Publieke sector 
Zero-trust is een raamwerk voor cyberbeveiliging dat is gebaseerd op het principe van ‘nooit vertrouwen, altijd controleren’, wat inhoudt dat elke gebruiker, elk apparaat en elke
Gepubliceerd op juni 16, 2026
De Cybersecurity Maturity Model Certification (CMMC) is een raamwerk van het Amerikaanse Ministerie van Defensie (DoD) dat is ontwikkeld om ervoor te zorgen dat organisaties die federale informatie verwerken, adequate cyberbeveiligingsmaatregelen hanteren. Hoewel CMMC vaak wordt geassocieerd met overheidsinstanties en defensie-aannemers, moeten onderzoeksuniversiteiten die betrokken zijn bij door het DoD gefinancierde projecten mogelijk ook Controlled Unclassified Information (CUI, gereguleerde niet-vertrouwelijke informatie), zoals onderzoeksgegevens en technische specificaties beschermen. Wanneer universiteiten door de overheid gefinancierd onderzoek en federale subsidies willen, moeten zij voldoen aan de meest recente vereisten om in aanmerking te blijven komen en gevoelige gegevens beschermen. Onderzoeksuniversiteiten kunnen zich voorbereiden op CMMC Level 2-compliance door te identificeren waar CUI zich bevindt, toegangscontroles te verbeteren en de beveiligingsmaatregelen te implementeren die nodig zijn om gevoelige gegevens te beschermen.
Lees verder om meer te weten te komen over CMMC Level 2, waarom het belangrijk is voor onderzoeksuniversiteiten en hoe Keeper CMMC-naleving ondersteunt.
Wat is CMMC Level 2?
CMMC omvat meerdere certificeringsniveaus. Instellingen die betrokken zijn bij door het DoD gefinancierd onderzoek zullen echter waarschijnlijk te maken krijgen met de eisen van CMMC Level 2. CMMC Level 2 is van toepassing op organisaties die CUI opslaan, verwerken of delen om ervoor te zorgen dat gevoelige overheidsinformatie beschermd is tegen potentiële cyberdreigingen en ongeautoriseerde toegang. CMMC Level 2 sluit aan bij de beveiligingsmaatregelen zoals beschreven in de National Institute of Standards and Technology (NIST) Special Publication 800-171, een kader dat is ontworpen om niet-federale organisaties te helpen CUI te beschermen. De 110 beveiligingsmaatregelen bestrijken een scala aan cyberbeveiligingspraktijken, waaronder toegangscontrole, verificatie, incidentrespons en gegevensintegriteit.
Waarom CMMC Level 2 belangrijk is voor onderzoeksuniversiteiten
Overheidsinstanties nemen zero-trust beveiligingsprincipes over, nu op hen gerichte cyberdreigingen blijven toenemen, maar de CMMC-vereisten zijn niet uitsluitend voorbehouden aan traditionele defensieaannemers. Voor onderzoeksuniversiteiten is CMMC Level 2 bijzonder belangrijk, omdat veel door de overheid gefinancierde onderzoeksprojecten gevoelige gegevens, onderzoeksbevindingen, testresultaten en andere vormen van CUI bevatten. Het behalen van CMMC Level 2 vereist dat instellingen aantonen dat er voldoende beveiligingsmaatregelen zijn om CUI gedurende de hele levenscyclus te beschermen.
De handhavingsregel die CMMC in DoD-contractevereist (48 CFR) is op 10 november 2025 van kracht geworden en DoD-contracten bevatten nu CMMC-vereisten volgens een gefaseerd schema. Tijdens de eerste fase nemen de meeste vereisten de vorm aan van een Level 1 of 2 zelfbeoordeling, hoewel sommige contracten reeds Level 2 certificering vereisen via een gecertificeerde externe beoordelingsorganisatie (C3PAO). Vanaf 10 november 2026 treden de uitgebreide vereisten voor Level 2 C3PAO-certificering in werking. De specifieke vereisten hangen af van de contractdetails en de te verwerken informatie. Onderzoeksuniversiteiten die betrokken zijn bij lopende of toekomstige door het DoD gefinancierde projecten, zouden hun beveiligingspositie nu moeten beoordelen om zich voor te bereiden.
