Die Anforderungen an die Einhaltung und Bewertung von CMMC 2.0 variieren je nach der Beziehung Ihrer Organisation zum DoD und der Art der von Ihnen verarbeiteten Informationen. Einer der ersten Schritte im CMMC-Konformitätsprozess besteht daher darin, Ihr CMMC-Niveau zu bestimmen. Nachfolgend geben wir Ihnen einen Überblick über jedes Niveau und Tipps zur Bestimmung des für Sie passenden Niveaus.

CMMC-Zertifizierungsstufen

Das CMMC 2.0-Modell vereinfacht den ursprünglichen Rahmen in drei Zertifizierungsstufen. Diese drei Stufen bieten einen klaren und strukturierten Ansatz zur Cybersicherheit und stellen sicher, dass die erforderlichen Praktiken mit der Art und Sensibilität der geschützten Informationen übereinstimmen.

Hier ist ein Überblick über die drei CMMC 2.0-Zertifizierungsstufen:

CMMC-Zertifizierung Stufe 1: Grundlegend

Stufe 1 konzentriert sich auf die Umsetzung grundlegender Cybersicherheitspraktiken zum Schutz der FCI. Dazu gehören grundlegende Sicherheitspraktiken wie Zugangsschutz, Authentifizierung, Mediensicherung, physische Sicherheit, Kommunikationsschutz und Systemintegrität.

Hier ist ein Überblick über diese Stufe:

Ziel: Grundlegende Cyberhygiene
Praktiken: 17 Cybersicherheitspraktiken basierend auf FAR 52.204-21 (Federal Acquisition Regulation)
Bewertungsanforderungen: Jährliche Selbsteinschätzungen mit jährlichen Bestätigungen durch einen leitenden Unternehmensvertreter.
Wer benötigt dies? Diese Stufe ist für Organisationen gedacht, die Bundesvertragsinformationen (FCI) verarbeiten, d.h. Informationen, die vom oder für die Regierung im Rahmen eines Vertrags bereitgestellt oder erstellt wurden, jedoch nicht zur öffentlichen Weitergabe bestimmt sind.

CMMC-Zertifizierung Stufe 2: Fortgeschritten

Stufe 2 von CMMC 2.0 zielt darauf ab, sicherzustellen, dass Organisationen gute Cybersicherheitspraktiken zur Abwehr interner und externer Bedrohungen umsetzen, um das CUI zu schützen.

Hier ist ein Überblick über diese Stufe:

Ziel: Fortgeschrittene Cyberhygiene
Praktiken: 110 Praktiken, die mit dem Rahmen NIST SP 800-171 Rev. 2 übereinstimmen, der den Schutz von unklassifizierten kontrollierten Informationen (CUI) abdeckt.
Bewertungsanforderungen: Dreijährige Bewertungen durch eine C3PAO für sicherheitskritische Informationen und jährliche Selbsteinschätzungen für nicht kritische Informationen, die über das Supplier Performance Risk System (SPRS) eingereicht werden.
Wer braucht das? Organisationen, die kontrollierte, nicht klassifizierte Informationen (CUI) verarbeiten und an Verträgen beteiligt sind, die kritische Informationen für die nationale Sicherheit enthalten.

CMMC Level 3 Zertifizierung: Experte

Das CMMC 2.0 Level 3 ist das höchste Niveau, das für Unternehmen entwickelt wurde, die die strengsten Cybersicherheitsmaßnahmen umsetzen müssen, um sich vor fortschrittlichen anhaltenden Bedrohungen (APT) zu schützen. Es umfasst umfassende Praktiken und Prozesse zum Schutz kritischer, kontrollierter, nicht klassifizierter Informationen (CUI) vor hochentwickelten Cyberbedrohungen.

Hier ist ein Überblick über dieses Level:

Ziel: Experten-Cyberhygiene
Praktiken: Über 110 Praktiken, die mit NIST 800-171 übereinstimmen, sowie zusätzliche Anforderungen aus einer Untermenge der NIST SP 800-172 Kontrollen
Bewertungsanforderungen: Alle drei Jahre sind Bewertungen durch die Regierung erforderlich, die von Regierungsbeamten durchgeführt werden
Wer braucht das? Dieses Level ist für Organisationen gedacht, die die sensibelsten Regierungsinformationen verarbeiten und Teil der höchsten Prioritätsverträge des DoD sind.

