Das Verständnis der wichtigsten Schritte zur CMMC 2.0-Konformität kann den Prozess erheblich erleichtern und sicherstellen, dass Ihre Organisation vollständig auf die Anforderungen vorbereitet ist. Erkunden wir die entscheidenden Schritte zur Erreichung der CMMC-Konformität, einschließlich der Bestimmung Ihres Konformitätsniveaus, der Umsetzung notwendiger Sicherheitsmaßnahmen und der Vorbereitung auf Zertifizierungsevaluierungen.

Schritt 1: Bestimmen Sie Ihr CMMC-Konformitätsniveau

Die Anforderungen für die CMMC 2.0-Konformität und -Bewertung unterscheiden sich je nach der Beteiligung Ihrer Organisation am DoD und der Art der Informationen, die Sie verwalten. Der erste Schritt besteht also darin, das geeignete CMMC-Niveau für Ihre Organisation zu identifizieren.

Lassen Sie uns die drei Niveaus der CMMC 2.0-Konformität aufschlüsseln, um Ihnen zu helfen, festzustellen, welches für Sie gilt.

CMMC Level 1: Grundlegend

Das CMMC Level 1 soll sicherstellen, dass Unternehmen grundlegende Cybersicherheitspraktiken implementieren, um Bundesvertragsinformationen (FCI) zu schützen. Es umfasst 17 grundlegende Praktiken, die von FAR 52.204-21 abgeleitet sind und sich auf Bereiche wie Zugangskontrolle, Authentifizierung, Mediensicherheit, physische Sicherheit, Kommunikationsschutz und Systemintegrität konzentrieren. Die Konformität auf diesem Niveau erfordert eine jährliche Selbsteinschätzung und eine Exekutivzertifizierung.

CMMC Level 2: Fortgeschritten

Das CMMC Level 2 richtet sich an Organisationen, die nicht klassifizierte, aber kontrollierte Informationen (CUI) verarbeiten, und erfordert umfassendere Cybersicherheitsmaßnahmen als Level 1. Es ist mit dem Rahmenwerk NIST SP 800-171 Revision 2 abgestimmt und umfasst 110 Sicherheitspraktiken. Kritische nationale Sicherheitsinformationen erfordern alle drei Jahre Bewertungen durch Dritte, während nicht kritische Informationen jährliche Selbsteinschätzungen erfordern.

CMMC Level 3: Experte

Das CMMC Level 3 ist das höchste Niveau und richtet sich an Organisationen, die hochsensible CUI verwalten. Es legt den Fokus auf fortgeschrittene Cybersicherheitspraktiken zum Schutz vor fortgeschrittenen anhaltenden Bedrohungen (APT). Dieses Niveau baut auf den Praktiken der Level 1 und 2 auf und integriert zusätzliche Kontrollen eines Unterabschnitts von NIST SP 800-172 (wie vom DoD spezifiziert). Bevor eine Organisation Level 3 erreicht, muss sie zunächst die Anforderungen der Level 1 und 2 erfüllen. Eine Bewertung durch die Regierung durch das DoD erfolgt alle drei Jahre.

Um Ihr CMMC-Niveau zu bestimmen, berücksichtigen Sie die folgenden Fragen:

