Lær alt om CMMC, dens forbindelse til NIST SP 800-171, og hvilke krav den stiller til leverandører i USA.
CMMC - oprindelse og udvikling
Federal Acquisition Regulation (FAR) er den primære regelbog for indkøb af varer og tjenester af amerikanske føderale agenturer. Den fastsætter politikker og krav til udbud og kontrakter.
Defense Federal Acquisition Regulation Supplement (DFARS) supplerer FAR specifikt for det amerikanske forsvarsministerium og inkluderer yderligere bestemmelser og sikkerhedskrav til forsvarskontrakter.
CMMC blev udviklet for at forbedre sikkerheden inden for DoD forsyningskæden. Siden 2015 har DFARS 252.204-7012 krævet beskyttelse af "Covered Defense Information" og rapportering af cyberhændelser. Den første version af CMMC blev frigivet i 2020, efterfulgt af CMMC 2.0 i november 2021. Denne version træder i kraft den 16. december 2024 efter sin officielle offentliggørelse i Federal Register.
CMMC 2.0 består af tre modenhedsniveauer, hvor hvert niveau kræver forskellige sikkerhedspraksisser og kontroller, der hovedsageligt er baseret på NIST-standarder. Sammenlignet med den første version reducerer CMMC 2.0 antallet af modenhedsniveauer fra fem til tre for at forenkle certificeringsprocessen for små og mellemstore virksomheder.
CMMC-niveauerne er:
- Niveau 1: Grundlæggende beskyttelse af FCI gennem fundamentale sikkerhedskrav afledt af FAR 52.204-21. Vurdering på dette niveau udføres af organisationerne selv (selvvurdering).
- Niveau 2: Forbedret beskyttelse af CUI. Afhængigt af risikoniveau udføres vurdering enten ved selvvurdering eller af tredjeparter.
- Niveau 3: Højere beskyttelseskrav for CUI mod trusler fra avancerede vedvarende trusler (APT'er). Vurdering på dette niveau udføres af DIB Cybersecurity Assessment Center.
CMMC og NIST-standarder
CMMC-krav er tæt forbundet med standarder fra National Institute of Standards and Technology (NIST). To nøgledokumenter er særligt relevante:
- NIST SP 800-171: Denne retningslinje indeholder sikkerhedskrav til beskyttelse af CUI i ikke-føderale informationssystemer og organisationer. Den danner grundlaget for sikkerhedskravene i CMMC Niveau 2.
- NIST SP 800-172: Denne retningslinje udvider kravene i NIST SP 800-171 for scenarier med forhøjede sikkerhedsbehov og er relevant for CMMC Niveau 3.
Vigtige ændringer i den endelige regel for CMMC
Code of Federal Regulations (CFR) er den officielle kompilation af alle permanente amerikanske regulativer. En "Final Rule" er en definitiv, juridisk bindende regulering der efter en formel proces indarbejdes i CFR og skal følges fra det tidspunkt og fremefter.
Den 14. oktober 2024 offentliggjorde DoD Final Rule for CMMC-programmet. Reglen træder i kraft den 16. december 2024. En af de vigtigste ændringer i denne endelige regel er forenkling af modenhedsniveauer til tre, hvilket særligt gavner små og mellemstore virksomheder. CMMC-niveauerne er tilpasset kritikaliteten af de uklassificerede oplysninger der skal beskyttes.
Vigtige aspekter for virksomheder
For virksomheder der ønsker at arbejde med DoD er det essentielt at være CMMC-kompatible. Uden en gyldig CMMC-certificering kan de ikke byde på DoD-kontrakter, hvilket kan resultere i betydelige indtægtstab. Virksomheder skal sikre, at de opfylder kravene for FCI og CUI og har en plan for kontinuerlig overvågning og forbedring af deres sikkerhedsforanstaltninger.
Konklusion
CMMC er en central ramme for at sikre cybersikkerhed på tværs af det amerikanske forsvarsministeriums forsyningskæde. Virksomheder der allerede arbejder med DoD eller planlægger at gøre det skal opfylde CMMC-krav for at styrke deres markedsposition og få adgang til nye forretningsmuligheder. Den tætte tilpasning til NIST-standarder gør det muligt for berørte organisationer at implementere krav sammenhængende. Med Final Rule forenkles og effektiviseres CMMC yderligere, så virksomheder af alle størrelser kan opfylde kravene og forblive aktive i forsvarssektoren.