De implementatie van het Cybersecurity Maturity Model Certification (CMMC) is rond en het kan een nieuw beveiligingskader creëren voor andere overheidsinstanties. Voor een normale gang van zaken moet CMMC-naleving voor MSP’s en IT-professionals die werken met het Ministerie van Defensie (MinDef) of bijbehorende aannemers, een prioriteit zijn in 2021.
Het Cybersecurity Maturity Model Certification (CMMC) is deze maand officieel goedgekeurd als de nieuwe norm voor contracten van het Ministerie van Defensie (MinDef). Tegen oktober 2025 zullen contracten voor elke MinDef-contract gecertificeerd moeten worden door een derde partij die een beoordelingssysteem met vijf niveaus hanteert. Het is van cruciaal belang dat IT-professionals die rechtstreeks met defensiecontractanten of het MinDef werken, inzicht hebben in de nieuwe CMMC-regels en de naleving daarvan. Naarmate andere overheidsinstanties hogere beveiligingsnormen invoeren, zal CMMC-naleving uiteindelijk ook bij Managed Services Providers (MSP’s) toegepast worden.
CMMC bestaat uit vijf niveaus: niveau 1 is het gemakkelijkst te behalen en niveau 5 is het moeilijkst en duurst om te behalen. Voor niveau 1 moet een organisatie voldoen aan 17 vereiste controles om cyberhygiëne te handhaven en federale contractinformatie (FCI) en gecontroleerde niet-geclassificeerde informatie (CUI) te beschermen. Een organisatie moet zich houden aan 171 vereiste controles om niveau 5 van CMMC te behalen. Volgens Katie Arrington, Chief Information Security Officer voor het Office of the Under Secretary of Defense for Acquisition & Sustainment (OUSD A&S), is het goede nieuws dat de meeste contractanten slechts CMMC-niveau 1 hoeven te behalen en minder dan één procent van de contracten zal CMMC-niveau 4 of 5 moeten behalen.
De nieuwe regels zijn uitdrukkelijk bedoeld om de bevoorradingsketen van het MinDef te beveiligen. Gezien het groeiende aantal inbreuken en ransomware-aanvallen waarbij legitieme tools die door de openbare en de particuliere sector worden gebruikt, worden gekaapt, kan navolging van de vastgestelde richtlijnen in het CMMC-proces dit soort aanvallen helpen stoppen. Dit raamwerk biedt voordelen voor IT-professionals uit elke branche, aangezien veel van de regels rond cybersecurity, zoals multi-factor authentication voor gebruikers, basiselementen zijn die elke organisatie zou moeten implementeren.
Nu het MinDef streeft naar de beveiliging van de bevoorradingsketen, kan dat uiteindelijk leiden tot een nieuwe norm voor civiele agentschappen. FedScoop meldde zelfs dat CISA-functionarissen hebben opgemerkt dat civiele agentschappen zullen profiteren van de invoering van CMMC en dat het agentschap ernaar streeft hun aanpak en richtlijnen op het gebied van cybersecurity zo veel mogelijk op CMMC af te stemmen. Nu de mogelijkheid bestaat dat CMMC een nieuwe federale norm wordt, kunnen MSP’s een voordeel behalen ten opzichte van hun concurrenten door zich op de hoogte te stellen van de nieuwe regels en de beste federale beveiligingspraktijken in hun bedrijf op te nemen.
Hieronder vindt u de belangrijkste informatie over CMMC. Deze is handig voor mensen die pas kennismaken met de regels van Cybersecurity Maturity Model Certification of als u uw geheugen rond de cybersecurity wilt opfrissen.
Wat is CMMC?
CMMC staat voor Cybersecurity Maturity Model Certification, een nieuwe norm die geldt voor alle (sub)contractanten van het Ministerie van Defensie (MinDef). De nieuwe certificering werd ontworpen als raamwerk voor cybersecurity en verzekert de bescherming van gevoelige, niet-geclassificeerde informatie en biedt daarnaast ook bescherming tegen supply chain-aanvallen door cybercriminelen.
CMMC is een beoordelingssysteem met vijf niveaus. Niveau 1 omvat de basis van cybersecurity, zoals het gebruik van MFA. Naarmate de certificeringsniveau’s toenemen, worden de vereisten complexer en de kosten hoger. Volgens OUSD A&S heeft minder dan één procent van de contracten een certificering van niveau 4 of 5 nodig.
