CMMC vs. ITAR: Müssen Verteidigungsunternehmer sich an eines oder beide halten?

CMMC vs. ITAR: Müssen Verteidigungsunternehmer sich an eines oder beide halten?

Im Verteidigungsvertragswesen ist die Einhaltung von Vorschriften ein entscheidender Teil des Geschäfts. Die Cybersecurity Maturity Model Certification (CMMC) 2.0 und die International Traffic in Arms Regulations (ITAR) sind wichtige regulatorische Rahmenwerke, die die Branche beeinflussen. Diese Vorschriften dienen dem Schutz sensibler Informationen und der nationalen Sicherheit, müssen jedoch für Verteidigungsunternehmen, die versuchen zu verstehen, welches Framework für ihre Operationen gilt, klargestellt werden. Dieser Blogbeitrag bietet einen Überblick über CMMC 2.0 und ITAR und vergleicht ihre grundlegenden Unterschiede und Anleitungen, welche Verteidigungsunternehmen sich an eines oder beide halten müssen.

CMMC 2.0: Ein Überblick

Die Cybersecurity Maturity Model Certification oder CMMC ist ein vereinheitlichter Cybersicherheitsstandard, der vom Verteidigungsministerium der Vereinigten Staaten (DoD) entwickelt wurde, um die Sicherheit sensibler Informationen innerhalb der Defense Industrial Base (DIB) zu gewährleisten. Die Einhaltung der CMMC ist für alle Verteidigungsunternehmen erforderlich, die mit dem DoD zusammenarbeiten und kontrollierte, nicht klassifizierte Informationen (CUI) behandeln. Diese Informationen können technische Daten, Forschungs- und Ingenieurdaten oder andere sensible, aber nicht klassifizierte Daten im Zusammenhang mit Verteidigungsoperationen enthalten.

Im November 2021 stellte das DoD CMMC 2.0 vor, eine aktualisierte Version des ursprünglichen Modells, um den Zertifizierungsprozess zu vereinfachen und die Belastung für kleine Unternehmen zu reduzieren. CMMC 2.0 basiert auf drei Ebenen, jede mit einem spezifischen Satz von Verfahren und Praktiken, die zur Einhaltung erforderlich sind:

Stufe 1: Grundlegende Cybersicherheit

Diese Stufe konzentriert sich auf grundlegende Cybersicherheitshygiene und umfasst die Praktiken, die in der Veröffentlichung 800-171 des National Institute of Standards and Technology (NIST) mit einigen zusätzlichen Anforderungen beschrieben sind. Diese Stufe ist der Mindeststandard für Verteidigungsunternehmen, die Bundesvertragsinformationen (FCI) behandeln.

Stufe 2: Erweiterte Cybersicherheit

Verteidigungsunternehmen, die CUI behandeln, müssen sich an einhalten. Level 2, der zusätzliche Sicherheitspraktiken über das in NIST SP 800-171 skizzierte hinaus einbezieht. Dieses Level zielt darauf ab, sensible Informationen vor fortgeschrittenen Cyber-Bedrohungen zu schützen.

Level 3: Experten für Cybersicherheit

Dieses Level ist für kritische Programme und Technologien reserviert, die den höchsten Cybersicherheitsschutz erfordern. Level 3 beinhaltet strengere Sicherheitsanforderungen, einschließlich kontinuierlicher Überwachung und erweiterter Bedrohungserkennungsfähigkeiten.

ITAR: Ein Überblick

Die International Traffic in Arms Regulations, oder ITAR, sind eine Reihe von Vorschriften, die den Export, Import und die Vermittlung von Verteidigungsgütern, Verteidigungsdienstleistungen und verwandten technischen Daten regeln. ITAR wird durch das US-amerikanische Department of State Directorate of Defense Trade Controls (DDTC) durchgesetzt und zielt darauf ab, die unbefugte Übertragung von sensiblen Verteidigungstechnologien an ausländische Einheiten zu verhindern.

Verteidigungsunternehmer, die Herstellung, Export oder Dienstleistungen in Verbindung mit Artikeln auf der United States Munitions List (USML) betreiben, müssen sich beim DDTC registrieren und ITAR einhalten. Die USML umfasst verschiedene Verteidigungsartikel, einschließlich Waffensysteme, militärische Elektronik und Schutzausrüstung.

