hero-two-bg

Cybersecurity Maturity Model Certification (CMMC)

CMMC ist ein vom Verteidigungsministerium der Vereinigten Staaten (DoD) eingeführtes Rahmenwerk. Es handelt sich um einen einheitlichen Standard zur Implementierung von Cybersicherheit in der Defense Industrial Base (DIB), die aus über 300.000 Unternehmen in der Lieferkette des DoD besteht.

Fordern Sie eine Demo der Secureframe Custom Frameworks anangle-right

Definition und Zweck

Der Zweck von CMMC besteht darin, den Schutz von Kontrollierten Nicht klassifizierten Informationen (CUI) zu verbessern, die in der Lieferkette der Verteidigungsindustrie vorhanden sind. CMMC dient dazu, die Cybersicherheitslage der Verteidigungsauftragnehmer zu bewerten und zu verbessern, wobei der Schwerpunkt auf dem Schutz sensibler Verteidigungsinformationen liegt, die in den Informationssystemen der Auftragnehmer gespeichert sind.

Gremien

CMMC wurde vom US-Verteidigungsministerium in Zusammenarbeit mit der Industrie und der Wissenschaft entwickelt.

Zuletzt aktualisiert

CMMC 2.0 wurde im November 2021 angekündigt. Die schrittweise Umsetzung von CMMC 2.0 begann im Jahr 2023 und soll bis Oktober 2025 abgeschlossen sein.

Gilt für

CMMC gilt für alle Lieferanten auf allen Ebenen innerhalb der Defense Industrial Base, einschließlich kleiner Unternehmen, Auftragnehmer für kommerzielle Artikel und ausländischer Lieferanten. Jedes Unternehmen, das direkt oder als Unterauftragnehmer mit dem DoD Geschäfte macht, muss die entsprechenden CMMC-Zertifizierungsstufen einhalten.

Kontrollen und Anforderungen

CMMC 2.0 ist gegenüber seinem Vorgänger gestrafft und konzentriert sich auf drei Ebenen der Cybersicherheitsreife:

  • Stufe 1 (Grundlegend): Besteht aus grundlegenden Cyber-Hygiene-Praktiken, die den grundlegenden Sicherheitsanforderungen für Bundesvertragsinformationen (FCI) entsprechen.
  • Stufe 2 (Fortgeschritten): Umfasst eine Reihe von Praktiken, die dem NIST SP 800-171-Standard entsprechen und CUI schützen.
  • Stufe 3 (Experte)): Beinhaltet fortgeschrittene/progressive Praktiken zum Schutz von CUI und zur Reduzierung des Risikos fortgeschrittener persistenter Bedrohungen (APTs).

Jede Stufe hat eine Reihe von Praktiken und Prozessen, wobei höhere Stufen alle Anforderungen der niedrigeren umfassen.

Bitte besuchen Sie die offizielle CMMC 2.0 Website, um Einzelheiten zu den Kontrollen und Anforderungen zu erfahren.

Audittype, Häufigkeit und Dauer

CMMC-Bewertungen werden von CMMC Third-Party Assessment Organizations (C3PAOs) und einzelnen Prüfern durchgeführt, die vom CMMC Accreditation Body (CMMC-AB) akkreditiert sind. Die Zertifizierung ist drei Jahre gültig, danach ist eine erneute Bewertung erforderlich.

Die Dauer der Bewertung hängt von der Größe und Komplexität des Netzwerks und der Informationssysteme der Organisation sowie von der CMMC-Stufe ab, für die sie bewertet werden.

Erreichen Sie Compliance mit Secureframe Custom Frameworks

Demo anfordernangle-right
cta-bg