CMMC uitgelegd: de nieuwe cyberbeveiligingsdoelen van de Amerikaanse defensiegemeenschap uitgepakt

CMMC uitgelegd: de nieuwe cyberveiligheidsdoelstellingen van de Amerikaanse defensiegemeenschap uit de doeken gedaan

Door Danny Bradbury • 11 July 2024

Cyberbeveiliging is een kritieke zorg geworden in de defensie-industrie, met toenemende bedreigingen gericht op gevoelige informatie en kritieke infrastructuur. Dat is waar de Cybersecurity Maturity Model Certification (CMMC) in beeld komt. Het is een raamwerk voor defensie-aannemers om cyberbeveiligingsmaatregelen te implementeren, waarmee ze zichzelf en de toeleveringsketen van het Amerikaanse ministerie van Defensie beschermen. Maar hoe werkt het en hoe voldoe je eraan?

Het CMMC-framework, dat voor het eerst werd aangekondigd in juni 2019, is ambitieus. In 2020 bracht het Ministerie van Defensie versie 1 van het raamwerk uit, en een presidentiële interim-regel stelde een fase-inperiode van vijf jaar in voor defensie-aannemers om aan de regelgeving te voldoen.

Compliance omvat het navigeren door een matrixachtig raamwerk dat is gestructureerd rond zeventien cyberbeveiligingsdomeinen die oorspronkelijk vijf volwassenheidsniveaus besloegen. De domeinen omvatten elk een breed scala aan beveiligingspraktijken, variërend van toegangscontrole en activabeheer via identificatie en authenticatie en incidentrespons tot systeem- en informatie-integriteit. Het raamwerk beschrijft specifieke praktijken in elk domein die overeenkomen met certificering op elk volwassenheidsniveau.

Elk van de volwassenheidsniveaus van het raamwerk bouwt voort op het niveau eronder en creëert een pad voor defensie-aannemers om hun cyberbeveiligingspraktijken volwassener te maken.

Herzieningen van het raamwerk

Zoals je zou verwachten, aangezien ze allebei afkomstig zijn van de federale overheid, is CMMC nauw verwant aan een andere beveiligingsstandaard: de NIST SP 800-171-standaard voor het beschermen van gecontroleerde niet-geclassificeerde informatie (CUI) in niet-federale systemen en organisaties. De regels van de Federal Acquisition Regulation (FAR) en de Defense Federal Acquisition Regulation Supplement (DFARS) (die bepalen wat federale en defensie-aannemers moeten doen voordat ze met de federale overheid kunnen samenwerken) dicteren de naleving van NIST SP 800-171.

Een belangrijk voordeel van de oorspronkelijke CMMC ten opzichte van NIST SP 800-171 was dat, hoewel de laatste afhankelijk is van zelfattestatie voor naleving, CMMC 1.0 beoordelingen door derden verplicht stelde om de implementatie te verifiëren. In maart 2021 kondigde het Ministerie van Defensie echter een interne evaluatie van CMMC aan, wat in november resulteerde in een bijgewerkte versie, CMMC 2.0. Deze herziening was een reactie op feedback uit de sector waarin werd gevraagd om lagere nalevingskosten (vooral voor kleine bedrijven), samen met een betere afstemming op andere normen.

CMMC 2.0 heeft het aantal volwassenheidsniveaus teruggebracht tot drie (Foundational, Advanced en Expert). Het verlaagde ook de kosten door de introductie van zelfbeoordelingen voor het basisniveau en enkele vereisten voor gevorderden. Andere veranderingen die bedoeld waren om de impact op bedrijven te verzachten, waren onder meer voorzieningen voor ontheffingen, actieplannen en mijlpalen (POA&M's). Ontheffingen stellen bedrijven in staat om in specifieke omstandigheden tijdelijke vrijstellingen van CMMC aan te vragen, terwijl POA&M's hen in staat stellen doelen te stellen met tijdlijnen om nalevingskloven te overbruggen.