• Was sind Ihre vertraglichen Verpflichtungen? Überprüfen Sie Ihre aktuellen oder potenziellen Verträge mit dem DoD, um die spezifischen CMMC-Anforderungen zu identifizieren. Suchen Sie nach Verweisen auf CMMC-Stufen in den Anforderungsunterlagen (RFP) und Verträgen.
• Welche Art von Informationen verwalten Sie? Wenn Ihre Organisation FCI verarbeitet, müssen Sie mindestens die Anforderungen der Stufe 1 erfüllen. Wenn Sie CUI verarbeiten, ist die Einhaltung der Stufe 2 oder höher erforderlich, abhängig von der Sensibilität der Informationen.
• Wie wichtig ist Ihre Rolle in der Lieferkette des DoD? Wenn Ihre Organisation eine nicht kritische Rolle spielt und weniger sensible Informationen verwaltet, könnte die Stufe CMMC 2 (nicht kritisch) ausreichen. Wenn Ihre Rolle für die nationale Sicherheit wesentlich ist oder Sie hochsensible Informationen verwalten, ist wahrscheinlich die Einhaltung der Stufe CMMC 2 (kritisch) oder 3 erforderlich.
• Entsprechen Ihre Anforderungen denen der Hauptauftragnehmer? Wenn Sie ein Subunternehmer sind, setzen Sie sich mit Ihren Hauptauftragnehmern in Verbindung, um die sich aus dem Hauptvertrag ergebenden CMMC-Anforderungen zu verstehen. Die Hauptauftragnehmer sollten Sie anleiten, welche CMMC-Stufe für ihre Subunternehmer erforderlich ist.

Um offizielle Anweisungen und zusätzliche Ressourcen zu den CMMC-Anforderungen und -Stufen zu erhalten, besuchen Sie die Website des CMMC Accreditation Body (CMMC-AB) und die CMMC-Seite des Verteidigungsministeriums.

Schritt 2: Durchführung einer Lückenanalyse im Vergleich zu den CMMC-Anforderungen

Der nächste Schritt besteht darin, eine interne Gap-Analyse durchzuführen, um Ihre aktuellen Cybersicherheitspraktiken mit den Anforderungen Ihrer festgelegten CMMC-Stufe zu vergleichen.

Verwenden Sie die unten bereitgestellten CMMC-Compliance-Checklisten, um Ihre aktuellen Sicherheitsmaßnahmen den anwendbaren CMMC 2.0-Kontrollen zuzuordnen. Dokumentieren Sie, ob jede erforderliche Kontrolle vollständig, teilweise oder nicht implementiert ist. Stellen Sie sicher, dass Ihre Organisation die DFARS-Anforderungen erfüllt. Dies hilft Ihnen, systematisch zu bewerten, wie Ihre aktuellen Praktiken den erforderlichen Standards entsprechen und was Sie tun müssen, um konform zu sein.

Für jede Anforderung, die nicht vollständig umgesetzt ist, identifizieren Sie die spezifischen Lücken in Ihrer aktuellen Sicherheitslage. Dazu könnten fehlende Kontrollen, unzureichende technische Prozesse oder Konfigurationen oder eine unzureichende Dokumentation gehören.

Erstellen Sie anschließend ein Dokument mit einem Aktions- und Meilensteinplan (POA&M), das die Schritte beschreibt, die Ihre Organisation unternehmen wird, um jede identifizierte Lücke zu priorisieren und zu beheben. Fügen Sie Fristen, verantwortliche Parteien und spezifische Maßnahmen hinzu, die erforderlich sind, um die Konformität zu erreichen.

Sobald Sie die Lücken geschlossen haben, führen Sie eine abschließende interne Überprüfung durch, um sicherzustellen, dass alle CMMC 2.0-Anforderungen vollständig erfüllt sind. Bereiten Sie die erforderliche Dokumentation und Beweise vor, um Ihre Konformität bei einer formalen Bewertung durch eine C3PAO zu unterstützen.

Schritt 3: Durchführung der erforderlichen CMMC-Bewertung

Sobald Sie sicher sind, dass Ihre Sicherheitsprotokolle den CMMC-Anforderungen entsprechen, können Sie mit der Konformitätsbewertung fortfahren. Der CMMC-Bewertungsprozess variiert je nach erforderlichem Konformitätsniveau. Die Bewertungen für CMMC-Stufe 1 und Stufe 2 ohne kritische Bedeutung sind weniger rigoros als diejenigen für Stufe 2 mit kritischer Bedeutung und Stufe 3.

