Il Cybersecurity Maturity Model Certification (CMMC) stabilisce processi, pratiche e requisiti di sicurezza informatica per salvaguardare le informazioni sensibili e non classificate condivise dal Dipartimento della Difesa (DoD) e dai suoi appaltatori e subappaltatori. In particolare, mira a proteggere la base industriale della Difesa (DIB) da attacchi informatici più complessi.
La certificazione CMMC 2.0 è stata lanciata nel novembre 2021 e tutti gli appaltatori e subappaltatori del Dipartimento della Difesa devono soddisfare tutti i requisiti CMMC entro il 2025 per poter partecipare a nuove gare d’appalto o continuare a lavorare con il Dipartimento.
Questo articolo illustra come ottenere la certificazione CMMC e tutto ciò che hai bisogno di sapere per diventare conforme a CMMC.
🥷 Tieniti aggiornato sulle ultime novità IT con la newsletter settimanale di NinjaOne.
Cos’è il CMMC?
CMMC, che non è la stessa cosa del CCSK, è l’acronimo di Cybersecurity Maturity Model Certification, un nuovo standard che si applica a tutti gli appaltatori e subappaltatori del Dipartimento della Difesa (DoD). La nuova certificazione è stata concepita come un quadro di cybersecurity per assicurare la protezione di informazioni sensibili non classificate e per difendersi da attacchi di tipo supply-chain da parte di criminali informatici.
Il CMMC garantisce che i fornitori e gli appaltatori del Dipartimento della Difesa proteggano le informazioni sensibili e mantengano una solida posizione di sicurezza informatica. Si basa sugli standard e sulle pratiche esistenti, tra cui il NIST SP 800-171 e il NIST SP 800-53.
Che cos’è il modello CMMC 2.0?
Il CMMC 2.0 è l’iterazione successiva del modello iniziale di cybersecurity. Mentre il modello 1.0 prevedeva un sistema di valutazione a cinque livelli, ognuno dei quali diventava progressivamente più difficile e più costoso, il programma 2.0 semplifica questi requisiti organizzandoli su tre livelli.
- Il livello 1 è richiesto per le organizzazioni che lavorano con le Federal Contract Information (FCI) e richiede solo strategie di cybersecurity di base come definito nella FAR 52.204-21, “Basic Safeguarding of Covered Contractor Information Systems” Questo livello si concentra generalmente sul controllo degli accessi fisici, sulla gestione del rischio e sull’integrità del sistema.
- Il livello 2 è richiesto per le organizzazioni che lavorano con le Controlled Unclassified Information (CUI) ed è conforme ai 110 controlli di sicurezza definiti nel documento NIST 800-171, “Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations” Questo livello copre generalmente la risposta agli incidenti di cybersecurity e tutti gli altri requisiti indicati nel Livello 1.
- Il livello 3 è il livello di conformità più elevato, destinato alle organizzazioni che lavorano con CUI e che sono bersaglio di minacce costanti avanzate (Advanced Persistent Threats, o APT). Richiede la conformità al NIST 800-172, “Enhanced Security Requirements for Protecting Controlled Unclassified Information”: A Supplement to NIST Special Publication 800-171 e comprende strategie proattive per rilevare e correggere le minacce prima che abbiano un impatto sull’organizzazione. Il livello 3 include anche sofisticate capacità di rilevamento e riduzione del rischio e prevede requisiti di hardening del sistema.
Ricordate chi i livelli di CMMC si basano l’uno sull’altro. Pertanto, devi completare il livello 1 per raggiungere il livello 2 e così via.
La struttura aggiornata ha inoltre semplificato notevolmente gli obiettivi:
- Salvaguardia delle informazioni sensibili e militari.
- Applicare gli standard di sicurezza informatica del DIB per far fronte all’evoluzione delle minacce.
- Garantire la responsabilità della conformità CMMC.
- Costruire una cultura della cybersicurezza e della resilienza informatica.
- Mantenere alta la fiducia del pubblico attraverso standard professionali ed etici.
CMCC 1.0 e. 2.0 a confronto
Sebbene entrambi i programmi siano essenzialmente identici per quanto riguarda la protezione delle informazioni controllate non classificate, il programma 2.0 ha apportato diverse modifiche fondamentali, che possono essere descritte come segue:
Valutazioni | CMCC 1.0 | CMCC 2.0 |
5 livelli progressivi, da Base ad Avanzato. | 3 livelli progressivi.
|
|
I livelli 2 e 4 sono fasi di transizione tra i livelli 1, 3 e 5. |
- Modello più snello. Il CMMC 2.0 prevede solo tre livelli di conformità rispetto ai 5 del modello precedente. Inoltre, il CMMC 2.0 è più strettamente allineato ai modelli di cybersecurity del NIST.
- Valutazioni migliorate e affidabili. La CMMC 2.0 consente a tutte le aziende di livello 1 e a un sottoinsieme di aziende di livello 2 di dimostrare la conformità attraverso autovalutazioni, con conseguente maggiore responsabilità.
