Lär dig om CMMC, dess koppling till NIST SP 800-171 och vilka krav det ställer på leverantörer i USA.
CMMC - ursprung och utveckling
Federal Acquisition Regulation (FAR) är den primära regelboken för upphandling av varor och tjänster av amerikanska federala myndigheter. Den fastställer policyer och krav för förfrågningar och kontrakt.
Defense Federal Acquisition Regulation Supplement (DFARS) kompletterar FAR specifikt för det amerikanska försvarsdepartementet och inkluderar ytterligare bestämmelser och säkerhetskrav för försvarskontrakt.
CMMC utvecklades för att förbättra säkerheten inom DoD:s leveranskedja. Sedan 2015 kräver DFARS 252.204-7012 skydd av "Covered Defense Information" och rapportering av cyberincidenter. Den första versionen av CMMC publicerades 2020, följt av CMMC 2.0 i november 2021. Denna version kommer att träda i kraft den 16 december 2024 efter dess officiella publicering i Federal Register.
CMMC 2.0 består av tre mognadsnivåer, som var och en kräver olika uppsättningar säkerhetsmetoder och kontroller baserade till stor del på NIST-standarder. Jämfört med den första versionen minskar CMMC 2.0 antalet mognadsnivåer från fem till tre för att förenkla certifieringsprocessen för små och medelstora företag.
CMMC-nivåerna är:
- Nivå 1: Grundläggande skydd av FCI genom grundläggande säkerhetskrav härledda från FAR 52.204-21. Bedömning på denna nivå utförs av organisationerna själva (självbedömning).
- Nivå 2: Förbättrat skydd av CUI. Beroende på risknivån utförs bedömning antingen genom självbedömning eller av tredje part.
- Nivå 3: Högre skyddskrav för CUI mot hot från avancerade persistenta hot (APT:er). Bedömning på denna nivå utförs av DIB Cybersecurity Assessment Center.
CMMC och NIST-standarder
CMMC-krav är nära kopplade till standarderna från National Institute of Standards and Technology (NIST). Två nyckeldokument är särskilt relevanta:
- NIST SP 800-171: Denna publikation innehåller säkerhetskrav för skydd av CUI i icke-federala informationssystem och organisationer. Den utgör grunden för säkerhetskraven i CMMC nivå 2.
- NIST SP 800-172: Denna publikation utökar kraven från NIST SP 800-171 för scenarier som kräver förhöjda säkerhetsåtgärder och är relevant för CMMC nivå 3.
Viktiga ändringar i den slutliga regeln för CMMC
Code of Federal Regulations (CFR) är det officiella sammandraget av alla permanenta amerikanska förordningar. En "slutlig regel" är en definitiv, juridiskt bindande förordning som kodifieras i CFR efter en formell process och måste följas från dess ikraftträdandedatum.
Den 14 oktober 2024 publicerade DoD den slutliga regeln för CMMC-programmet i Federal Register. Regeln kommer att träda i kraft den 16 december 2024. En av de viktigaste förändringarna i denna slutliga regel är förenkling av mognadsnivåerna till tre, vilket särskilt gynnar små och medelstora företag. CMMC-nivåerna är anpassade till kriticiteten hos den oklassificerade information som ska skyddas.
Viktiga aspekter för företag
För företag som vill arbeta med DoD är CMMC-efterlevnad väsentlig. Utan en giltig CMMC-certifiering kan de inte tilldelas DoD-kontrakt, vilket kan resultera i betydande intäktsförluster. Företag måste säkerställa att de uppfyller kraven för FCI och CUI och ha en plan för kontinuerlig övervakning och förbättring av sina säkerhetsåtgärder.
Slutsats
CMMC är ett centralt ramverk för att säkerställa cybersäkerhet inom det amerikanska försvarsdepartementets leveranskedja. Företag som redan arbetar med DoD eller planerar att göra det måste uppfylla CMMC-krav för att stärka sin marknadsposition och förfölja nya affärsmöjligheter. Den nära anpassningen till NIST-standarder gör det möjligt för berörda organisationer att implementera kontroller konsekvent. Med den slutliga regeln har CMMC förenklats och gjorts mer effektiv så att organisationer av alla storlekar kan uppfylla kraven och förbli aktiva inom försvarssektorn.
CMMC är inte en isolerad fråga för många företag; den existerar vid sidan av europeiska krav som CRA eller NIS 2. Om du vill förstå hur dessa krav förhåller sig till varandra och vilka nästa steg som är vettiga kan detta förtydligas i ett icke-bindande samtal.