Vergleich zwischen CMMC 2.0 und ITAR

Obwohl CMMC 2.0 und ITAR für Verteidigungsunternehmer von entscheidender Bedeutung sind, haben sie unterschiedliche Zwecke und Anforderungen. Der folgende Abschnitt bietet einen Vergleich der beiden regulatorischen Rahmenwerke.

Umfang

CMMC 2.0 konzentriert sich auf Cybersicherheit und richtet sich explizit an Verteidigungsunternehmer, die mit dem DoD zusammenarbeiten und FCI oder CUI verarbeiten. ITAR hingegen hat einen breiteren Anwendungsbereich und deckt den Export, Import und die Vermittlung von Verteidigungsgütern, Verteidigungsdienstleistungen und verwandten technischen Daten ab.

Anwendbarkeit

CMMC 2.0 gilt für alle Verteidigungsunternehmer, die mit dem DoD zusammenarbeiten, unabhängig von der Größe oder Art ihrer Operationen. ITAR gilt für Verteidigungsunternehmer, die Herstellung, Export oder Dienstleistungen in Verbindung mit Artikeln auf der USML betreiben.

Durchsetzung

CMMC 2.0 wird vom DoD durchgesetzt und verlangt von Verteidigungsunternehmen, eine Drittparteibewertung zu durchlaufen, um die Einhaltung zu überprüfen. Die Zertifizierung muss während der gesamten Vertragsdauer aufrechterhalten werden. Das Department of State’s DDTC setzt ITAR durch, und Verstöße können zu schweren zivilen und strafrechtlichen Strafen führen, einschließlich Geldstrafen, Haft und Ausschluss von zukünftigen Verträgen.

Anforderungen

CMMC 2.0 skizziert eine Reihe von Cybersicherheitspraktiken und -prozessen auf drei Ebenen, mit spezifischen Anforderungen, abhängig vom Grad der Beteiligung des Auftragnehmers an FCI oder CUI. ITAR-Konformität beinhaltet die Registrierung beim DDTC, die Implementierung eines Exportkontrollprogramms und die Sicherung geeigneter Lizenzen für den Export, Import oder Vermittlung von Verteidigungsartikeln, Verteidigungsdienstleistungen und zugehörigen technischen Daten.

Bestimmung der Notwendigkeit der Einhaltung von CMMC 2.0 oder ITAR

Die Notwendigkeit der Einhaltung von CMMC 2.0 und ITAR hängt von den spezifischen Operationen und Dienstleistungen ab, die ein Verteidigungsunternehmen anbietet. Einige Verteidigungsunternehmen müssen möglicherweise einer oder beiden Vorschriften entsprechen, abhängig von der Art ihres Geschäfts.

CMMC 2.0-Konformität

Alle Verteidigungsunternehmen, die mit dem DoD zusammenarbeiten und FCI oder CUI behandeln, müssen CMMC 2.0 einhalten. Das spezifische Maß an Konformität hängt von der Art der Informationen ab, die sie verarbeiten:

Stufe 1: Grundlegende Cybersicherheit: Für Auftragnehmer, die FCI verarbeiten

Grundlegende Cybersicherheit, die erste Stufe von CMMC 2.0, konzentriert sich auf die Etablierung grundlegender Cybersicherheitshygiene zum Schutz von Verteidigungsunternehmen, die FCI verarbeiten. FCI bezieht sich auf Informationen, die von oder für die Regierung im Rahmen eines Vertrags bereitgestellt oder generiert werden und nicht zur öffentlichen Veröffentlichung bestimmt sind.

Die Einhaltung von Stufe 1, Verteidigungsunternehmer demonstrieren, dass sie eine solide Grundlage für das Management von Cybersicherheitsrisiken und den Schutz von FCI vor unbefugtem Zugriff und Offenlegung geschaffen haben. Auf dieser Ebene müssen Verteidigungsunternehmer die in NIST SP 800-171 skizzierten Cybersicherheitspraktiken und einige zusätzliche Anforderungen einhalten. Diese Praktiken umfassen die Sicherung des Zugriffs auf Informationssysteme, die Umsetzung sicherer Passwortrichtlinien und die Aufrechterhaltung aktueller Antivirensoftware.

