Das Cybersecurity Maturity Model Certification (CMMC) ist ein Programm, das vom Verteidigungsministerium (DoD) ins Leben gerufen wurde, um sicherzustellen, dass Unternehmen, die mit ihm zusammenarbeiten, ausreichende Cybersicherheitsmaßnahmen ergreifen, um sensible Informationen zu schützen. Denken Sie an all die wichtigen Daten, die Verteidigungsunternehmen verarbeiten – Pläne, Kommunikation, Projektdetails. Das DoD möchte sicherstellen, dass diese Informationen gut gegen Cyberbedrohungen geschützt sind.
Im Jahr 2019 begann das DoD, einen Rahmen zu entwickeln, um sicherzustellen, dass Auftragnehmer und Unterauftragnehmer bestimmte Sicherheitsstandards einhalten. Dieser Rahmen basiert auf den bestehenden Anforderungen von DFARS 252.204-7012 und fügt eine Möglichkeit hinzu, die Einhaltung durch eine Drittzertifizierung zu überprüfen. Der vorgeschlagene Regel ist im Wesentlichen eine Sammlung von Richtlinien und Anforderungen, die eingeführt werden, damit alle auf der gleichen Seite stehen.
Die Entwicklung des CMMC war ein Schritt-für-Schritt-Prozess. Zum Beispiel wurde CMMC 1.0 im Jahr 2020 unter einer vorläufigen Regel eingeführt. Im November 2021 kündigte das DoD CMMC 2.0 an, das die Grundlage für die neueste vorgeschlagene Endregel bildet, die am 26. Dezember 2023 veröffentlicht wurde.
Die vorgeschlagene Endregel des CMMC führt einen Rahmen mit drei Cybersecurity-Praxisebenen ein. Jede Ebene baut auf der vorherigen auf und wird fortschrittlicher:
- Ebene 1: Grundlegend - Grundpraktiken, die jeder durchführen sollte, wie das Aktualisieren von Antivirensoftware und das Verwalten von Passwörtern.
- Ebene 2: Fortgeschritten - Umfassendere Praktiken, die mit NIST SP 800-171 übereinstimmen, wie Verschlüsselung und Reaktionspläne bei Zwischenfällen.
- Ebene 3: Experte - Für die sensibelsten Informationen, mit fortschrittlichen Maßnahmen wie kontinuierlicher Überwachung und proaktiver Bedrohungsjagd.
Warum drei Ebenen? Nicht alle Auftragnehmer verarbeiten die gleichen Arten von Informationen. Einige können nur grundlegende Vertragsdetails behandeln, während andere detaillierte Pläne oder sensible Kommunikation verarbeiten. Die drei Ebenen ermöglichen es Unternehmen, ihre Sicherheitsbemühungen an die Art der Informationen anzupassen, die sie verarbeiten, und geben den DoD-Verantwortlichen und Vertragsinhabern die Sicherheit, dass die Organisationen, mit denen sie zusammenarbeiten, ihre Daten nach einem bestimmten Standard schützen.
Wer muss sich an die vorgeschlagene Endregel des CMMC halten?
Wenn Sie ein Unternehmer oder Unterauftragnehmer sind, der mit dem DoD arbeitet, müssen Sie eine Zertifizierung auf einem dieser Level erhalten. Das spezifische Level, das Sie benötigen, hängt von der Art der Verträge ab, auf die Sie bieten, und von der Sensibilität der beteiligten Informationen.
Für die Level 2 und 3 müssen Sie von einer externen Organisation bewertet werden, um sicherzustellen, dass Sie die erforderlichen Praktiken tatsächlich befolgen. Level 1 kann oft selbst bewertet werden, erfordert jedoch dennoch den Nachweis der Einhaltung der grundlegenden Praktiken.
Wann tritt die vorgeschlagene endgültige Regel des CMMC in Kraft?
Der Implementierungszeitplan von CMMC 2.0 ist noch in Arbeit und kann sich ändern, aber das DoD hat Hinweise auf eine schrittweise Implementierung in den kommenden Jahren gegeben.
Die CMMC-Regeln werden schrittweise eingeführt, sodass die Zertifizierung bis 2028 letztlich für den Gewinn von Bundesverträgen obligatorisch wird. Hier ist der Plan:
- Phase 1: Erfordert CMMC Stufe 1 oder Stufe 2 Selbsteinschätzungen für bestimmte Verträge. Beginnt mit dem Inkrafttreten der DFARS-Regel.
- Phase 2: Erfordert offizielle CMMC Stufe 2 Bewertungen. Beginnt sechs Monate nach Beginn von Phase 1.
- Phase 3: Beinhaltet CMMC Stufe 3 Bewertungen. Beginnt ein Jahr nach Beginn von Phase 2.
- Phase 4: Volle Implementierung für alle betroffenen Verträge. Beginnt ein Jahr nach Beginn von Phase 3.