In de gestroomlijnde CMMC 2.0 beginnen de NIST SP 800-171-vereisten op niveau twee, terwijl niveau drie enkele SP 800-172-vereisten bevat.

Hoe kunt u voldoen aan CMMC?

Op dit moment is naleving van CMMC 2.0 geen contractuele vereiste, omdat het opstellen van regels voor die update nog moet worden voltooid. De verwachting is dat dit nog wel twee jaar zal duren. Het DoD publiceerde zijn voorgestelde regel voor CMMC in december 2023, met een consultatieperiode van 60 dagen. De regel treedt in werking op 1 oktober 2026, dus het is slim om nu te beginnen.

Begin met het definiëren van het CMMC-niveau waar u op doelt. Deze omvatten verschillende soorten informatie. Het basisniveau omvat federale contractinformatie (FCI). Advanced is bedoeld voor organisaties die zich richten op het omgaan met CUI, gecontroleerde verdediging, gecontroleerde technische informatie of exportgecontroleerde gegevens. Deskundige certificering stelt u in staat kritische, gecontroleerde, niet-geclassificeerde informatie te vervoeren en is ook van toepassing op degenen die werken aan gevoelige projecten in de lucht- en ruimtevaart- of militaire domeinen.

Jouw niveau bepaalt aan welke eisen je moet voldoen. Fundamentele certificering vereist naleving van de vereisten in de FAR 52.204-21 (17 CMMC Practices) regel. Om de geavanceerde status te bereiken, moet u voldoen aan alle 110 beveiligingscontroles van NIST 800-171, terwijl de Expert-certificering ook naleving van een subset van de NIST 800-SP 172-vereisten vereist. Deze standaard bevat verbeterde vereisten voor de bescherming van CUI, inclusief beperkende maatregelen tegen geavanceerde aanhoudende bedreigingen.

Identificeer de activa die onder CMMC vallen en voer een gap-analyse uit om te zien waar u momenteel tekortschiet in de certificering die u nodig heeft. Kies een beheerde serviceprovider om u waar nodig te helpen met uw vereisten voor beveiligingsupgrades. U moet ook een CMMC-beoordeling voltooien, wat een evaluatie door een derde partij kan betekenen, afhankelijk van het door u gekozen volwassenheidsniveau.

Genoeg om nu aan te werken

Terwijl we wachten tot de CMMC-deadline nadert, zijn er dringender nalevingsvereisten. Het DoD heeft een Defense Federal Acquisition Regulation Supplement opgesteld

(DFARS) clausule 252.204-7012, een recente regel die cyberbeveiligingsmaatregelen verplicht stelt voor federale defensiecontractanten. Volgens die regel, die nu van kracht is, moeten aannemers voldoen aan alle 110 beveiligingseisen uit NIST SP 800-171.

Verderop kunnen meer CMMC-ontwikkelingen worden verwacht nu NIST de derde herziening van NIST SP 800-71 heeft gepubliceerd. Dit heeft ogenschijnlijk minder vereisten dan v2, maar deze vereisten zijn veel belangrijker en vereisen meer verificatievragen en meer werk. Hoewel CMMC 2.0 geen NIST SP 800-71 v3-compliance omvat, kunt u dit in de toekomst verwachten.

U kunt bestaand werk dat u aan ISO 27001 hebt gedaan, gebruiken om u te helpen bij deze voorbereidingen. Hoewel het een aparte standaard is van CMMC, is er enige overlap. Omdat CMMC sterk gebaseerd is op NIST SP 800-71, kunt u de ISO 27001-toewijzing in NIST SP 800-71 bijlage D gebruiken om u een voorsprong te geven op het gebied van CMMC-compliance.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury

Cyber security 13 November 2025

Beoordeling van de verschuiving van de Trump-regering in het Amerikaanse cyberbeveiligingsbeleid

Recente uitvoerende maatregelen en herstructureringen van agentschappen markeren een significante verandering in de federale cybersecuritystrategie, wat vragen oproept over de nationale veerkracht.

Danny Bradbury