Welche CMMC-Stufe benötige ich?

Befolgen Sie die untenstehenden Schritte, um zu ermitteln, welches CMMC-Zertifizierungslevel für Sie kurz- und langfristig geeignet ist.

So bestimmen Sie Ihr CMMC-Zertifizierungslevel

1. Überprüfen Sie die Anforderungen Ihres Vertrags

Überprüfen Sie die DoD-Verträge, auf die Sie bieten oder an denen Sie derzeit teilnehmen. Jede Ausschreibung, Anfrage nach Informationen (RFI) oder Vertrag muss das erforderliche CMMC-Level angeben.

Wenn das CMMC-Level nicht ausdrücklich in Ihrem Vertrag angegeben ist, konsultieren Sie Ihren Vertragsagenten oder Ihr Rechtsteam, um die Sicherheitsanforderungen basierend auf den verarbeiteten Informationen zu klären.

Wenn Sie ein Unterauftragnehmer sind, kommunizieren Sie mit Ihren Hauptauftragnehmern, um die geltenden CMMC-Anforderungen aus dem Hauptvertrag zu verstehen. Hauptauftragnehmer sollten in der Lage sein, Ratschläge zum erforderlichen CMMC-Level für ihre Unterauftragnehmer zu geben.

2. Identifizieren Sie die Art der Informationen, die Sie verarbeiten

Die Art der Informationen, die Sie verarbeiten, kann dabei helfen, das erforderliche Zertifizierungslevel zu bestimmen. Hier ist eine allgemeine Regel:

Wenn Sie FCI verarbeiten: Die meisten Organisationen, die nur FCI verarbeiten, benötigen die Zertifizierung der Stufe 1. Diese Stufe umfasst grundlegende Cybersicherheitspraktiken zum Schutz von Regierungsinformationen.
Wenn Sie CUI verarbeiten: Wenn Ihre Organisation CUI verarbeitet, benötigen Sie wahrscheinlich ein höheres Zertifizierungslevel, in der Regel Level 2 oder höher. Diese Levels umfassen strengere Sicherheitskontrollen zum Schutz sensibler Informationen. Wenn Sie jedoch ein Unterauftragnehmer sind und Ihr Hauptauftragnehmer CUI verarbeitet, Ihnen aber nur einige Informationen weitergibt, könnte ein niedrigeres CMMC-Level für Sie als Unterauftragnehmer gelten.

3. Bewerten Sie Ihre Rolle in der DoD-Lieferkette

Betrachten Sie als Nächstes Ihre Rolle in der DoD-Lieferkette.

Wenn Sie ein Hauptauftragnehmer sind, der direkt mit dem DoD zusammenarbeitet, können Sie verpflichtet sein, ein höheres CMMC-Level zu erreichen, abhängig von der Art der Verträge, die Sie im Vergleich zu einem Unterauftragnehmer verwalten.

Die Kritikalität der Daten, die Sie für die nationale Sicherheit verarbeiten, kann auch Ihr Zertifizierungslevel oder Ihre Bewertungsvoraussetzungen beeinflussen.

Wie oben erwähnt, wenn Sie CUI bearbeiten, sind Sie wahrscheinlich auf Stufe 2 oder 3. Die genaue Stufe und/oder die Bewertungsanforderungen variieren je nach Sensibilität der Daten. Zum Beispiel, wenn Ihre Organisation kritische CUI für die nationale Sicherheit verwaltet, sind Sie auf Stufe 2 und müssen alle drei Jahre eine umfassende Bewertung durch externe Prüfer (C3PAOs) durchlaufen. Wenn Ihre Organisation CUI verwaltet, die nicht kritisch für die nationale Sicherheit sind, sind Sie ebenfalls auf Stufe 2, können jedoch anstelle einer externen Bewertung eine jährliche Selbsteinschätzung durchführen.