Hier ein Überblick über den Bewertungsprozess für jede CMMC-Stufe:

CMMC-Stufe 1 und Stufe 2 ohne kritische Bedeutung: Jährliche Selbsteinschätzung

Organisationen auf diesen Stufen müssen jährlich eine Selbsteinschätzung durchführen, um die Einhaltung der erforderlichen Cybersicherheitspraktiken zu bestätigen. Ein leitender Angestellter muss die Ergebnisse ebenfalls formell genehmigen und bescheinigen, dass die Organisation den notwendigen Anforderungen entspricht.

Zur Vorbereitung sammeln Sie die erforderliche Dokumentation und Nachweise der Konformität und wählen Sie ein Selbsteinschätzungsteam aus, das mit den Anforderungen der CMMC-Stufe 1 und der Sicherheitslage Ihrer Organisation gut vertraut ist. Der Direktor für Informationssysteme des Verteidigungsministeriums stellt Werkzeuge und Anleitungen zur Verfügung, um den Anwendungsbereich zu definieren und die Selbsteinschätzung durchzuführen. Dokumentieren Sie, ob jede Anforderung vollständig, teilweise oder gar nicht umgesetzt ist. Kritische Anforderungen sollten sofort behoben werden, während andere Lücken in Ihrem POA&M-Dokument angesprochen werden sollten, das spezifische Schritte, Verantwortliche und Zeitpläne zur Behebung detailliert.

Ein weiteres wesentliches Dokument ist der System-Sicherheitsplan (SSP), der als detaillierter Plan zum Schutz der digitalen Assets Ihrer Organisation dient. Der SSP sollte alle spezifischen Sicherheitskontrollen und -praktiken beschreiben, die zum Schutz Ihrer Informationen und Ihrer IT-Infrastruktur implementiert sind.

Nach Abschluss der Selbsteinschätzung holen Sie die Genehmigung der Führungskraft ein, um formell zu bestätigen, dass die Organisation die Anforderungen der CMMC-Stufe 1 erfüllt.

Für Organisationen, die CUI der Stufe 2 ohne kritische Bedeutung verarbeiten, ist ebenfalls eine jährliche Selbsteinschätzung gegen die relevanten NIST SP 800-171 Kontrollen erforderlich. Wie bei Stufe 1 muss ein leitender Angestellter die Ergebnisse mit einem Bestätigungsschreiben genehmigen.

CMMC-Stufe 2 mit kritischer Bedeutung: Beauftragung einer C3PAO (Certified Third-Party Assessment Organization)

Organisationen, die kritische CUI verarbeiten, müssen sich einer dreijährigen Drittbewertung durch eine C3PAO unterziehen. Sobald sie bereit sind, können die Organisationen eine C3PAO aus der Liste der autorisierten Bewertungsorganisationen, die von der CMMC-AB bereitgestellt wird, auswählen.

Die C3PAO wird eine gründliche Überprüfung der Umsetzung der relevanten NIST 800-171-Kontrollen durch Ihre Organisation durchführen. Sie werden wichtige Dokumente überprüfen, einschließlich:

• Sicherheitssystemplan (SSP): Beschreibt die Umsetzung der erforderlichen Cybersicherheitspraktiken und -prozesse durch die Organisation und deckt Bereiche wie Systemgrenzen, Risikobewertung, Vorfallsreaktion und kontinuierliche Überwachung ab.
• Aktionsplan und Meilensteine (POA&M): Beschreibt die Schritte, die die Organisation unternehmen wird, um festgestellte Mängel während einer Bewertung zu beheben.
• Bewertung des Risikomanagementsystems der Leistung von Lieferanten (SPRS): Bewertet die Cybersicherheitspraktiken und das Risikomanagement eines Auftragnehmers, um die Einhaltung der Anforderungen des DoD sicherzustellen.

