Das CMMC ist ein Rahmenwerk, das vom US-Verteidigungsministerium (DoD) entwickelt wurde, um den Schutz sensibler, nicht klassifizierter Informationen zu gewährleisten, die vom Ministerium mit seinen Auftragnehmern und Unterauftragnehmern geteilt werden, einschließlich der Federal Contract Information (FCI) und der Controlled Unclassified Information (CUI).

Wenn Sie ein Auftragnehmer oder Unterauftragnehmer sind, der die Cybersicherheitsanforderungen für Programme und Beschaffungssysteme erfüllt, die diese Art von Informationen verarbeiten, ist es unerlässlich, die spezifischen Anforderungen Ihrer Zertifizierungsstufe und das neueste CMMC-Modell zu verstehen, um die Konformität zu erreichen und aufrechtzuerhalten.

In diesem Blog werden wir die CMMC 2.0-Anforderungen aufschlüsseln, untersuchen, was auf jeder Zertifizierungsstufe erforderlich ist, und häufige Fragen zu den CMMC-Anforderungen beantworten.

DFARS-Klauseln

Um die CMMC-Anforderungen zu verstehen, müssen wir zuerst die Geschichte des CMMC-Programms behandeln, beginnend mit den Ergänzungen zur Defense Federal Acquisition Regulation Supplement (DFARS).

Als Reaktion auf die Zunahme von Cyber-Bedrohungen, die auf die Verteidigungsindustriebasis (DIB) abzielen, wurde die DFARS-Klausel 252.204-7012 im Federal Register veröffentlicht und trat 2015 in Kraft. Dies verpflichtete Auftragnehmer und Unterauftragnehmer dazu, die CUI zu schützen, indem sie die Cybersicherheitsanforderungen aus der NIST SP 800-171 umsetzten, was einen wichtigen Schritt zur Stärkung der nationalen Sicherheit der USA darstellte; jedoch wollte das DoD eine erhöhte Sicherheit, dass Auftragnehmer und Unterauftragnehmer tatsächlich die Cybersicherheitsanforderungen des DoD umsetzen und in der Lage sind, nicht klassifizierte Informationen zu schützen.

Daher kündigte das DoD 2019 die Entwicklung des CMMC an, eines Programms, das darauf abzielt, sich von einem auf Selbstauskunft basierenden Sicherheitsmodell zu entfernen und die DIB adäquat gegen sich entwickelnde Cyber-Bedrohungen zu sichern.

Im September 2020 veröffentlichte das DoD die vorläufige DFARS-Regel, den Defense Federal Acquisition Regulation Supplement: Bewertung der Umsetzung der Cybersicherheitsanforderungen durch Auftragnehmer. Entwickelt, um die DFARS-Klausel 252.204-7012 zu stärken, die Konformität mit den Cybersicherheitsvorschriften zu erhöhen und den Schutz nicht klassifizierter Informationen innerhalb der Lieferkette des DoD zu verbessern, führte diese Regel drei neue Klauseln ein: DFARS-Klausel 252.204-7019, DFARS-Klausel 252.204-7020 und DFARS-Klausel 252.204-7021.

Diese vorläufige Regel setzte die ursprüngliche Vision des DoD für das CMMC-Programm (CMMC 1.0) um, indem sie die grundlegenden Merkmale des Rahmens zur Sicherung von FCI und CUI beschrieb (d.h. ein Modell mit Praxis- und Prozessstufen, erforderlichen Bewertungen und Implementierung durch Verträge).

Nachdem sie Hunderte von öffentlichen Kommentaren zum CMMC 1.0-Programm erhalten und eine interne Überprüfung der Implementierung des CMMC durchgeführt hatten, kündigte das Verteidigungsministerium (DoD) im November 2021 das CMMC 2.0 an.

Bevor die Anforderungen des CMMC 2.0 geprüft werden, ist es wichtig, die DFARS-Klauseln 7012, 7019, 7020 und 7021 gut zu verstehen.

Klausel DFARS 252.204-7012

Das CMMC ergänzt die DFARS-Klausel 252.204-7012, die im Bundesregister veröffentlicht und 2015 in Kraft getreten ist. Die wichtigsten Anforderungen dieser Klausel sind:

• NIST 800-171 Konformität: DFARS 7012 verlangt, dass Auftragnehmer und Unterauftragnehmer den CUI durch die Implementierung der Cybersicherheitsanforderungen des NIST SP 800-171 schützen. Sie müssen einen Systemsicherheitsplan (SSP) entwickeln, der die Richtlinien und Verfahren detailliert beschreibt, die ihre Organisation zur Einhaltung des NIST SP 800-171 umgesetzt hat.
• Weitergabe der Anforderungen an Unterauftragnehmer: Verteidigungsauftragnehmer müssen alle Anforderungen an ihre Unterauftragnehmer weitergeben.
• Vorfallmeldung: Als Reaktion auf einen Cybervorfall verlangt DFARS 7012, dass Organisationen das DoD über formelle Meldeverfahren informieren. Dieser Bericht muss jegliche während des Vorfalls wiederhergestellte und isolierte Malware sowie Bilder und Protokolle aller betroffenen Informationssysteme für mindestens 90 Tage ab Einreichung des Cybervorfallsberichts enthalten.