Das DoD plant, ab dem 1. Oktober 2026 CMMC-Anforderungen für die Stufen 1, 2 und 3 in alle neuen Verträge aufzunehmen. Das heißt, einige Bedingungen müssen erfüllt sein, bevor diese Phasen beginnen können. Insbesondere muss die Regel dem Kongress bis Mitte Oktober 2024 vorgelegt werden, damit sie bis Ende Dezember 2024 finalisiert werden kann.
Warum? Die Kongress-Überprüfungsphase kann sich nicht von einem Kongress zum anderen überschneiden. Da 2024 ein Wahljahr ist, wird Anfang Januar 2025 ein neuer Kongress eingesetzt, was den Prozess möglicherweise verzögern könnte. Wenn die Regel dem Kongress Ende Oktober vorgelegt wird, wird CMMC bis Ende Dezember oder Anfang Januar 2025 final. Wenn die Regel nach Oktober dem Kongress vorgelegt wird, wird CMMC irgendwann im März 2025 final.
FAQs
Was ist die vorgeschlagene Regel des CMMC?
Die vorgeschlagene Regelung des Cybersecurity Maturity Model Certification (CMMC) ist eine Reihe von Richtlinien und Anforderungen, die vom Verteidigungsministerium (DoD) festgelegt wurden, um sicherzustellen, dass Verteidigungsauftragnehmer geeignete Cybersicherheitspraktiken implementieren, um sensible Informationen zu schützen. Sie führt einen stufenweisen Rahmen mit drei Sicherheitsstufen ein, die jeweils zunehmend komplexer und anspruchsvoller werden.
Ist der Regulierungsprozess für das CMMC 2.0 abgeschlossen?
Im September 2024 ist der Regulierungsprozess für das CMMC 2.0 noch nicht abgeschlossen. Das DoD finalisiert immer noch die Vorschriften und Anforderungen. Der Regulierungsprozess umfasst öffentliche Kommentierungsphasen und Überarbeitungen, bevor die endgültigen Regeln offiziell veröffentlicht werden.
Ist das CMMC bereits erforderlich?
Ab September 2024 ist das CMMC 2.0 noch nicht vollständig für alle Verteidigungsverträge erforderlich. Die Implementierung der CMMC-Anforderungen wird schrittweise eingeführt und die spezifischen Fristen und Anforderungen werden in zukünftigen DoD-Verträgen detailliert beschrieben, während der Regulierungsprozess voranschreitet.
Was ist die vorläufige Regelung für das CMMC?
Die vorläufige Regelung für das CMMC ist eine temporäre Reihe von Richtlinien, die vom DoD ausgegeben wurden, um mit der Implementierung der CMMC-Anforderungen zu beginnen, während der endgültige Regulierungsprozess noch im Gange ist. Diese vorläufige Regelung bietet erste Leitlinien und Anforderungen, damit Verteidigungsunternehmer mit der Vorbereitung auf die CMMC-Konformität beginnen können.
Die vorläufige Regelung des CMMC basiert auf dem DFARS und hat einen gestaffelten Ansatz über fünf Jahre für die Implementierung des CMMC etabliert, während dessen die CMMC-Konformität nur in bestimmten Pilotverträgen erforderlich ist, die vom Büro des Unterstaatssekretärs für Verteidigungsakquisitionen und Nachhaltigkeit (OUSD (A&S)) genehmigt wurden.
Der Unterschied zwischen einer vorgeschlagenen und einer vorläufigen Regelung liegt im Zeitpunkt des Inkrafttretens der Änderungen im Vergleich zur öffentlichen Kommentierungsphase vor der Veröffentlichung einer endgültigen Regelung. Eine vorläufige Regelung tritt in Kraft, bevor das DoD auf die Kommentare der Öffentlichkeit reagiert, während eine vorgeschlagene Regelung nach der Reaktion des DoD auf die Kommentare der Öffentlichkeit in Kraft tritt. Das CMMC 1.0 war eine vorläufige Regelung, während das CMMC 2.0 eine vorgeschlagene Regelung ist.
Die vorgeschlagene Regelung des CMMC legt Sicherheitsanforderungen für das FCI und das CUI fest, umfasst eine öffentliche Kommentierungs- und Prüfungsphase, und wird noch finalisiert.
Wurde das CMMC 2.0 veröffentlicht?
Das CMMC 2.0 wurde angekündigt und befindet sich in der Endphase der Fertigstellung, ist aber bis September 2024 noch nicht vollständig umgesetzt. Das DoD arbeitet an den letzten Details und Vorschriften, und die offizielle Veröffentlichung und Umsetzung folgt nach Abschluss des Regulierungsprozesses.
Nutze Vertrauen, um Wachstum zu beschleunigen
Fordern Sie eine Demo an
