Sektor publiczny 
Zero-trust to model cyberbezpieczeństwa oparty na zasadzie „nigdy nie ufaj, zawsze weryfikuj”, co oznacza, że każdy użytkownik, każde urządzenie i każda sesja muszą być nieustannie weryfikowane,
Publikowany w dniu 16 czerwca, 2026
Cybersecurity Maturity Model Certification (CMMC) to opracowane przez Departament Obrony (DoD) ramy mające na celu zapewnienie, że organizacje przetwarzające informacje federalne utrzymują odpowiednie mechanizmy cyberbezpieczeństwa. Choć CMMC jest najczęściej kojarzony z agencjami rządowymi i wykonawcami sektora obronnego, uniwersytety badawcze uczestniczące w projektach finansowanych przez DoD również mogą być zobowiązane do ochrony informacji niejawnych nieobjętych klauzulą tajności (CUI), takich jak dane badawcze i specyfikacje techniczne. W miarę realizacji badań finansowanych ze środków publicznych oraz pozyskiwania grantów federalnych uczelnie muszą spełniać najnowsze wymagania, aby zachować uprawnienia do udziału w takich projektach i chronić dane wrażliwe. Uniwersytety badawcze mogą przygotować się do zgodności z wymaganiami CMMC Poziom 2 poprzez identyfikację lokalizacji przechowywania informacji CUI, wzmocnienie mechanizmów kontroli dostępu oraz wdrożenie środków bezpieczeństwa niezbędnych do ochrony danych wrażliwych.
Czytaj dalej, aby dowiedzieć się więcej o CMMC Poziom 2, znaczeniu tego standardu dla uniwersytetów badawczych oraz o tym, jak Keeper wspiera zgodność z wymaganiami CMMC.
Czym jest CMMC Poziom 2?
CMMC obejmuje wiele poziomów certyfikacji; jednak instytucje zaangażowane w badania finansowane przez DoD najprawdopodobniej będą musiały spełnić wymagania CMMC poziomu 2. CMMC Poziom 2 dotyczy organizacji, które przechowują, przetwarzają lub udostępniają CUI, aby zapewnić ochronę wrażliwych informacji rządowych przed potencjalnymi zagrożeniami cybernetycznymi i nieautoryzowanym dostępem. Poziom 2 CMMC jest zgodny z kontrolami bezpieczeństwa określonymi w specjalnej publikacji Narodowego Instytutu Standardów i Technologii (NIST) 800-171, ramy zaprojektowane, aby pomóc organizacjom niefederalnym chronić CUI. Jego 110 mechanizmów bezpieczeństwa obejmuje szeroki zakres praktyk z obszaru cyberbezpieczeństwa, w tym kontrolę dostępu, uwierzytelnianie, reagowanie na incydenty oraz integralność danych.
Dlaczego CMMC Poziom 2 jest ważny dla uniwersytetów badawczych
Agencje rządowe wdrażają zasady bezpieczeństwa zero-trust, ponieważ liczba cyberzagrożeń wymierzonych w te podmioty stale rośnie, jednak wymagania CMMC nie są przeznaczone wyłącznie dla tradycyjnych wykonawców sektora obronnego. Dla uniwersytetów badawczych CMMC Poziom 2 ma szczególne znaczenie, ponieważ wiele projektów badawczych finansowanych przez administrację publiczną obejmuje dane wrażliwe, wyniki badań, wyniki testów oraz inne rodzaje informacji CUI. Osiągnięcie zgodności z wymaganiami CMMC Poziom 2 wymaga wykazania, że wdrożono odpowiednie mechanizmy bezpieczeństwa chroniące informacje CUI przez cały ich cykl życia.
Przepis wykonawczy wprowadzający wymóg stosowania CMMC w umowach zawieranych przez DoD (48 CFR) wszedł w życie 10 listopada 2025 r., a obecnie wymagania CMMC są wdrażane do kontraktów DoD etapowo. W pierwszej fazie większość wymagań przyjmuje formę samooceny na poziomie Poziom 1 lub Poziom 2, choć niektóre umowy już teraz wymagają certyfikacji Poziom 2 przeprowadzonej przez Certified Third-Party Assessment Organization (C3PAO). Od 10 listopada 2026 r. zaczną obowiązywać szeroko zakrojone wymogi certyfikacji Poziom 2 przeprowadzanej przez C3PAO. Szczegółowe wymagania zależą od warunków konkretnej umowy oraz rodzaju przetwarzanych informacji. Uniwersytety badawcze uczestniczące obecnie lub planujące udział w projektach finansowanych przez DoD powinny już teraz ocenić swój poziom bezpieczeństwa i rozpocząć przygotowania.