Wat onderzoeksuniversiteiten moeten doen voor CMMC-naleving
Om zich voor te bereiden op naleving van CMMC Level 2 moeten onderzoeksuniversiteiten begrijpen waar in hun omgeving CUI zich bevindt, de huidige beveiligingsmaatregelen evalueren en de lopende nalevingsinspanningen ondersteunen. Door proactief te zijn ten aanzien van naleving van CMMC Level 2 kunnen instellingen hiaten in de beveiliging vroegtijdig identificeren en een sterkere basis leggen voor de bescherming van gevoelige gegevens.
Identificeer waar CUI zich bevindt
Alvorens beveiligingsmaatregelen in te voeren, moeten onderzoeksuniversiteiten inzicht hebben in waar CUI binnen de organisatie wordt opgeslagen en verwerkt. CUI kan bestaan in onderzoeksdatabases, laboratoriumsystemen, cloudplatforms en apparaten die door docenten en onderzoekers worden gebruikt. Omdat universiteiten vaak opereren via meerdere afdelingen en programma’s, kan het een uitdaging zijn om volledig zicht te houden op gevoelige informatie. In veel gevallen kan CUI ook buiten specifieke onderzoeksomgevingen voorkomen, bijvoorbeeld in e-mailberichten, op gedeelde schijven of op apparaten die eigendom zijn van docenten. Het identificeren van deze gegevensbronnen is een belangrijke eerste stap om te bepalen welke gebruikers en systemen aan extra beveiligingscontroles onderworpen moeten worden.
Voer een grondige beoordeling van beveiligingshiaten uit
Nadat CUI is geïdentificeerd, moeten onderzoeksuniversiteiten evalueren hoe hun huidige beveiligingspraktijken zich verhouden tot de vereisten van NIST SP 800-171. Dit moet onder meer een evaluatie omvatten van de bestaande toegangscontroles, monitoringmogelijkheden, incidentresponsplannen en auditprocessen. Universiteiten zouden ook gepriviligeerde accounts moeten inventariseren en hun machtigingen moeten herzien om te bepalen of toegang verder reikt dan wat nodig is voor de rollen van gebruikers. Hoewel veel instellingen al beveiligingsmaatregelen hebben genomen, worden deze controles mogelijk niet consistent geïmplementeerd in alle afdelingen en programma’s.
Implementeer veilige onderzoeksomgevingen
Onderzoeksomgevingen moeten zo worden ingericht dat de toegang tot CUI beperkt blijft tot alleen geautoriseerde gebruikers en systemen. Door de toegang te beperken, vermindert u de blootstelling van gegevens en helpt u om ongeoorloofde bekendmaking van gevoelige informatie te voorkomen. Identity and Access Management-oplossingen (IAM) kunnen universiteiten helpen om toegang met minimale privileges af te dwingen door ervoor te zorgen dat gebruikers alleen de toegangsmachtigingen hebben die nodig zijn om hun werkzaamheden te verrichten. Instellingen zouden ook meerledige verificatie (MFA) verplicht moeten stellen voor alle accounts die toegang hebben tot systemen die CUI bevatten, waaronder omgevingen voor toegang op afstand. Sterke identiteits- en toegangscontroles helpen interne dreigingen te minimaliseren en ondersteunen de CMMC Level 2-vereisten met betrekking tot identificatie en verificatie.
Documenteer SSP’s en POAM’s
Het bijhouden van nauwkeurige systeembeveiligingsplannen (System Security Plans, SSP’s) en actieplannen en mijlpalen (Plans of Action and Milestones, POAM’s) kan toekomstige beoordelingen vereenvoudigen en aantonen dat ze voldoen aan de CMMC Level 2-vereisten. Een SSP documenteert de beveiligingsmaatregelen van een organisatie en definieert hoe deze worden geïmplementeerd en beheerd. Een POAM identificeert beveiligingshiaten en de acties die nodig zijn om deze aan te pakken. Universiteiten zouden deze documentatie als een doorlopend proces moeten beschouwen in plaats van als een eenmalige oefening, om ervoor te zorgen dat de informatie accuraat blijft naarmate systemen en onderzoeksomgevingen in de loop van de tijd veranderen.
