Settore pubblico 
Zero-trust è un framework di sicurezza informatica basato sul principio "mai fidarsi, verificare sempre", il che significa che ogni utente, dispositivo e sessione deve essere verificato
Pubblicato il Giugno 16, 2026
Cybersecurity Maturity Model Certification (CMMC) è un quadro di riferimento del Dipartimento della difesa (DoD) creato affinché le organizzazioni che gestiscono informazioni federali mantengano controlli adeguati in materia di sicurezza informatica. Sebbene il CMMC sia spesso associato alle agenzie governative e ai contractor della difesa, anche le università di ricerca coinvolte in progetti finanziati dal DoD potrebbero dover proteggere le Controlled Unclassified Information (CUI), come dati di ricerca e specifiche tecniche. Quando le università portano avanti ricerche finanziate dal governo e da sovvenzioni federali, devono rispettare i requisiti più recenti per mantenere l’idoneità e proteggere i dati sensibili. Le università di ricerca possono prepararsi alla conformità CMMC livello 2 identificando dove risiedono le CUI, rafforzando i controlli di accesso e implementando le misure di sicurezza necessarie per proteggere i dati sensibili.
Continua a leggere per saperne di più sul CMMC livello 2, perché è importante per le università di ricerca e come Keeper supporta la conformità CMMC.
Cos’è il CMMC livello 2?
Il CMMC prevede diversi livelli di certificazione; tuttavia, gli enti coinvolti in attività di ricerca finanziate dal Dipartimento della difesa degli Stati Uniti (DoD) hanno maggiori probabilità di dover soddisfare i requisiti del CMMC livello 2. Il livello 2 CMMC si applica alle organizzazioni che archiviano, elaborano o condividono CUI per garantire che le informazioni sensibili del governo siano protette da potenziali minacce informatiche e accessi non autorizzati. Il CMMC livello 2 è in linea con i controlli di sicurezza delineati nella Pubblicazione speciale 800-171 del National Institute of Standards and Technology (NIST), un quadro progettato per aiutare le organizzazioni non federali a proteggere le CUI. I suoi 110 controlli di sicurezza coprono una serie di pratiche di sicurezza informatica, tra cui controllo degli accessi, autenticazione, risposta agli incidenti e integrità dei dati.
Perché il CMMC livello 2 è importante per le università di ricerca
Le agenzie governative stanno adottando principi di sicurezza zero-trust, poiché le minacce informatiche che le colpiscono continuano ad aumentare, ma i requisiti CMMC non sono riservati esclusivamente ai tradizionali contractor della difesa. Per le università di ricerca, il livello 2 del CMMC è particolarmente importante perché molti progetti di ricerca finanziati dal governo coinvolgono dati sensibili, risultati di ricerca, risultati di test e altre forme di CUI. Raggiungere il livello 2 del CMMC richiede che le istituzioni dimostrino di aver predisposto adeguati controlli di sicurezza per proteggere le CUI durante tutto il loro ciclo di vita.
La norma che impone la certificazione CMMC nei contratti del Dipartimento della difesa (48 CFR) è entrata in vigore il 10 novembre 2025, e ora i contratti del Dipartimento della difesa prevedono il rispetto dei requisiti CMMC secondo un calendario graduale. Durante la prima fase, la maggior parte dei requisiti assume la forma di un’autovalutazione di livello 1 o livello 2, anche se alcuni contratti richiedono già la certificazione di livello 2 tramite un’organizzazione di valutazione di terze parti CMMC (C3PAO). A partire dal 10 novembre 2026, entreranno in vigore i requisiti generali per la certificazione C3PAO livello 2. I requisiti specifici dipendono dai dettagli del contratto e dalle informazioni gestite. Le università di ricerca coinvolte in progetti attuali o futuri finanziati dal Dipartimento della difesa dovrebbero valutare subito il proprio livello di sicurezza per prepararsi.