Wanneer treedt CMMC in werking?
CMMC is in december 2020 ingegaan. De regels zullen de komende vijf jaar geleidelijk in nieuwe MinDef-contracten worden opgenomen, met een volledige implementatie in oktober 2025.
Hoe weet ik welk certificeringsniveau ik nodig heb?
Een belangrijkste eerste stap voor alle (sub)contractanten van MinDef is het verkrijgen van een certificering van niveau 1, aangezien die vereist zal zijn voor de meeste contracten. Bovendien zal in nieuwe contracten het vereiste CMMC-niveau worden vermeld.
Hoeveel kost CMMC?
Katie Arrington, Chief Information Security Officer voor OUSD A&S, schat dat CMMC-niveau 1, de laagste norm, elke drie jaar 3.000 dollar zal kosten. Het behalen en onderhouden van hogere CMMC-niveaus zal naar verwachting duurder zijn.
Wat zijn de vereisten per CMMC-niveau?
CMM-niveau 1 ( Engels) bestaat uit 17 praktijken rond cybersecurity, die alles omvatten wat beschreven staat in Federal Acquisition Regulation (FAR) 48 CFR 52.204-21. Het gaat onder meer om vermogensbeheer, configuratiebeheer, identificatie en authenticatie en noodherstel.
CMMC-niveau 3 bestaat uit 130 praktijken rond cybersecurity en omvat alles beschreven in NIST SP 800-171r1. De vereisten waaraan MinDef-contractanten moeten voldoen voor CMMC-niveau 4 en 5 omvatten een subset van de praktijken uit het concept van NIST SP 800-171B en aanvullende geavanceerde praktijken rond cybersecurity.
Als organisaties gecertificeerd willen worden, moeten ze een beroep doen op een geautoriseerde en geaccrediteerde CMMC Third Party Assessment Organization (C3PAO), die CMMC-beoordelingen uitvoert en CMMC-certificaten toekent. De UOSD A&S is van plan om in 2021 ongeveer 1.500 gecertificeerde bedrijven te hebben, terwijl de nieuwe DoD-contracten de vereisten naleven.
Wat betekent CMMC voor MSP’s?
CMMC-naleving kan een vereiste worden voor MSP’s die werken met klanten verbonden aan het MinDef en dus zouden ze een plan moeten ontwikkelen om te voldoen aan de eisen die zijn vastgelegd voor CMMC-niveau 1. Op die manier blijven de bedrijven van de klanten vlot draaien en verbetert de algemene beveiliging van klanten die niet zijn aangesloten bij het MinDef. Veel van de vereisten van CMMC-niveau 1, zoals de mogelijkheid om beveiligingsevaluaties uit te voeren en bewustzijnstrainingen te geven, kunnen waardevolle diensten zijn om op te nemen in uw Managed Services Agreement (MSA)( momenteel alleen beschikbaar in het Engels, Duits, Frans en Italiaans).
Voor MSP’s die samenwerken met andere instanties van de federale en lokale overheid, kan een zekere mate van CMMC-naleving ook de nieuwe norm worden. Gezien het stijgende aantal inbreuken op de beveiliging van bedrijven en de vraag naar diensten rond cybersecurity, kan CMMC een nuttige leidraad zijn voor het groeipad van bedrijven. CMMC werd ook ontwikkeld in samenwerking met Europese landen zoals Zwitserland en het Verenigd Koninkrijk. Dit duidt op een mogelijke internationale norm voor cybersecurity en nieuwe groeimogelijkheden.
Hoe kunnen IT-professionals CMMC voorblijven?
Als u de CMMC-naleving wilt versnellen en de kosten wilt verlagen, kunt u het beste beginnen met diensten via de cloud te leveren. Door gebruik te maken van cloudtools kunnen IT-professionals veel CMMC-praktijken bieden die de cybersecurity voor de hele organisatie verbeteren en de risico’s beperken.
Cloudgebaseerde monitoring- en beheertools op afstand kunnen dienen als belangrijke schakels in de keten van cybersecurity. De tools kunnen niet alleen de opsporing van kwetsbaarheden en het beheer van de beveiliging versnellen, maar kunnen ook worden gebruikt om kernbeveiligingsfuncties, zoals patch- en antivirusbeheer, te coördineren en organiseren.
**Bezoek de pagina van OUSD A&S over CMMC, voor een volledig overzicht van de Veelgestelde vragen(in het Engels).