Andere wichtige Dokumente können einen Risikominderungsplan, einen Vorfallsreaktionsplan, einen Plan zur kontinuierlichen Überwachung, eine Richtlinie zur Zugriffskontrolle und einen Konfigurationsmanagementplan umfassen. Die Prüfer werden auch Interviews mit den Beteiligten führen, die Cybersicherheitspraktiken beobachten und technische Tests durchführen, um die Wirksamkeit der implementierten Kontrollen zu validieren.

Nach der Überprüfung kann das C3PAO vorläufiges Feedback zu identifizierten Problemen geben. Wenn die Organisation konform ist, erhält sie die CMMC-Zertifizierung für das bewertete Niveau, die drei Jahre gültig ist. Organisationen müssen während dieses Zeitraums ihre Cybersicherheitspraktiken aufrechterhalten und verbessern, indem sie sich an ihren POA&M halten.

CMMC Stufe 3: Bewertung durch die Regierung

Organisationen, die eine Zertifizierung der Stufe 3 anstreben, müssen mit dem DoD zusammenarbeiten, um eine von der Regierung geleitete Bewertung zu planen. Regierungsprüfer können ein Vorbewertungsmeeting abhalten, um den Umfang, den Zeitplan und den Bewertungsprozess zu besprechen. Sie werden die wichtigsten Dokumente wie den SSP und den POA&M überprüfen und vor Ort Bewertungen durchführen, einschließlich Interviews, Beobachtungen von Cybersicherheitspraktiken und technischen Tests.

Die Regierungsprüfer können einen vorläufigen Bericht vorlegen, in dem die Lücken oder Verbesserungsbereiche hervorgehoben werden. Der endgültige Bericht wird dem CMMC-AB zur Überprüfung vorgelegt und, wenn konform, erhält die Organisation eine drei Jahre gültige Zertifizierung. Um die Konformität aufrechtzuerhalten, müssen Organisationen der Stufe 3 ihre Systeme und Kontrollen kontinuierlich überwachen, ihren POA&M auf dem neuesten Stand halten und sicherstellen, dass die Richtlinien alle Änderungen in der Sicherheitslage oder den organisatorischen Praktiken widerspiegeln.

Schritt 4: CMMC-Zertifizierung aufrechterhalten

Nach Erhalt der Zertifizierung gibt es kontinuierliche Aktivitäten, die Sie verwalten müssen, um eine aktive Zertifizierung aufrechtzuerhalten. Diese umfassen:

• Kontinuierliche Überwachung Ihrer Kontrollen, um deren betriebliche Effektivität zu gewährleisten und Verbesserungspotenziale zu identifizieren.
• Aktualisieren Sie Ihren SSP, um alle Änderungen Ihrer Sicherheitslage, Ihrer IT-Infrastruktur oder Ihrer Sicherheitskontrollen zu reflektieren. Dieses Dokument muss ein lebendes Protokoll sein, das sich mit der Umgebung Ihrer Organisation entwickelt.
• Verwalten Sie den POA&M aktiv, indem Sie alle Lücken oder Mängel in den Sicherheitskontrollen beheben. Stellen Sie sicher, dass die Abhilfemaßnahmen verfolgt, abgeschlossen und innerhalb der im POA&M festgelegten Fristen dokumentiert werden.
• Regelmäßig Ihren Incident-Response-Plan testen und aktualisieren. Im Falle eines Cybersicherheitsvorfalls müssen Sie den Vorfall auch gemäß den DoD- und CMMC-Richtlinien melden.
• Regelmäßige Selbstbewertungen durchführen, um eine kontinuierliche Konformität mit dem relevanten CMMC-Level sicherzustellen. Diese Selbstbewertungen helfen dabei, Probleme vor dem nächsten formellen Audit zu identifizieren und zu beheben.
• Ihre Cybersicherheitsrichtlinien und -verfahren regelmäßig überprüfen und aktualisieren, um Änderungen der regulatorischen Anforderungen, organisatorische Veränderungen oder neue Bedrohungen zu berücksichtigen.
• Schulungen zur Sicherheitsbewusstsein und Insider-Bedrohung mindestens einmal jährlich für das gesamte Personal abschließen.
• Alle Änderungen in der Organisationsstruktur, Technologie oder den Prozessen, die Ihre Cybersicherheitslage beeinflussen können, dokumentieren sowie Auditlogs führen, um sicherzustellen, dass sie ordnungsgemäß verwaltet und bei Audits zur Überprüfung verfügbar sind.