Stufe 3 ist für die prioritärsten und kritischsten Verteidigungsprogramme reserviert. Wenn Ihre Organisation eine entscheidende Rolle in der nationalen Sicherheit spielt und hochsensible Informationen bearbeitet, könnten Sie zu dieser Stufe gehören und müssen alle drei Jahre von der Regierung geleitete Bewertungen durchlaufen.

4. Berücksichtigen Sie Ihre langfristigen Ziele

Bei der Entscheidung über eine CMMC-Stufe sollten Sie über Ihre unmittelbaren Bedürfnisse hinausdenken. Wenn Ihre Organisation plant zu wachsen, sensiblere Projekte zu übernehmen oder ihre Verträge mit dem DoD auszuweiten, könnte es strategisch sein, eine höhere CMMC-Stufe anzustreben, um auf die Zukunft Ihres Unternehmens vorbereitet zu sein.

Wenn Ihre aktuellen Verträge beispielsweise nur Stufe 1 CMMC erfordern, könnte der Erwerb der Zertifizierung für die nicht-kritische Stufe 2 Ihre Organisation in die Lage versetzen, in Zukunft komplexere und lukrativere Verträge, die CUI beinhalten, zu verwalten.

5. Konsultieren Sie einen CMMC-Experten

Die oben genannten Schritte können schwierig sein, insbesondere wenn Ihre Organisation neu im CMMC ist oder eine Mischung aus FCI und CUI bearbeitet.

Wenn Sie sich über die erforderliche Stufe nicht sicher sind, kann es unschätzbar wertvoll sein, einen CMMC-Berater oder Cybersicherheitsexperten zu konsultieren. Diese Experten können Ihre Betriebsabläufe bewerten, die Art der von Ihnen bearbeiteten Informationen und die derzeitigen Sicherheitsmaßnahmen und Ihnen Ratschläge zur geeigneten Zertifizierungsstufe geben.

Compliance Manager von Secureframe haben beispielsweise Erfahrung in der CMMC-, FedRAMP- und FISMA-Bewertung und -Vorbereitung und können Ihnen helfen, Ihre CMMC-Compliance-Anforderungen und Vorbereitungsbemühungen zu navigieren.

Sie können sich auch auf die Website des CMMC Accreditation Body (CMMC-AB) und die CMMC-Seite des Verteidigungsministeriums beziehen, um offizielle Hinweise und Ressourcen zu den Anforderungen und Stufen des CMMC zu erhalten.

FAQ

Wer legt das CMMC-Level fest?

Die für Ihre Organisation erforderliche CMMC-Stufe wird normalerweise vom Verteidigungsministerium (DoD) basierend auf der Art der von Ihnen bearbeiteten Informationen festgelegt. Auftragnehmer und Unterauftragnehmer, die mit dem DoD zusammenarbeiten, müssen sich an eine spezifische CMMC-Stufe halten, die sich nach der Sensibilität der Informationen, auf die sie zugreifen oder die sie verwalten – wie z. B. Bundesvertragsinformationen (FCI) oder kontrollierte, nicht klassifizierte Informationen (CUI) – richtet. Der beauftragende Offizier oder das DoD wird die erforderliche CMMC-Stufe normalerweise im Vertrag oder in der Angebotsanfrage (RFI) angeben.

Was ist der Unterschied zwischen CMMC-Level 1 und Level 2?

Hier ist ein Überblick über die Hauptunterschiede zwischen den CMMC-Stufen 1 und 2:

CMMC-Level 1 konzentriert sich auf die grundlegende Cybersicherheitshygiene und den Schutz von Federal Contract Information (FCI). Es umfasst 17 grundlegende Sicherheitspraktiken, die sich aus FAR 52.204-21 ableiten, wie die Verwendung von Antivirensoftware und die Zugriffsbeschränkung auf Informationen.
CMMC-Level 2 ist eine strengere Anforderung, die zum Schutz von Controlled Unclassified Information (CUI) entwickelt wurde. Es integriert 110 Sicherheitskontrollen, die mit den im NIST SP 800-171 beschriebenen Praktiken übereinstimmen. Das CMMC-Level 2 ist für Organisationen gedacht, die sensiblere Daten des DoD verarbeiten, und erfordert ein höheres Maß an Cybersicherheitsreife.

Welches CMMC 2.0-Level benötige ich?