- Implementazione flessibile. CMMC 2.0 consente alle aziende di creare i propri Piani d’azione e le proprie milestone (POA&Ms) in circostanze specifiche. Inoltre, consente al Governo di rinunciare all’inclusione dei requisiti CMMC, in presenza di condizioni particolari.
Perché il Dipartimento della Difesa ha creato il programma CMMC 2.0?
Dopo il lancio del CMMC 1.0, i rappresentanti del Dipartimento della Difesa hanno ricevuto un feedback dalle parti interessate. La maggior parte dei commenti sul modello 1.0 riguardava il suo costo attuale, le modalità per aumentare la fiducia nell’ecosistema di valutazione CMMC e la necessità di chiarire e allineare i suoi requisiti con altri standard federali e comunemente accettati.
Chi ha bisogno della certificazione CMMC?
Qualsiasi organizzazione che tratta FCI o CUI deve ottenere la certificazione CMMC al livello specificato nel contratto. Se non ha ancora un contratto, è consigliato che richieda il livello più adatto alle sue capacità attuali.
Tieni presente che se hai una clausola DFARS 7012, sei soggetto ai requisiti CMMC.
Cosa significa CMMC per gli MSP?
La conformità alla CMMC per i fornitori di servizi gestiti (MSP) che lavorano con clienti connessi al Dipartimento della Difesa potrebbe diventare un requisito, e questi dovrebbero sviluppare un piano per soddisfare i requisiti stabiliti nel livello 1 della CMMC. Ciò consentirà al cliente di continuare a svolgere la propria attività senza intoppi e di migliorare la sicurezza generale dei clienti non connessi al Dipartimento della Difesa. Molti dei requisiti del livello 1 di CMMC, come la capacità di fornire valutazioni di sicurezza e formazione sulla consapevolezza, possono essere servizi preziosi da includere nel tuo contratto di servizi gestiti (MSA).
Per gli MSP impegnati con altri settori del governo federale e locale, un certo livello di conformità CMMC potrebbe diventare il nuovo standard per le agenzie pubbliche. Con il crescente tasso di violazioni aziendali e la domanda di servizi di sicurezza informatica, la CMMC può fungere da guida utile per l’identificazione di un percorso di crescita dell’azienda. Il CMMC è stato sviluppato anche in collaborazione con Paesi europei come la Svizzera e il Regno Unito, suggerendo la possibilità di uno standard internazionale di cybersecurity e nuove opportunità di crescita.
Quando il CMMC diventerà obbligatorio nei contratti?
I requisiti di certificazione del Cybersecurity Maturity Model (altrimenti noto come DFARS 252.204-7021) sono stati pubblicati nel gennaio 2024 e ne descrivono l’implementazione e l’inclusione nei contratti entro marzo 2025. Tieni presente che il CMMC 2.0 non è (e non sarà) un requisito contrattuale fino a quando il DoD non implementerà e codificherà completamente il programma.
Detto questo, gli esperti incoraggiano vivamente le organizzazioni, gli appaltatori e i relativi MSP ad avviare la verifica dei requisiti CMMC il prima possibile.
Devo ancora rispettare la CMMC 1.0 ora che è stata pubblicata la CMMC 2.0?
Una volta che il CMMC 2.0 sarà codificato nel DFARS, il DoD richiederà a tutte le aziende di aderire al quadro CMMC rivisto.
Attualmente, il CMMC 1.0 è richiesto solo in contratti pilota selezionati, come approvato dall’Office of the Under Secretary for Acquisition and Sustainment (OUSD – A&S)
Come faccio a sapere di quale livello di certificazione ho bisogno?
La maggior parte dei contratti richiede solo la certificazione di livello 1, quindi questo è un primo passo importante che tutti gli appaltatori e subappaltatori del Dipartimento della Difesa dovrebbero compiere. Oltre a ciò, i nuovi contratti indicheranno il livello CMMC richiesto.
Quanto costa il CMMC?
Si stima che il rispetto del livello 1 di CMMC, lo standard più basso, costerà 3.000 dollari all’anno.
Da lì, il costo per ogni livello successivo aumenta sostanzialmente. In media, il Dipartimento della Difesa dichiara che il costo della CMMC di livello 2 è di almeno 100.000 dollari. Questo costo può aumentare, a seconda di altri fattori, come l’autovalutazione e l’eventuale necessità di competenze esterne.
Quali sono i requisiti di ogni livello di CMMC?
I requisiti di CMMC 2.0 sono fortemente influenzati dagli standard e dalle linee guida del NIST. Possiamo riassumere questi requisiti come segue:
Livello | Requisiti | Valutazione | Descrizione |
1 | Soddisfa i 15 requisiti di SP 800-171 | Autovalutazione annuale | Creare e mantenere:
|
2 | Soddisfa i requisiti del Livello 1 e 110 standard determinati da una valutazione di terzi. | Valutazione da parte di terzi ogni tre anni. | Monitoraggio e controllo:
|
3 | Deve superare i requisiti 110 SP 800-171 e la conformità ai livelli 1 e 2. | Valutazioni triennali condotte dal Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) | Implementazione e manutenzione:
|
Come posso ottiene la certificazione CMMC?