Co uniwersytety badawcze powinny zrobić, aby spełnić wymagania CMMC
Przygotowanie do zgodności z wymaganiami CMMC Poziom 2 wymaga od uniwersytetów badawczych ustalenia, gdzie w ich środowiskach znajdują się informacje CUI, oceny obecnych mechanizmów bezpieczeństwa oraz wspierania ciągłych działań związanych z utrzymaniem zgodności. Proaktywne podejście do zgodności z wymaganiami CMMC Poziom 2 może pomóc instytucjom wcześniej wykryć luki bezpieczeństwa i stworzyć solidniejsze podstawy ochrony danych wrażliwych.
Zidentyfikuj miejsca przechowywania informacji CUI
Przed wdrożeniem mechanizmów bezpieczeństwa uniwersytety badawcze muszą ustalić, gdzie w organizacji przechowywane i przetwarzane są informacje CUI. Informacje CUI mogą znajdować się w bazach danych projektów badawczych, systemach laboratoryjnych, platformach chmurowych oraz urządzeniach wykorzystywanych przez kadrę naukową i badaczy. Ponieważ uczelnie często działają w ramach wielu wydziałów i programów, utrzymanie pełnej widoczności danych wrażliwych może być wyzwaniem. W wielu przypadkach informacje CUI mogą znajdować się poza dedykowanymi środowiskami badawczymi, między innymi w wiadomościach e-mail, na współdzielonych dyskach lub na urządzeniach należących do pracowników naukowych. Zidentyfikowanie tych źródeł danych stanowi ważny pierwszy krok do określenia, którzy użytkownicy i które systemy powinny zostać objęte dodatkowymi mechanizmami bezpieczeństwa.
Przeprowadź szczegółową ocenę luk bezpieczeństwa
Po zidentyfikowaniu informacji CUI uniwersytety badawcze powinny ocenić, w jakim stopniu ich obecne praktyki bezpieczeństwa spełniają wymagania określone w normie NIST SP 800-171. Ocena ta powinna obejmować przegląd istniejących mechanizmów kontroli dostępu, możliwości monitorowania, planów reagowania na incydenty oraz procesów audytowych. Uniwersytety powinny również przeprowadzić inwentaryzację kont uprzywilejowanych oraz zweryfikować przypisane im uprawnienia, aby ustalić, czy zakres dostępu nie wykracza poza to, co jest niezbędne do wykonywania obowiązków związanych z rolami użytkowników. Chociaż wiele instytucji posiada już wdrożone środki bezpieczeństwa, mogą one nie być stosowane w sposób spójny we wszystkich wydziałach i programach.
Wdrażaj bezpieczne środowiska badawcze
Środowiska badawcze powinny być projektowane w sposób ograniczający dostęp do informacji CUI wyłącznie do upoważnionych użytkowników i systemów. Ograniczenie dostępu zmniejsza ekspozycję danych i pomaga zapobiegać nieuprawnionemu ujawnianiu informacji wrażliwych. Rozwiązania z zakresu zarządzania tożsamością i dostępem (IAM) mogą pomóc uniwersytetom egzekwować zasadę najmniejszych uprawnień poprzez zapewnienie użytkownikom wyłącznie tych uprawnień, które są niezbędne do wykonywania ich obowiązków. Instytucje powinny również wymagać stosowania uwierzytelniania wieloskładnikowego (MFA) dla wszystkich kont uzyskujących dostęp do systemów zawierających informacje CUI, w tym do środowisk dostępu zdalnego. Silne mechanizmy zarządzania tożsamością i dostępem pomagają ograniczać zagrożenia wewnętrzne oraz wspierają spełnienie wymagań CMMC Poziom 2 dotyczących identyfikacji i uwierzytelniania.
Dokumentuj SSP i POAM
Utrzymywanie aktualnych Planów bezpieczeństwa systemu (System Security Plans – SSP) oraz Planów działań i kamieni milowych (Plans of Action and Milestones – POAM) może uprościć przyszłe oceny i pomóc wykazać zgodność z wymaganiami CMMC Poziom 2. SSP dokumentuje mechanizmy bezpieczeństwa organizacji oraz określa sposób ich wdrażania i zarządzania nimi. POAM identyfikuje luki bezpieczeństwa oraz działania niezbędne do ich usunięcia. Uniwersytety powinny traktować prowadzenie tej dokumentacji jako proces ciągły, a nie jednorazowe działanie, aby zapewnić aktualność informacji wraz ze zmianami zachodzącymi w systemach i środowiskach badawczych.