Klausel DFARS 252.204-7019

Die DFARS-Klausel 252.204-7019 verstärkt die DFARS-Klausel 252.204-7012, indem sie von Auftragnehmern verlangt, eine NIST SP 800-171-Selbsteinschätzung gemäß der DoD NIST SP 800-171 Bewertungssystematik durchzuführen. Diese Selbsteinschätzungswerte müssen über das Lieferantenleistungsrisikosystem (SPRS) an das Ministerium gemeldet werden. Die SPRS-Werte müssen eingereicht und aktuell (d. h. weniger als drei Jahre alt) sein, um bei der Vergabe eines Vertrags berücksichtigt zu werden.

Klausel DFARS 252.204-7020

Die DFARS-Klausel 252.204-7020 verstärkt die Weitergabeverpflichtungen der DFARS-Klausel 252.204-7012, indem sie die Auftragnehmer dafür verantwortlich macht, zu bestätigen, dass ihre Unterauftragnehmer eingetragene SPRS-Werte haben, bevor ihnen Verträge erteilt werden.

Sie verlangt auch, dass Auftragnehmer dem DoD Zugang zu ihren Einrichtungen, Systemen und Mitarbeitern gewähren, falls das Ministerium eine höherstufige Bewertung der Cybersicherheitskonformität der Auftragnehmer durchführen muss.

DFARS 252.204-7021

Voraussichtlich am 1. Oktober 2025 in Kraft tretend, verlangt die DFARS-Klausel 252.204-7021, dass Auftragnehmer zum Zeitpunkt der Vertragsvergabe das im DoD-Vertrag geforderte CMMC-Zertifizierungsniveau besitzen und während der gesamten Vertragslaufzeit aufrechterhalten. Sie legt auch fest, dass Auftragnehmer für die Weitergabe der CMMC-Anforderungen an ihre Unterauftragnehmer verantwortlich sind. Das bedeutet, dass alle Unterauftragnehmer das gleiche CMMC-Niveau einhalten müssen.

Da wir nun die DFARS-Klauseln besser verstehen und wie sie die ursprüngliche Vision des DoD für das CMMC 1.0 umgesetzt haben, betrachten wir die neueste Version des Programms.

CMMC 2.0 Anforderungen

Mit der Einführung des CMMC 2.0 hat das DoD den Zertifizierungsprozess vereinfacht und gleichzeitig strenge Sicherheitsstandards beibehalten. Der CMMC 2.0 konzentriert sich auf drei verschiedene Zertifizierungsstufen, die jeweils auf unterschiedliche Arten von Informationen und Risiken abgestimmt sind.

Der Kern der Anforderungen des CMMC 2.0 beruht auf der Implementierung und Dokumentation von Cybersicherheitspraktiken, die mit etablierten und weithin anerkannten Cybersicherheitsstandards übereinstimmen.

Die wichtigsten Änderungen zwischen den Anforderungen des CMMC 1.0 und des CMMC 2.0 sind wie folgt:

• Reduktion von fünf auf drei Ebenen: CMMC 2.0 vereinfacht das ursprüngliche Modell von fünf auf drei Ebenen. Jede Ebene umfasst zunehmend strengere Cybersicherheitspraktiken und Bewertungsanforderungen, abhängig von der Art und Sensibilität der von der Organisation verarbeiteten Informationen.
• Ausgerichtet an den Cybersicherheitsstandards des NIST: Der CMMC 2.0-Rahmen ist stark an den NIST-Standards ausgerichtet, insbesondere am NIST SP 800-171 für Stufe 2 und sowohl am NIST SP 800-171 als auch am NIST SP 800-172 für Stufe 3.
• Vereinfachte Bewertungen: CMMC 2.0 zielt darauf ab, den Bewertungsprozess zu rationalisieren und die damit verbundenen Kosten zu senken, sodass alle Unternehmen der Stufe 1 und ein Teil der Unternehmen der Stufe 2 ihre Konformität durch Selbsteinschätzungen nachweisen können.
• Erhöhte Flexibilität: CMMC 2.0 steigert auch die Flexibilität bei der Umsetzung der Anforderungen. Insbesondere unter bestimmten begrenzten Umständen ermöglicht es Unternehmen, Aktionspläne und Meilensteine (POA&Ms) festzulegen, um die Zertifizierung zu erhalten, und ermöglicht der Regierung, auf die Einbeziehung der CMMC-Anforderungen zu verzichten.

