Bereid u voor op CMMC-handhaving: essentiële stappen om CUI te beveiligen

Het Amerikaanse ministerie van Defensie (DoD) introduceerde begin 2020 het Cybersecurity Maturity Model Certification (CMMC)-programma om de cyberbeveiliging binnen de Defense Industrial Base (DIB) te versterken en ervoor te zorgen dat aannemers die gecontroleerde niet-geklassificeerde informatie (CUI) verwerken voldoen aan strikte normen wat betreft cyberbeveiliging van het National Institute of Standards and Technology (NIST).

Op 10 november 2025 trad de definitieve acquisitieregel van het DoD voor het CMMC-programma officieel in werking. Dit betekent dat DoD-contracten verplichte CMMC-vereisten zullen bevatten die de komende jaren geleidelijk worden ingevoerd.

CMMC heeft drie niveaus en de eisen verschillen per niveau. CMMC niveau 1 heeft 15 controles en is vereist voor contracten met alleen federale contractinformatie (FCI) maar zonder CUI. De aannemer moet een zelfbeoordeling uitvoeren; een beoordeling door een derde partij is niet vereist. CMMC niveau 2 heeft 110 controles en is afgestemd op de NIST SP 800-171-controles. Dit is vereist voor contracten met CUI. Voor veel contracten is een CMMC niveau 2-certificering vereist via een externe beoordeling door een CMMC Third-Party Assessor Organization (C3PAO). Tot slot vereist CMMC niveau 3 24 extra verbeterde beveiligingscontroles en voor alle contracten is een beoordeling door een derde partij vereist.

De nieuwe CMMC-tijdlijn

Het DoD is van plan om CMMC de komende jaren uit te rollen. Dit is wat elke fase betekent voor aannemers die CUI en de huidige tijdlijn afhandelen:

• Fase 1 is al begonnen en aannemers die met CUI werken, moeten zelf beoordelen of zij voldoen aan CMMC niveau 2 om in aanmerking te komen voor DoD-contracten. Het DoD kan in sommige gevallen ook externe audits voor niveau 2 vereisen.
• Fase 2 begint in november 2026 en contracten van niveau 2 vereisen certificering door derden in plaats van alleen zelfbeoordeling.
• Fase 3 begint in november 2027, en 3 certificeringen voor CMMC niveau 3 van derden zijn vereist voor alle nieuwe contracten, tenzij deze worden uitgesteld. Het DoD kan de CMMC niveau 3-vereisten uitstellen tot optieperiodes voor sommige contracten.
• Fase 4 is de laatste fase en begint in november 2028. De CMMC-vereisten zijn van toepassing op alle toepasselijke contracten.

Wat dit nu betekent voor aannemers

Als uw organisatie CUI of FCI verwerkt, zullen toekomstige verzoeken CMMC-vereisten bevatten. Richt u ter voorbereiding op de volgende stappen:

• Verifieer naleving voor clouds: CMMC vereist FedRAMP Moderate (of een equivalent) voor elke cloudservice die CUI opslaat of verwerkt. Organisaties die cloudserviceproviders gebruiken, moeten al hun contracten voor cloudservices evalueren en verifiëren dat de provider een FedRAMP Moderate-certificering heeft.
• Definieer uw CUI-omgeving: Breng in kaart waar CUI zich bevindt en identificeer de systemen, netwerken, applicaties en gebruikers die ermee interageren.
• Bekijk alle 110 niveau 2-controles: Identificeer hiaten, bepaal welke categorieën extra ondersteuning nodig hebben en stel prioriteiten voor herstel. Enkele categorieën van niveau 2 zijn Toegangscontrole (AC), Bewustmaking en training, Controle en verantwoording (AU) en Configuratiebeheer (CM).
• Documenteer alles: Houd het toegangsbeleid, de audits en de configuraties duidelijk bij. Of u nu een zelfbeoordeling uitvoert of zich voorbereidt op een beoordeling door een derde partij, duidelijke documentatie verkort de tijd die nodig is om volledig aan de CMMC-normen te voldoen.

Waarom beheer van geprivilegieerde toegang belangrijk is en hoe Keeper kan helpen

Privileged Access Management (PAM)-oplossingen beheren en beveiligen accounts die toegang hebben tot zeer gevoelige systemen en gegevens, waardoor het risico op cyberaanvallen wordt verminderd. Een PAM-oplossing kan organisaties helpen om aan veel van de CMMC-controles te voldoen, met name die met betrekking tot Toegangscontrole (AC), Identificatie en authenticatie (IA) en Systeem- en communicatiebeveiliging (SC).

Een typisch beveiligingsteam heeft vandaag de dag vaak geen volledig overzicht van de sterkte van het wachtwoordbeleid van de organisatie. Keeper Security Government Cloud (KSGC) maakt een einde aan deze lacune door inzicht te bieden in het hergebruik van wachtwoorden en gecompromitteerde aanmeldingsgegevens, en door organisaties de mogelijkheid te bieden wachtwoordbeleid in te stellen en te controleren. KSGC monitort ook en waarschuwt beheerders voor zwakke punten, waardoor proactieve risicobeheersing mogelijk is voordat cyberincidenten plaatsvinden.

KSGC is FedRAMP High-geautoriseerd, wat het een sterke keuze maakt voor DoD-aannemers die gevoelige informatie moeten beschermen. Keeper helpt bedrijven om te voldoen aan deze veranderende CMMC-controles door belangrijke vereisten op het gebied van wachtwoordbeveiliging en toegangsbeheer aan te pakken, waardoor de last van het aantonen van naleving van CMMC -controles wordt verminderd.

Om organisaties te helpen begrijpen waar Keeper in het CMMC-raamwerk past, heeft Keeper onlangs samengewerkt met een externe CMMC-expert om de mogelijkheden van Keeper te koppelen aan specifieke CMMC-controles. Die expert, Jacob Hill, is de CEO van TekFused, een bedrijf dat Certificeringen voor governance, risico en naleving (GRC) aanbiedt. Hill heeft meer dan 17 jaar ervaring, een masterdiploma in cyberbeveiliging van de WGU en verschillende certificeringen, waaronder CMMC Certified Assessor, CMMC Provisional Instructor, CISSP-ISSEP en CySA+. Hij heeft ook CVE’s gepubliceerd en zijn beveiligingsonderzoek is gepubliceerd door Brian Krebs en Infosecurity Magazine.

*Disclaimer: Als u op de bovenstaande knop klikt, wordt er een bestand naar uw computer gedownload.

Door doelgerichte praktijken op het gebied van cyberbeveiliging, krachtig toegangsbeheer en platforms zoals KSGC te combineren, kunnen aannemers hun paraatheid versnellen, vooroplopen op nalevingsvereisten en zich voorbereiden op DoD-contracten. Vraag vandaag nog een demo aan voor meer informatie.