Cosa dovrebbero fare le università di ricerca per la conformità CMMC
Per prepararsi alla conformità al livello 2 del CMMC, le università di ricerca devono capire dove si trovano le informazioni CUI all’interno dei propri ambienti, valutare gli attuali controlli di sicurezza e portare avanti iniziative continue per garantire la conformità. Un approccio proattivo alla conformità CMMC livello 2 può aiutare le istituzioni a identificare tempestivamente le lacune di sicurezza e a sviluppare una base più solida per la protezione dei dati sensibili.
Identifica la posizioni delle CUI
Prima di implementare i controlli di sicurezza, le università di ricerca devono capire dove vengono archiviate ed elaborate le CUI all’interno dell’organizzazione. Le CUI possono esistere in database di ricerca, sistemi di laboratorio, piattaforme cloud e dispositivi utilizzati da docenti e ricercatori. Poiché le università spesso operano tra vari dipartimenti e programmi, può essere difficile mantenere piena visibilità delle informazioni sensibili. In molti casi, le informazioni CUI possono trovarsi al di fuori degli ambienti di ricerca dedicati, ad esempio nei messaggi e-mail, nelle unità di rete condivise o nei dispositivi di proprietà dei docenti. Individuare queste fonti di dati è un primo passo importante per determinare quali utenti e sistemi debbano essere soggetti a ulteriori controlli di sicurezza.
Esegui una valutazione approfondita delle lacune di sicurezza
Una volta identificate le CUI, le università di ricerca dovrebbero valutare come le loro attuali pratiche di sicurezza si confrontano con i requisiti delineati nel NIST SP 800-171. Questo dovrebbe includere la revisione dei controlli di accesso esistenti, delle capacità di monitoraggio, dei piani di risposta agli incidenti e dei processi di audit. Le università dovrebbero inoltre fare un inventario degli account privilegiati e rivedere le autorizzazioni per determinare se l’accesso va oltre quanto necessario per i ruoli degli utenti. Sebbene molte istituzioni dispongano già di misure di sicurezza, tali controlli potrebbero non essere implementati in modo coerente tra i reparti e i programmi.
Implementa ambienti di ricerca sicuri
Gli ambienti di ricerca dovrebbero essere creati per limitare l’accesso alle CUI solo agli utenti e ai sistemi autorizzati. Limitare l’accesso riduce l’esposizione ai dati e aiuta a prevenire la divulgazione non autorizzata di informazioni sensibili. Le soluzioni di gestione delle identità e degli accessi (IAM) possono aiutare le università ad applicare il principio del minimo privilegio, garantendo che gli utenti dispongano solo delle autorizzazioni necessarie per svolgere il proprio lavoro. Gli istituti dovrebbero inoltre imporre l’autenticazione a più fattori (MFA) per tutti gli account che accedono ai sistemi che contengono CUI, compresi gli ambienti di accesso remoto. Controlli rigorosi di identità e accesso contribuiscono a ridurre al minimo le minacce interne e a soddisfare i requisiti CMMC livello 2 relativi all’identificazione e all’autenticazione.
Documenta SSP e POAM
Il mantenimento di piani di sicurezza del sistema (SSP) e piani d’azione e traguardi (POAM) accurati può semplificare le valutazioni future e dimostrare la conformità ai requisiti CMMC livello 2. Un SSP documenta i controlli di sicurezza di un’organizzazione e definisce come vengono implementati e gestiti. Un POAM identifica le lacune di sicurezza e le azioni necessarie per colmarle. Le università dovrebbero considerare questa documentazione come un processo continuo, e non un esercizio una tantum, per garantire che le informazioni rimangano accurate man mano che sistemi e ambienti di ricerca cambiano nel tempo.