Was sind die Bereiche des CMMC?

Das CMMC 2.0-Modell besteht aus 14 Bereichen, die einen kritischen Aspekt der Cybersicherheitslage einer Organisation darstellen. Jeder Bereich umfasst eine Reihe von Praktiken, die implementiert und aufrechterhalten werden müssen, um FCI und CUI zu schützen. Der CMMC 2.0 organisiert diese Praktiken wie sein Vorgänger in Bereiche, um einen strukturierten Ansatz für den Aufbau und die Bewertung von Cybersicherheitsfähigkeiten zu bieten.

Diese Bereiche und Praktiken schaffen und bilden die Anforderungen des CMMC-Rahmens, denen Organisationen nachkommen müssen.

Die CMMC-Bereiche entsprechen den in NIST SP 800-171 angegebenen Familien und umfassen die folgenden:

• Zugangskontrolle (AC): Kontrolle, wer auf Systeme und Daten zugreifen kann, um sicherzustellen, dass nur autorisierte Benutzer auf vertrauliche Informationen zugreifen können.
• Überprüfung und Verantwortung (AU): Stellt sicher, dass Aktivitäten aufgezeichnet und überwacht werden, was die Erkennung und Untersuchung von Sicherheitsvorfällen ermöglicht.
• Bewusstsein und Schulung (AT): Konzentriert sich auf die Aufklärung der Mitarbeiter über Sicherheitsrichtlinien, Verfahren und bewährte Praktiken, um menschliche Fehler zu reduzieren und die organisatorische Sicherheit zu verbessern.
• Konfigurationsmanagement (CM): Beinhaltet die ordnungsgemäße Konfiguration und Wartung von Systemen und Geräten, um sicherzustellen, dass Sicherheitskonfigurationen konsistent angewendet werden.
• Identifikation und Authentifizierung (IA): Überprüft die Identität von Benutzern und Geräten, bevor ihnen Zugang zu den Systemen gewährt wird, und stellt sicher, dass nur legitime Einheiten mit sensiblen Informationen interagieren können.
• Vorfallreaktion (IR): Entwickelt und implementiert Verfahren zur Identifizierung, Bewältigung und Minderung der Auswirkungen von Cyber-Sicherheitsvorfällen.
• Wartung (MA): Gewährleistet, dass die Systeme regelmäßig und sicher gewartet werden, einschließlich der Anwendung von Patches und Updates.
• Medien-Schutz (MP): Schützt sensible Informationen, die auf verschiedenen Medientypen gespeichert sind, und stellt sicher, dass sie ordnungsgemäß gehandhabt und entsorgt werden.
• Personalsicherheit (PS): Befasst sich mit Sicherheitsmaßnahmen im Zusammenhang mit der Einstellung, Schulung und Verwaltung von Personal, das Zugang zu sensiblen Informationen hat.
• Physische Sicherheit (PE): Kontrolliert den physischen Zugang zu Einrichtungen, Systemen und Geräten und stellt sicher, dass nur autorisiertes Personal Zugang zu sensiblen Bereichen hat.
• Risikobewertung (RA): Identifiziert, bewertet und mindert Risiken für die Informationssysteme und Daten der Organisation.
• Sicherheitsbewertung (CA): Bewertet regelmäßig die Wirksamkeit der Sicherheitskontrollen und -praktiken und stellt eine kontinuierliche Verbesserung sicher.
• System- und Kommunikationsschutz (SC): Schützt die Informationen und Systeme der Organisation während der Übertragung und stellt sicher, dass die Kommunikation sicher ist.
• System- und Informationsintegrität (SI): Stellt sicher, dass Systeme und Daten vor unbefugten Änderungen geschützt sind und dass die Integrität in allen Systemen aufrechterhalten wird.

Diese Bereiche bieten einen umfassenden Ansatz für die Cybersicherheit und decken alle Aspekte ab, vom Zugangskontroll- und Vorfallreaktionsmanagement bis hin zur Risikobewertung und System- und Informationsintegrität. Organisationen, die eine CMMC 2.0-Zertifizierung anstreben, müssen die Praktiken in diesen Bereichen umsetzen und dokumentieren, entsprechend dem angestrebten Zertifizierungsniveau.

Lassen Sie uns diese Ebenen und ihre jeweiligen Anforderungen unten genauer betrachten.