Przygotuj się do audytów przeprowadzanych przez C3PAO
Uniwersytety badawcze ubiegające się o certyfikację CMMC Poziom 2 mogą być zobowiązane do poddania się ocenom przeprowadzanym przez organizacje C3PAO. Przygotowanie do takich ocen wymaga nie tylko wdrożenia mechanizmów bezpieczeństwa, ale również wykazania, że działają one prawidłowo. Instytucje powinny gromadzić dowody potwierdzające stosowanie praktyk bezpieczeństwa, w tym szczegółowe ścieżki audytu, rejestry dostępu, polityki bezpieczeństwa oraz dokumentację szkoleń. Zebranie tych informacji z wyprzedzeniem może usprawnić proces oceny i ograniczyć nakład pracy związany z przygotowaniem do formalnych przeglądów.
Jak Keeper® wspiera gotowość do spełnienia wymagań CMMC 2.0
Organizacje przetwarzające informacje CUI potrzebują skutecznych mechanizmów kontroli dostępu, pełnej widoczności aktywności użytkowników oraz możliwości wykazania, że mechanizmy bezpieczeństwa działają skutecznie. Osiągnięcie zgodności z wymaganiami CMMC Poziom 2 wymaga połączenia odpowiednich zasobów ludzkich, technologii i procesów, a Keeper Security Government Cloud (KSGC) pomaga organizacjom zabezpieczać informacje CUI oraz wzmacniać liczne mechanizmy bezpieczeństwa wspierające działania na rzecz zgodności z wymaganiami CMMC. Jako platforma posiadająca certyfikację FedRAMP High, Keeper zapewnia uniwersytetom badawczym narzędzia niezbędne do ochrony informacji wrażliwych, kontrolowania dostępu uprzywilejowanego oraz utrzymywania widoczności gotowej do audytu w całym środowisku.
KSGC pomaga uniwersytetom badawczym przygotować się do spełnienia wymagań CMMC 2.0, umożliwiając:
- Zabezpieczenie danych uwierzytelniających i poufnych informacji w architekturze zero-knowledge (SC.L2-3.13.11, SC.L2-3.13.16, IA.L2-3.5.10): Chroń hasła, dane uwierzytelniające związane z badaniami oraz poufne informacje w zaszyfrowanym sejfie.
- Wymuszanie kontroli dostępu opartej na rolach (RBAC) (AC.L2-3.1.2, AC.L2-3.1.4, AC.L2-3.1.5): Ograniczaj dostęp do systemów i danych na podstawie zakresu odpowiedzialności użytkownika, redukując niepotrzebne narażenie CUI.
- Wzmocnienie uwierzytelniania za pomocą MFA (IA.L2-3.5.3, IA.L2-3.5.4): Zwiększ bezpieczeństwo konta, wymagając dodatkowych czynników weryfikacji od użytkowników uzyskujących dostęp do systemów zawierających poufne informacje.
- Monitorowanie i rejestrowanie uprzywilejowanych sesji (AU.L2-3.3.1, AU.L2-3.3.2): Uzyskuj wgląd w uprzywilejowaną aktywność dzięki monitorowaniu i rejestrowaniu sesji, które wspierają rozliczalność i dochodzenia w zakresie bezpieczeństwa.
- Generowanie raportów gotowych do audytu (AU.L2-3.3.6): Utrzymuj dokładne raporty zgodności, które rejestrują aktywność użytkowników, kontrolę dostępu i zabezpieczeń, co może pomóc w usprawnieniu przygotowania audytu.
- Wdrożenie zasad bezpieczeństwa typu zero-trust (SC.L2-3.13.1, SC.L2-3.13.6):Weryfikuj wszystkich użytkowników i urządzenia przed przyznaniem dostępu, eliminując jednocześnie ukryte zaufanie w środowiskach badawczych lokalnych, hybrydowych i chmurowych.
Przygotuj się do zgodności z wymaganiami CMMC Poziom 2 z Keeper
W miarę jak uniwersytety badawcze coraz częściej angażują się w projekty finansowane przez DoD, zgodność z wymaganiami CMMC staje się coraz ważniejszym elementem ochrony informacji wrażliwych oraz zachowania kwalifikowalności do udziału w przyszłych projektach badawczych. Ponieważ poziom 2 CMMC koncentruje się konkretnie na ochronie CUI, instytucje powinny rozpocząć ocenę swojego stanu bezpieczeństwa jak najszybciej, a nie czekać, aż zgodność z przepisami stanie się obowiązkowa. Warto już dziś poprosić o demonstrację, aby dowiedzieć się, w jaki sposób KSGC może pomóc Państwa instytucji wzmocnić kontrolę dostępu, zabezpieczyć CUI i wesprzeć gotowość CMMC Poziom 2.