Preparati agli audit condotti dai C3PAO
Le università di ricerca che intendono ottenere la certificazione CMMC livello 2 potrebbero doversi sottoporre a valutazioni condotte da C3PAO. Prepararsi a queste valutazioni richiede non solo l’implementazione dei controlli di sicurezza, ma anche la dimostrazione che tali controlli funzionano correttamente. Le istituzioni devono disporre di prove che convalidino le proprie pratiche di sicurezza, inclusi audit trail dettagliati, voci di accesso, politiche di sicurezza e documenti che comprovino la formazione erogata. Raccogliere queste informazioni in anticipo può aiutare a snellire il processo di valutazione e a ridurre il carico di lavoro legato alla preparazione delle revisioni formali.
Come Keeper® supporta la conformità a CMMC 2.0
Le organizzazioni che gestiscono CUI hanno bisogno di controlli di accesso validi, piena visibilità sull’attività degli utenti e la capacità di dimostrare che i controlli di sicurezza funzionano efficacemente. Il raggiungimento della conformità CMMC livello 2 richiede una combinazione di persone, tecnologia e processi, e Keeper Security Government Cloud (KSGC) aiuta le organizzazioni a proteggere le CUI e a migliorare svariati controlli di sicurezza che supportano le iniziative di preparazione CMMC. In quanto piattaforma certificata FedRAMP High, Keeper offre alle università di ricerca gli strumenti necessari per proteggere le informazioni sensibili, controllare gli accessi privilegiati e garantire una visibilità completa e pronta per gli audit in tutti gli ambienti.
KSGC aiuta le università di ricerca a supportare la preparazione al CMMC 2.0 consentendo loro di:
- Proteggere le credenziali e i dati sensibili in un’architettura zero-knowledge (SC.L2-3.13.11, SC.L2-3.13.16, IA.L2-3.5.10): proteggi password, credenziali relative alla ricerca e informazioni sensibili in cassaforti crittografate.
- Far rispettare i controlli di accesso basati sul ruolo (RBAC) (AC. L2-3.1.2, AC. L2-3.1.4, AC. L2-3.1.5): limita l’accesso a sistemi e dati in base alle responsabilità dell’utente, riducendo l’esposizione inutile delle CUI.
- Rafforzare l’autenticazione con MFA (IA.L2-3.5.3, IA.L2-3.5.4): migliora la sicurezza degli account richiedendo ulteriori fattori di verifica per gli utenti che accedono a sistemi che contengono informazioni sensibili.
- Monitorare e registrare le sessioni privilegiate (AU. L2-3.3.1, AU. L2-3.3.2): ottieni visibilità sulle attività privilegiate attraverso funzionalità di monitoraggio e registrazione delle sessioni che supportano la responsabilità e le indagini sulla sicurezza.
- Generare report pronti per la verifica (AU.L2-3.3.6): mantieni report di conformità accurati con voci sull’attività degli utenti, gli accessi e i controlli di sicurezza, semplificando così la preparazione degli audit.
- Implementare principi di sicurezza zero-trust (SC.L2-3.13.1, SC.L2-3.13.6):verifica tutti gli utenti e dispositivi prima di concedere l’accesso, eliminando la fiducia implicita tra ambienti di ricerca on-premise, ibridi e cloud.
Prepara la conformità CMMC Level 2 con Keeper
Man mano che le università di ricerca continuano a partecipare a progetti finanziati dal Dipartimento della difesa (DoD), la conformità ai requisiti CMMC diventa sempre più fondamentale per proteggere le informazioni sensibili e mantenere l’idoneità a future opportunità di ricerca. Dato che il CMMC livello 2 si concentra specificamente sulla protezione delle CUI, le istituzioni dovrebbero iniziare a valutare il proprio stato di sicurezza il prima possibile, invece di aspettare che la conformità diventi obbligatoria. Richiedi oggi stesso una dimostrazione per scoprire come KSGC può aiutare la tua istituzione a rafforzare i controlli di accesso, proteggere le CUI e supportare la preparazione CMMC livello 2.