CMMC-Konformitätsanforderungen

Jede Organisation, die FCI oder CUI verarbeitet, muss einen der drei CMMC-Stufen erreichen, wie in ihrem Vertrag festgelegt, um für verteidigungsbezogene Arbeiten berechtigt zu sein.

Jede CMMC-Stufe ist kumulativ. Das bedeutet, dass eine Organisation, die eine CMMC-Stufe 2 oder 3 Zertifizierung anstrebt, ihre Konformität mit den Anforderungen der unteren Stufen nachweisen muss.

Wir werden jede Stufe und die damit verbundenen Anforderungen im Folgenden behandeln, beginnend mit Stufe 1.

Anforderungen für Stufe 1 des CMMC

Die Stufe 1 des CMMC, auch als Grundstufe bekannt, ist für Organisationen konzipiert, die FCI verarbeiten. Sie konzentriert sich auf grundlegende Cyber-Hygienepraktiken, die grundlegend für den Schutz von Informationen sind.

Im Folgenden finden Sie eine Übersicht über die wichtigsten Anforderungen für Stufe 1 des CMMC.

• 17 in der FAR-Klausel 52.204-21 spezifizierte Praktiken: Niveau-1-Auftragnehmer müssen 17 grundlegende Cybersicherheitspraktiken umsetzen, die aus der Bundesakquisitionsverordnung (FAR) 52.204-21 abgeleitet sind.
• Bereiche: Die Anforderungen der Stufe 1 umfassen sechs der 14 Bereiche, einschließlich Zugangskontrolle, Identifikation und Authentifizierung, Mediensicherheit, physischer Schutz, Schutz von Systemen und Kommunikation sowie Integrität von Systemen und Informationen.
• Selbsteinschätzung: Die Zertifizierung der Stufe 1 erfordert eine jährliche Selbsteinschätzung mit einer Konformitätsbestätigung durch einen Unternehmensverantwortlichen.

Anforderungen für die Stufe 2 des CMMC

Die Stufe 2 des CMMC, oder Fortgeschrittenes Niveau, richtet sich an Organisationen, die mit CUI arbeiten. Es wird von ihnen verlangt, ein höheres Niveau der Cyberhygiene zu erreichen als Stufe-1-Auftragnehmer, indem sie 110 Praktiken umsetzen, die mit dem NIST SP 800-171 übereinstimmen.

Im Folgenden finden Sie einen Überblick über die Hauptanforderungen für die Stufe 2 des CMMC.

• 110 Praktiken, die mit NIST 800-171 übereinstimmen: Stufe-2-Auftragnehmer müssen 110 Sicherheitspraktiken umsetzen, die mit dem NIST 800-171 übereinstimmen, um CUI zu schützen.
• Bereiche: Die Anforderungen der Stufe 2 umfassen alle 14 Bereiche.
• Zertifizierte Dritte (C3PAO) Bewertungen mit Ausnahmen: Die meisten Zertifizierungen der Stufe 2 erfordern dreijährliche Bewertungen durch eine Zertifizierte Dritte Partei Bewertungsorganisation (C3PAO). Einige Stufe-2-Auftragnehmer, die mit CUI arbeiten, jedoch an Projekten ohne sensible nationale Sicherheitsinformationen (auch bekannt als

nicht-prioritäre Akquisitionen

) beteiligt sind, können jedoch anstelle dessen dreijährliche Selbsteinschätzungen und jährliche Executive-Bestätigungen durchführen dürfen.

Anforderungen für die Stufe 3 des CMMC

• Die Stufe 3 des CMMC, oder Expertenniveau, ist für Organisationen gedacht, die mit den sensibelsten CUI arbeiten und fortschrittlichen andauernden Bedrohungen (APTs) gegenüberstehen. Dieses Niveau ist das anspruchsvollste im CMMC 2.0-Rahmen und erfordert die Umsetzung von mehr als 110 Sicherheitspraktiken.
• Im Folgenden finden Sie einen Überblick über die Hauptanforderungen für die Stufe 3 des CMMC.
• 110+ Praktiken basierend auf NIST 800-171 und 800-172: Die Stufe 3 baut auf den in den Stufen 1 und 2 geforderten Praktiken auf, indem zusätzliche Kontrollen aus dem NIST SP 800-172 integriert werden, die sich auf den Kampf gegen APTs konzentrieren.
• Bereiche: Die Anforderungen der Stufe 3 umfassen alle 14 Bereiche.
• Proaktive Cybersicherheitsmaßnahmen: Stufe-3-Auftragnehmer müssen eine proaktive und reife Cybersicherheitslage nachweisen, wobei der Schwerpunkt auf kontinuierlicher Überwachung, Erkennung und Reaktion auf raffinierte Cyberbedrohungen liegt.