Level 2: Fortgeschrittene Cybersicherheit: Für Auftragnehmer, die mit CUI umgehen

Fortgeschrittene Cybersicherheit, die zweite Stufe von CMMC 2.0, ist für Verteidigungsunternehmer konzipiert, die mit CUI umgehen. CUI ist eine Kategorie sensibler Informationen, die Schutz- oder Verbreitungskontrollen erfordern, da sie potenziell die nationale Sicherheit gefährden können, wenn sie von unbefugten Personen abgerufen werden.

Zusätzlich zu den Anforderungen von Level 1 müssen Verteidigungsunternehmer auf dieser Ebene fortgeschrittenere Cybersicherheitspraktiken implementieren, um CUI vor ausgeklügelten Cyberbedrohungen zu schützen. Diese Praktiken übertreffen NIST SP 800-171 und können Multifaktor-Authentifizierung, doppelte Verschlüsselungstechniken und Einbruchserkennungssysteme umfassen. Durch die Einhaltung von Level 2 demonstrieren Verteidigungsunternehmer ihr Engagement für den Schutz von CUI und die Minderung des Risikos von Cyber-Vorfällen, die erhebliche Folgen für die nationale Sicherheit haben könnten.

Level 3: Experten-Cybersicherheit: Für Auftragnehmer, die an kritischen Programmen und Technologien beteiligt sind

Expert Cybersecurity, die dritte und höchste Stufe von CMMC 2.0, ist für Verteidigungsunternehmen reserviert, die an kritischen Programmen und Technologien arbeiten, die den höchstmöglichen Cybersicherheitsschutz erfordern. Diese Programme und Technologien können sensible Informationen oder Fähigkeiten beinhalten, die bei Kompromittierung schweren Schaden für die nationale Sicherheit verursachen könnten.

Verteidigungsunternehmen müssen auf dieser Stufe ein umfassendes und robustes Cybersicherheitsprogramm implementieren, das strenge Sicherheitsanforderungen und fortschrittliche Fähigkeiten beinhaltet. Diese Anforderungen können kontinuierliche Überwachung, fortgeschrittene Bedrohungserkennung und -reaktion sowie proaktive Maßnahmen zur Identifizierung und Minderung aufkommender Cyber-Bedrohungen umfassen. Durch die Einhaltung von Stufe 3 demonstrieren Verteidigungsunternehmen ihre Fähigkeit, die sensibelsten und kritischsten Vermögenswerte der Verteidigungsindustriebasis zu schützen und sicherzustellen, dass die fortschrittlichsten Technologien und Fähigkeiten der Nation sicher und unbeschädigt bleiben.

ITAR-Konformität

Verteidigungsunternehmen, die Artikel auf der USML herstellen, exportieren oder Dienstleistungen dazu anbieten, müssen die ITAR einhalten. Dies betrifft Unternehmen, die an der Entwicklung, Produktion oder Wartung von Verteidigungsartikeln beteiligt sind, und solche, die Schulungen, technische Unterstützung oder Beratungsdienstleistungen im Zusammenhang mit Verteidigungsartikeln anbieten.

Navigieren durch die doppelte Konformität mit CMMC 2.0 und ITAR

Das Verständnis und Management der doppelten Konformität ist entscheidend für Auftragnehmer, um ihre Berechtigung für DoD-Aufträge zu erhalten und mögliche Strafen im Zusammenhang mit Nichtkonformität zu vermeiden. In einigen Fällen müssen Verteidigungsunternehmen die Komplexität der Einhaltung von CMMC 2.0 und ITAR bewältigen. Solche Szenarien entstehen in der Regel, wenn Auftragnehmer Aktivitäten im Geltungsbereich beider Vorschriften durchführen. Die folgenden Situationen erfordern oft eine doppelte Konformität mit CMMC 2.0 und ITAR:

Umgang mit FCI oder CUI für DoD-Verträge

Verteidigungsunternehmen, die mit dem DoD zusammenarbeiten und FCI oder CUI verwalten, müssen sich an das entsprechende CMMC 2.0-Level für ihre Informationshandhabungsanforderungen halten, sei es Foundational, Advanced oder Expert Cybersecurity.

Beteiligung an USML-Artikeln

Auftragnehmer, die Produkte herstellen, exportieren oder Dienstleistungen im Zusammenhang mit Artikeln auf der USML anbieten, müssen die ITAR-Bestimmungen einhalten. Dies beinhaltet das Erlangen notwendiger Lizenzen und die Umsetzung eines effektiven Exportkontrollprogramms.