Das benötigte CMMC 2.0-Level hängt von der Art und Sensibilität der Informationen ab, die Ihre Organisation verarbeitet:

CMMC-Level 1 ist ausreichend, wenn Sie nur Federal Contract Information (FCI) verarbeiten.
CMMC-Level 2 ist erforderlich, wenn Ihre Organisation mit Controlled Unclassified Information (CUI) arbeitet und an Verträgen beteiligt ist, die kritische Informationen zur nationalen Sicherheit enthalten.
CMMC-Level 3 (wird später finalisiert) wird für Organisationen erforderlich sein, die die sensibelsten Regierungsinformationen verarbeiten und Teil der am höchsten priorisierten Verträge des DoD sind.

Sie sollten die Anforderungen Ihres Vertrags prüfen oder Ihren Vertragsbeauftragten konsultieren, um das genau benötigte Level zu bestimmen.

Produkt

Risikomanagement

Sicherheitsbewertungen von Anbietern

Unterstützte Frameworks

Lösungen

Top-Frameworks

Partnertypen

Partnerprogramm

Ressourcen für Sicherheit und Compliance

Framework-Ressourcen

Kundenressourcen

Unternehmen

Wie Sie Ihr CMMC-Zertifizierungsniveau bestimmen

CMMC-Zertifizierungsstufen

CMMC-Zertifizierung Stufe 1: Grundlegend

CMMC-Zertifizierung Stufe 2: Fortgeschritten

CMMC Level 3 Zertifizierung: Experte

Welche CMMC-Stufe benötige ich?

1. Überprüfen Sie die Anforderungen Ihres Vertrags

2. Identifizieren Sie die Art der Informationen, die Sie verarbeiten

3. Bewerten Sie Ihre Rolle in der DoD-Lieferkette

4. Berücksichtigen Sie Ihre langfristigen Ziele

5. Konsultieren Sie einen CMMC-Experten

FAQ

Überblick über das CMMC

Der vorgeschlagene Endregel des CMMC: Was es ist und wann es in Kraft tritt

Warum ist die CMMC wichtig? Vorteile der CMMC-Zertifizierung

CMMC 2.0-Kontrollen und deren Implementierung in Ihrem Unternehmen

Vergleich des CMMC mit anderen Bundesrahmen

CMMC vs NIST 800-171: Ersetzt CMMC 2.0 NIST?

CMMC 2.0 vs. FedRAMP: Hauptunterschiede und wie man sich entscheidet

Vergleich von CMMC 2.0 und NIST 800-53 : Welche Rahmenbedingungen sind für Ihre Organisation geeignet?

Navigieren durch die Bundes-Compliance: Benötigen Sie CMMC, FedRAMP oder eines der NIST-Rahmenwerke?

CMMC Anforderungen

Was sind die CMMC-Anforderungen?

Wie Sie Ihr CMMC-Zertifizierungsniveau bestimmen

Welche Art von CMMC-Bewertung benötigen Sie?

Wie man Regierungscloud-Dienste zur Beschleunigung der CMMC-Konformität nutzt

Welche CMMC-Dokumente sind für die Konformität erforderlich?

CMMC-Zertifizierungsprozess

Wie man die CMMC-Zertifizierung erhält: Den gesamten Compliance-Prozess meistern

Wie viel kostet die CMMC 2.0 Zertifizierung?

Wie lange dauert es, die CMMC 2.0-Zertifizierung zu erhalten?

Zertifizierte Drittprüfungsorganisationen (C3PAO): Verstehen Sie ihre Rolle und wie Sie eine für Ihre CMMC-Zertifizierung auswählen

Automatisierung der CMMC-Konformität

Manuell vs. Automatisiert: Rationalisieren Sie die CMMC-Compliance

Kosten- und Zeitersparnisse durch die Automatisierung der CMMC-Konformität

Warum die Automatisierung der CMMC-Konformität bessere Sicherheitsaussichten eröffnet

Aufrechterhaltung der CMMC-Konformität

CMMC-Werkzeuge und -Ressourcen

CMMC-Konformitätschecklisten

CMMC-Dokumentationsvorlagen

CMMC-Schulung

Liste der zertifizierten CMMC-Drittbewertungen (C3PAOs)