Die Cybersecurity Maturity Model Certification (CMMC): Was Sie wissen müssen

Es stehen große Veränderungen bevor, genau wie bei FedRAMP im Jahr 2022. Das US-Verteidigungsministerium (DoD) wird in Kürze von Unternehmen, die sich um Aufträge bewerben, verlangen, dass sie die Anforderungen der Cybersecurity Maturity Model Certification (CMMC) erfüllen. CMMC wird voraussichtlich innerhalb der nächsten 12 Monate zum Gesetz.

Das Verteidigungsministerium hat das CMMC entwickelt, um einen einheitlichen Cybersicherheitsstandard für seine Verteidigungsindustrie (DIB) zu etablieren, zu der mehr als 300.000 Lieferkettenunternehmen und 77.000 Subunternehmer gehören.

Die Einhaltung des CMMC kann für viele Unternehmen ein harter Kampf sein, insbesondere für mittelgroße und kleine Auftragnehmer, denen möglicherweise die Ressourcen und das Fachwissen fehlen, um die Komplexität und Anforderungen des Gesetzes zu bewältigen. Die wichtigsten Fragen sind, ob das Unternehmen die Vorschriften einhält und ob es einen Plan zur Erreichung dieser Vorschriften erstellt hat. Viele haben das nicht.

Diese Auftragnehmer befinden sich häufig in einer gefährdeten Position, da sie möglicherweise Schwierigkeiten haben, die erforderliche Zeit und die erforderlichen Mittel für die Einhaltung des CMMC bereitzustellen, was in der Regel etwa 18 bis 24 Monate dauert und ungefähr $2M erreichen. Ohne die entsprechende Anleitung und Unterstützung laufen diese Organisationen Gefahr, ins Hintertreffen zu geraten und in Zukunft ihre Fähigkeit zu verlieren, sich um Aufträge des Verteidigungsministeriums zu bewerben.

Bereiten Sie sich auf die CMMC-Konformität vor

Um für CMMC bereit zu sein, sollten Auftragnehmer mit der Ermittlung des erforderlichen CMMC-Levels beginnen, und zwar auf der Grundlage der Art der Informationen, mit denen sie routinemäßig umgehen. Als Nächstes sollten sie eine Lückenanalyse durchführen, um Bereiche zu identifizieren, in denen ihre Cybersicherheitspraktiken das erforderliche CMMC-Niveau nicht erreichen.

Auf Grundlage der Erkenntnisse sollten Auftragnehmer einen Plan entwickeln und umsetzen, um die festgestellten Lücken zu schließen und ihre Cybersicherheitslage zu verbessern. Ein entscheidender Schritt ist auch die Beauftragung einer CMMC Third-Party Assessment Organization (C3PAO) zur Planung einer CMMC-Bewertung.

Schließlich müssen Auftragnehmer ihre Cybersicherheitspraktiken aufrechterhalten und kontinuierlich verbessern, um eine fortlaufende Einhaltung der CMMC-Anforderungen zu gewährleisten.

Verstehen Sie die CMMC-Zertifizierungsstufen

CMMC verfügt über drei Zertifizierungsstufen mit jeweils steigenden Anforderungen an die Cybersicherheit. Auch hier hängt die erforderliche CMMC-Stufe für einen Auftragnehmer von der Sensibilität der DoD-Informationen ab, die er verarbeitet, wobei für zunehmend sensible Informationen höhere Zertifizierungsstufen erforderlich sind.

Ebene 1: Grundlegend(17 Praktiken) Eine Organisation muss grundlegende Praktiken der Cyberhygiene nachweisen, wie etwa sicherzustellen, dass Mitarbeiter ihre Passwörter regelmäßig ändern, um Federal Contract Information (FCI) zu schützen. FCI sind „Informationen, die nicht für die Veröffentlichung bestimmt sind und die von der Regierung im Rahmen eines Vertrags zur Entwicklung oder Lieferung eines Produkts oder einer Dienstleistung an die Regierung bereitgestellt oder für sie erstellt werden.“

Eine Organisation muss grundlegende Cyberhygienepraktiken umsetzen, beispielsweise sicherstellen, dass die Mitarbeiter ihre Passwörter regelmäßig ändern, um Federal Contract Information (FCI) zu schützen. FCI sind „Informationen, die nicht für die Veröffentlichung bestimmt sind und die von der Regierung im Rahmen eines Vertrags zur Entwicklung oder Lieferung eines Produkts oder einer Dienstleistung an die Regierung bereitgestellt oder für sie erstellt werden.“

Ebene 2: Erweitert. (110 Praktiken) Eine Organisation muss über einen institutionalisierten Managementplan zur Umsetzung guter Cyberhygienepraktiken zum Schutz von CUI verfügen, einschließlich aller Sicherheitsanforderungen und -prozesse von NIST 800-171 r2.