Bereid u voor op audits door C3PAO’s
Onderzoeksuniversiteiten die CMMC Level 2-certificering nastreven, kunnen worden verplicht om beoordelingen door C3PAO’s te ondergaan. De voorbereiding op deze beoordelingen vereist niet alleen het implementeren van beveiligingsmaatregelen, maar ook het aantonen dat die maatregelen naar behoren functioneren. Instellingen dienen bewijs te bewaren dat hun beveiligingspraktijken ondersteunt, waaronder gedetailleerde auditsporen, toegangsgegevens, beveiligingsbeleid en trainingsdocumenten. Het vooraf verzamelen van deze informatie kan u helpen het beoordelingsproces te stroomlijnen en de last van de voorbereiding op formele beoordelingen te verminderen.
Hoe Keeper® CMMC 2.0-gereedheid ondersteunt
Organisaties die met CUI werken, hebben behoefte aan strenge toegangscontroles, volledig inzicht in de activiteiten van gebruikers en de mogelijkheid om aan te tonen dat de beveiliging doeltreffend functioneert. Het behalen van CMMC Level 2-conformiteit vereist een combinatie van mensen, technologie en processen en Keeper Security Government Cloud (KSGC) helpt organisaties CUI te beveiligen en diverse beveiligingsmaatregelen te verbeteren die de CMMC-gereedheid ondersteunen. Als FedRAMP High Certified-platform biedt Keeper onderzoeksuniversiteiten de tools die nodig zijn om gevoelige informatie te beschermen, gepriviligeerde toegang te beheren en auditklare zichtbaarheid te behouden in alle omgevingen.
KSGC helpt onderzoeksuniversiteiten bij de voorbereiding op CMMC 2.0 door hen in staat te stellen tot:
- Beveiligen van aanmeldingsgegevens en gevoelige gegevens in een zero-knowledge architectuur (SC.L2-3.13.11, SC.L2-3.13.16, IA.L2-3.5.10): bescherm wachtwoorden, onderzoeksgerelateerde aanmeldingsgegevens en gevoelige informatie in versleutelde kleuzen.
- Handhaven van toegangscontroles op basis van rollen (RBAC) (AC.L2-3.1.2, AC.L2-3.1.4, AC.L2-3.1.5): beperk de toegang tot systemen en gegevens op basis van gebruikersverantwoordelijkheden, waardoor onnodige blootstelling van CUI wordt verminderd.
- Versterken van verificatie met MFA (IA.L2-3.5.3, IA.L2-3.5.4): verbeter de accountbeveiliging door extra verificatiestappen te vereisen voor gebruikers die toegang hebben tot systemen die gevoelige informatie bevatten.
- Gepriviligeerde sessies bewaken en registreren (AU.L2-3.3.1, AU.L2-3.3.2): krijg inzicht in activiteiten met gepriviligeerde toegang via sessiebewaking en -registratie die verantwoording en beveiligingsonderzoeken ondersteunen.
- Auditklare rapporten genereren (AU.L2-3.3.6): zorg voor grondige nalevingsrapporten die gebruikersactiviteit, toegang en beveiligingscontroles registreren, wat kan helpen bij het stroomlijnen van de auditvoorbereiding.
- Implementeren van zero-trust beveiligingsprincipes (SC.L2-3.13.1, SC.L2-3.13.6): verifieer alle gebruikers en apparaten voordat u toegang verleent en elimineer impliciet vertrouwen in onderzoeksomgevingen op locatie, hybride omgevingen en in de cloud.
Bereid u voor op naleving van CMMC Level 2 met Keeper
Naarmate onderzoeksuniversiteiten steeds meer betrokken raken bij door DoD gefinancierd onderzoek, wordt CMMC-naleving een steeds crucialer onderdeel van de bescherming van gevoelige informatie en het in aanmerking blijven komen voor toekomstige onderzoekskansen. Aangezien CMMC Level 2 zich specifiek richt op de bescherming van CUI, zouden instellingen zo snel mogelijk hun beveiliging moeten beoordelen in plaats van te wachten tot naleving verplicht wordt. Vraag vandaag nog een demo aan om te ontdekken hoe KSGC uw instelling kan helpen toegangscontroles te versterken, CUI te beveiligen en de gereedheid voor CMMC Level 2 te ondersteunen.
