå 2: Förbättrat skydd av CUI. Beroende på risknivå utförs bedömning antingen genom självbedömning eller av tredje parter.
- Nivå 3: Högre skyddskrav för CUI mot hot från avancerade persistenta hot (APT:er). Bedömning på denna nivå genomförs av DIB Cybersecurity Assessment Center.
CMMC och NIST-standarder
CMMC-krav är nära kopplade till standarder från National Institute of Standards and Technology (NIST). Två nyckeldokument är särskilt relevanta:
- NIST SP 800-171: Denna riktlinje innehåller säkerhetskrav för skydd av CUI i icke-federala informationssystem och organisationer. Den bildar grunden för säkerhetskraven i CMMC nivå 2.
- NIST SP 800-172: Denna riktlinje utökar kraven i NIST SP 800-171 för scenarier med förhöjda säkerhetsbehov och är relevant för CMMC nivå 3.
Viktiga förändringar i den slutgiltiga regeln för CMMC
Code of Federal Regulations (CFR) är den officiella kompilationen av alla permanenta amerikanska förordningar. En "Final Rule" är en definitiv, juridiskt bindande förordning som efter en formell process införlivas i CFR och måste följas från den tidpunkten och framåt.
Den 14 oktober 2024 publicerade DoD Final Rule för CMMC-programmet. Regeln träder i kraft den 16 december 2024. En av de viktigaste förändringarna i denna slutgiltiga regel är förenkling av mognadsnivåer till tre, vilket särskilt gynnar små och medelstora företag. CMMC-nivåerna är anpassade till kritikaliteten hos den oklassificerade information som behöver skydd.
Viktiga aspekter för företag
För företag som vill arbeta med DoD är det avgörande att vara CMMC-kompatibla. Utan en giltig CMMC-certifiering kan de inte lämna anbud på DoD-kontrakt, vilket kan resultera i betydande intäktsförluster. Företag måste säkerställa att de uppfyller kraven för FCI och CUI och ha en plan för kontinuerlig övervakning och förbättring av sina säkerhetsåtgärder.
Slutsats
CMMC är ett centralt ramverk för att säkerställa cybersäkerhet över det amerikanska försvarsministeriets leverantörskedja. Företag som redan arbetar med DoD eller planerar att göra det måste uppfylla CMMC-krav för att stärka sin marknadsposition och få tillgång till nya affärsmöjligheter. Den nära anpassningen till NIST-standarder gör det möjligt för berörda organisationer att implementera krav sammanhängande. Med Final Rule förenklas och effektiviseras CMMC ytterligare så att företag av alla storlekar kan uppfylla kraven och förbli aktiva i försvarssektorn.