Wenn sich die Art der von Ihnen verwalteten CUI oder FCI ändert, müssen Sie auch das erforderliche Konformitätslevel neu bewerten, eine Lückenanalyse durchführen und alle zusätzlichen Kontrollen implementieren, die erforderlich sind, um die neuen Anforderungen zu erfüllen.

Secureframe kann Ihren Kontrollstatus kontinuierlich überwachen, automatisch Beweise für Ihr Audit sammeln, Sicherheitsschulungen und Richtlinienüberprüfungen bereitstellen und das Dokumentenmanagement vereinfachen.

So beschleunigen Sie den CMMC-Zertifizierungsprozess mit Automatisierung

Automatisierung verändert die Landschaft von Sicherheit, Datenschutz und Compliance, insbesondere in den Regierungs- und öffentlichen Sektoren. Mit der automatisierten Compliance-Plattform von Secureframe können Regierungsauftragnehmer und zugelassene Softwareanbieter effektiv durch die komplexen Anforderungen der Rahmenwerke navigieren, die notwendigen Kontrollen umsetzen und überwachen und eine kontinuierliche Konformität mit zahlreichen Rahmenwerken und Compliance-Standards aufrechterhalten.

• Expertise in föderaler Compliance: Unser Team von Compliance-Experten, zu dem ehemalige Prüfer und Berater für FISMA, FedRAMP und CMMC gehören, steht Ihnen zur Verfügung, um Sie bei Fragen im Zusammenhang mit dem CMMC und Ihrer Vorbereitung zu unterstützen. Unsere Plattform wird kontinuierlich aktualisiert, um die neuesten föderalen Compliance-Anforderungen zu berücksichtigen, und vereinfacht das Management von regulatorischen Änderungen.
• Nahtlose Integrationen für verbesserte Automatisierung: Secureframe integriert sich nahtlos in Ihre bestehende Technologiestack, einschließlich AWS GovCloud, um automatisch Beweise zu sammeln, Ihre Sicherheits- und Konformitätslage kontinuierlich zu überwachen und die Wartung Ihres POA&M zu vereinfachen.
• Vereinfachte Multi-Framework-Compliance: Unsere intelligente Cross-Mapping-Funktion ermöglicht eine schnelle Konformität mit mehreren föderalen Standards wie NIST 800-53, NIST 800-171, NIST CSF und CJIS sowie kommerziellen Rahmenwerken SOC 2, ISO 27001 und vielen anderen. Durch die Nutzung der bereits für das CMMC implementierten Kontrollen beschleunigt Secureframe den Konformitätsprozess und verringert den redundanten Aufwand über mehr als 40 Rahmenwerke hinweg.
• Vereinfachte Verwaltung von Dokumenten und Richtlinien: Unsere Plattform bietet Richtlinien, Verfahren und SSPs, die von ehemaligen Bundesprüfern modelliert wurden und vollständig an Ihre Bedürfnisse anpassbar sind. Mit unseren Fähigkeiten zur Verwaltung von Unternehmensrichtlinien können Sie POA&M-Dokumente, Auswirkungenseinschätzungen und Vorbereitungsberichte problemlos verwalten.

Planen Sie eine Demo, um mehr darüber zu erfahren, wie Secureframe Organisationen und Regierungsunternehmer dabei hilft, die CMMC-Konformität zu erreichen und aufrechtzuerhalten.