- Effettua un’autovalutazione utilizzando gli standard NIST 800-171.
- Crea un piano d’azione e delle tappe fondamentali (POA & Ms) in base al punteggio ottenuto dall’autovalutazione. Tenta di raggiungere il punteggio massimo di 110.
- Presenta il punteggio al Supplier Performance Risk System (SPRS) del Dipartimento della Difesa.
- Identifica l’ambito dei tuoi servizi. Tieni a mente che Cyber-AB, l’organismo ufficiale di accreditamento dell’ecosistema CMMC, ha rilasciato solo la guida alla valutazione per CMMC 2.0, Livelli 1 e 2.
- Programma una valutazione preliminare delle lacune da parte di un’organizzazione terza per identificare le lacune nel tuo processo di sicurezza delle informazioni. Questo passaggio è facoltativo, ma consigliato.
- Correggi le lacune di sicurezza individuate al punto 5.
- Utilizza il marketplace Cyber-AB per trovare un C3PAO come NSF-ISR per programmare la tua valutazione CMMC.
- Sottoponiti alla valutazione CMMC.
- La fase 1 comprende la pianificazione della pre-valutazione, l’identificazione dei membri del team di valutazione e lo sviluppo di un ordine di grandezza approssimativo.
- La fase 2 riguarda la valutazione C3PAI vera e propria. Include un’analisi e una revisione delle prove oggettive relative alle pratiche CMMC.
- La fase 3 consiste nella stesura di un rapporto post-valutazione, che comprende una revisione di garanzia della qualità ed eventuali raccomandazioni.
- La Fase 4 può richiedere una correzione se l’organizzazione non soddisfa determinati requisiti CMMC. In genere, c’è un termine di 90 giorni per risolvere eventuali carenze.
- Ricevi la certificazione CMMC.
Ricordati che le aziende non possono presentare la loro autovalutazione per il CMMC ai livelli più alti. Saranno invece agenzie terze a condurre un audit imparziale e a identificare il livello di maturità della sicurezza della tua organizzazione.
Un fornitore di servizi gestiti o un organizzatore di valutazioni di terze parti (C3PAO) possono aiutarti a comprendere meglio il framework CMMC e quali miglioramenti possono essere apportati per rendere più semplice il processo di certificazione
Come NinjaOne aiuta i professionisti dell’IT a superare CCMC
Garantendo che i tuoi servizi possano essere forniti attraverso il cloud per accelerare gli sforzi di conformità CMMC e ridurre i costi. Sfruttando gli strumenti cloud, i professionisti informatici possono fornire molte pratiche di CMMC volte a migliorare la sicurezza informatica per l’intera organizzazione e a ridurre i rischi.
Un software di monitoraggio e gestione remota basato sul cloud, come quello offerto da NinjaOne, può essere un elemento importante nella catena di strumenti della cybersecurity. Non solo può accelerare il rilevamento delle vulnerabilità e la gestione della sicurezza, ma i suoi strumenti possono anche essere sfruttati per coordinare e organizzare molte funzioni di sicurezza fondamentali, come il patch management e gli antivirus.
Domande frequenti (FAQ)
-
Appaltatori e subappaltatori devono mantenere lo stesso livello di CMMC?
Sì, ma solo se entrambi i gruppi gestiscono lo stesso tipo di FCI e CUI. Nella maggior parte dei casi, il flusso primario di dati sensibili diminuisce lungo la catena di fornitura. Per questo motivo, gli appaltatori hanno solitamente un livello di CMMC inferiore.
-
La mia organizzazione deve comunque essere certificata se non gestisce CUI?
Fai sempre riferimento al contratto con il Dipartimento della Difesa. Nella maggior parte dei casi, se la tua organizzazione elabora, archivia o gestisce in qualsiasi modo le CUI, dovrai avere almeno una certificazione CMMC di livello 1.
-
Chi è responsabile della gestione del CMMC all’interno dell’azienda?
Non esiste una regola specifica su chi debba gestire la tua certificazione CMMC. La leadership deve definire chiaramente i ruoli e le responsabilità del mantenimento dell’igiene della cybersecurity.
-
Come si applica il CMMC alle aziende non statunitensi?
Il Dipartimento della Difesa continuerà a impegnarsi con i partner internazionali e ad applicare i necessari standard di sicurezza informatica, se necessario.
-
Qual è la differenza tra CMMC e NIST 800-171?
Sebbene entrambi i framework migliorino la postura della cybersecurity dell’organizzazione, il CMMC è destinato a tutte le organizzazioni che si occupano di informazioni pubbliche e aggiunge ulteriori protocolli basati sul NIST.