Eine Organisation muss über einen institutionalisierten Managementplan zur Implementierung guter Cyberhygienepraktiken zum Schutz von CUI verfügen, einschließlich aller Sicherheitsanforderungen und -prozesse von NIST 800-171 r2.

Ebene 3: Experte. (110+ Praktiken) Eine Organisation muss standardisierte und optimierte Prozesse sowie zusätzliche verbesserte Praktiken implementiert haben, die die sich ändernden Taktiken, Techniken und Verfahren (TTPs) von Advanced Persistent Threats (APTs) erkennen und darauf reagieren. Bei einem APT handelt es sich um einen Gegner, der über ein hohes Maß an Cyber-Expertise und erhebliche Ressourcen verfügt, um Angriffe von mehreren Vektoren aus durchzuführen. Zu den Funktionen gehört es, über Ressourcen zum Überwachen, Scannen und Verarbeiten von Datenforensik zu verfügen.

Eine Organisation muss über standardisierte und optimierte Prozesse sowie zusätzliche erweiterte Praktiken verfügen, die die sich ändernden Taktiken, Techniken und Verfahren (TTPs) von Advanced Persistent Threats (APTs) erkennen und darauf reagieren. Bei einem APT handelt es sich um einen Gegner, der über ein hohes Maß an Cyber-Expertise und erhebliche Ressourcen verfügt, um Angriffe von mehreren Vektoren aus durchzuführen. Zu den Funktionen gehört es, über Ressourcen zum Überwachen, Scannen und Verarbeiten von Datenforensik zu verfügen.

Fangen Sie jetzt an, um schon bald die Früchte Ihrer Arbeit zu ernten

Ja, die Einhaltung des CMMC ist eine Herausforderung und erfordert erhebliche Anstrengungen, Ressourcen und Engagement seitens der Auftragnehmer, um die strengen Cybersicherheitsanforderungen des Verteidigungsministeriums zu erfüllen.

Sie haben jedoch zahlreiche Optionen:

• Arbeiten Sie mit erfahrenen Anbietern von Cybersicherheitsdiensten zusammen
• Investieren Sie in Schulungen und Sensibilisierungsprogramme für Ihre Mitarbeiter
• Implementieren Sie robuste Cybersicherheitstools und -technologien
• Überwachen und bewerten Sie regelmäßig Ihre Cybersicherheitslage

Erfolgreich im Zeitalter der Cybersicherheitsstandards

Die Einführung von CMMC stellt für Auftragnehmer des Verteidigungsministeriums eine bedeutende Veränderung dar. Der Weg zur Einhaltung der Vorschriften kann zwar eine Herausforderung sein, er ist jedoch notwendig, um vertrauliche Verteidigungsinformationen zu schützen. Wenn Auftragnehmer die Anforderungen verstehen, sich sorgfältig vorbereiten und die richtige Unterstützung suchen, können sie sich in dieser neuen Ära der Cybersicherheitsstandards erfolgreich zurechtfinden und weiterhin um Aufträge des Verteidigungsministeriums konkurrieren.

Es ist eine Reise, bei der wir Ihnen helfen können. Mit unserer Unterstützung können Sie die Herausforderungen von CMMC nicht nur meistern und überwinden, sondern auch die Tür zu neuen Möglichkeiten für Ihr Unternehmen öffnen.

Sind Sie bereit loszulegen? Kontaktieren Sie uns noch heute.

• Rackspace Technology-Lösungen für die öffentliche Verwaltung

Russell.Rodd@Rackspace.com

Weitere Informationen zu den Regierungsangeboten von Rackspace Technology finden Sie unter:

Cloud-Lösungen für die öffentliche Verwaltung | Beispiellose Expertise & Erfahrung (rackspace.com)

Join the Conversation: Find Solve on Twitter and LinkedIn, or follow along via RSS.

Stay on top of what's next in technology

Learn about tech trends, innovations and how technologists are working today.