Lær om CMMC, dens forbindelse til NIST SP 800-171, og hvilke krav den stiller til leverandører i USA.
CMMC - oprindelse og udvikling
Federal Acquisition Regulation (FAR) er den primære regelbog for indkøb af varer og tjenester af amerikanske føderale agenturer. Den fastsætter politikker og krav til udbud og kontrakter.
Defense Federal Acquisition Regulation Supplement (DFARS) supplerer FAR specifikt for det amerikanske forsvarsministerium og omfatter yderligere bestemmelser og sikkerhedskrav for forsvarskontrakter.
CMMC blev udviklet for at forbedre sikkerhed inden for DoD-forsyningskæden. Siden 2015 kræver DFARS 252.204-7012 beskyttelse af "Covered Defense Information" og rapportering af cyberhændelser. Den første version af CMMC blev udgivet i 2020, efterfulgt af CMMC 2.0 i november 2021. Denne version træder i kraft den 16. december 2024 efter dens officielle offentliggørelse i Federal Register.
CMMC 2.0 består af tre modningsniveauer, der hver kræver et forskelligt sæt sikkerhedspraksisser og kontrolforanstaltninger baseret hovedsageligt på NIST-standarder. Sammenlignet med den første version reducerer CMMC 2.0 antallet af modningsniveauer fra fem til tre for at forenkle certificeringsprocessen for små og mellemstore virksomheder.
CMMC-niveauerne er:
- Niveau 1: Grundlæggende beskyttelse af FCI gennem grundlæggende sikkerhedskrav afledt af FAR 52.204-21. Vurdering på dette niveau udføres af organisationerne selv (selvvurdering).
- Niveau 2: Forbedret beskyttelse af CUI. Afhængigt af risikoniveauet udføres vurdering enten ved selvvurdering eller af tredjepart.
- Niveau 3: Højere beskyttelseskrav for CUI mod trusler fra avancerede vedvarende trusler (APT'er). Vurdering på dette niveau udføres af DIB Cybersecurity Assessment Center.
CMMC og NIST-standarder
CMMC-krav er tæt forbundet med standarderne fra National Institute of Standards and Technology (NIST). To nøgledokumenter er særligt relevante:
- NIST SP 800-171: Denne publikation indeholder sikkerhedskrav for beskyttelse af CUI i ikke-føderale informationssystemer og organisationer. Den danner grundlag for sikkerhedskravene i CMMC Niveau 2.
- NIST SP 800-172: Denne publikation udvider kravene i NIST SP 800-171 for scenarier, der kræver forhøjede sikkerhedsforanstaltninger og er relevant for CMMC Niveau 3.
Vigtige ændringer i den endelige regel for CMMC
Code of Federal Regulations (CFR) er det officielle kompendium over alle permanente amerikanske reguleringer. En "endelig regel" er en definitiv, juridisk bindende regulering, der kodificeres i CFR efter en formel proces og skal følges fra dens ikrafttrædelsesdato.
Den 14. oktober 2024 offentliggjorde DoD den endelige regel for CMMC-programmet i Federal Register. Reglen træder i kraft den 16. december 2024. En af de vigtigste ændringer i denne endelige regel er forenklingen af modningsniveauer til tre, hvilket særligt gavner små og mellemstore virksomheder. CMMC-niveauerne er tilpasset kritikaliteten af den uklassificerede information, der skal beskyttes.
Vigtige aspekter for virksomheder
For virksomheder, der ønsker at arbejde med DoD, er CMMC-compliance essentiel. Uden en gyldig CMMC-certificering kan de ikke tildeles DoD-kontrakter, hvilket kan resultere i betydelige indtægtstab. Virksomheder skal sikre, at de opfylder kravene for FCI og CUI og har en plan for kontinuerlig overvågning og forbedring af deres sikkerhedsforanstaltninger.
Konklusion
CMMC er et centralt framework for at sikre cybersikkerhed inden for det amerikanske forsvarsministeriums forsyningskæde. Virksomheder, der allerede arbejder med DoD eller planlægger at gøre det, skal opfylde CMMC-krav for at styrke deres markedsposition og forfølge nye forretningsmuligheder. Den tætte tilpasning til NIST-standarder gør det muligt for berørte organisationer at implementere kontrolforanstaltninger konsekvent. Med den endelige regel er CMMC blevet forenklet og gjort mere effektiv, så organisationer af alle størrelser kan opfylde kravene og forblive aktive i forsvarssektoren.
CMMC er ikke et isoleret spørgsmål for mange virksomheder; det eksisterer side om side med europæiske krav såsom CRA eller NIS 2. Hvis du ønsker at forstå, hvordan disse krav relaterer til hinanden, og hvilke næste skridt der giver mening, kan dette afklares i en uforpligtende samtale.