Betrachten Sie zum Beispiel einen Verteidigungsunternehmer, der ein fortschrittliches Radarsystem entwickelt und herstellt, das auf der USML aufgeführt ist. Neben der Bearbeitung von CUI im Rahmen ihres DoD-Vertrages exportiert der Auftragnehmer das Radarsystem auch an ausländische Verbündete. In diesem Fall muss der Auftragnehmer die CMMC 2.0 und ITAR-Vorschriften einhalten.

Um eine doppelte Einhaltung effektiv zu verwalten, sollten Verteidigungsunternehmer eine integrierte Compliance-Strategie implementieren, die die spezifischen Anforderungen von CMMC 2.0 und ITAR berücksichtigt. Diese Strategie kann beinhalten:

  • Ein umfassendes Cybersicherheitsprogramm, das mit dem CMMC 2.0-Rahmenwerk übereinstimmt und Exportkontrollanforderungen berücksichtigt
  • Entwicklung und Pflege eines Exportkontrollprogramms, das nahtlos in die bestehende Cybersicherheitsinfrastruktur des Auftragnehmers integriert ist
  • Regelmäßige Bewertungen, Audits und Schulungen zur Sicherstellung der Einhaltung von CMMC 2.0 und ITAR-Anforderungen

Durch die Annahme eines kohärenten Ansatzes zur Compliance können Verteidigungsunternehmer die Komplexitäten der Einhaltung von CMMC 2.0 und ITAR-Vorschriften effektiv bewältigen, sensible Informationen schützen und ihre Fähigkeit erhalten, mit dem DoD und anderen Regierungsstellen zu arbeiten.

Anwendungsbeispiele

Die folgenden Anwendungsbeispiele veranschaulichen die Notwendigkeit der Einhaltung von CMMC 2.0 oder ITAR.

Anwendungsbeispiel 1: Cybersicherheitsdienste

Ein Verteidigungsunternehmer bietet dem DoD Cybersicherheitsdienste an, einschließlich der Bearbeitung von CUI. In diesem Fall muss der Auftragnehmer die CMMC 2.0 Stufe 2: Erweiterte Cybersicherheit einhalten. Da der Auftragnehmer keine Produkte herstellt, exportiert oder Dienstleistungen im Zusammenhang mit Artikeln auf der USML anbietet, ist eine ITAR-Konformität nicht erforderlich.

Anwendungsbeispiel 2: Herstellung von Verteidigungselektronik

Ein Verteidigungsunternehmer stellt Verteidigungselektronik her, die auf der USML aufgeführt ist und exportiert diese Artikel an ausländische Verbündete. Der Auftragnehmer muss aufgrund des Exports von USML-Artikeln die ITAR einhalten. Wenn der Auftragnehmer auch CUI als Teil eines DoD-Vertrages bearbeitet, müssen sie die CMMC 2.0 Stufe 2: Erweiterte Cybersicherheit einhalten.

Verwendungszweck 3: Forschungs- und Entwicklungsleistungen

Ein Verteidigungsunternehmer bietet dem DoD Forschungs- und Entwicklungsleistungen in fortgeschrittenen Materialien für militärische Anwendungen an. Dieser Unternehmer bearbeitet sowohl FCI als auch CUI als Teil seiner Arbeit. In diesem Fall muss der Auftragnehmer die Anforderungen von CMMC 2.0 Level 2: Advanced Cybersecurity erfüllen. Wenn die Forschung Artikel beinhaltet, die auf der USML aufgeführt sind, und der Auftragnehmer exportiert, importiert oder Dienstleistungen im Zusammenhang mit diesen Artikeln anbietet, wäre auch eine ITAR-Konformität erforderlich.

Verwendungszweck 4: Militärische Ausbildungs- und Unterstützungsleistungen

Ein Verteidigungsunternehmer bietet militärische Ausbildungs- und Unterstützungsleistungen an, einschließlich der Arbeit mit Verteidigungsartikeln, die auf der USML aufgeführt sind. Der Auftragnehmer muss FCI oder CUI als Teil ihrer Arbeit handhaben. In diesem Fall muss der Auftragnehmer aufgrund ihrer Beteiligung an USML-Artikeln ITAR-konform sein. Eine CMMC 2.0-Konformität ist nicht erforderlich, da sie weder FCI noch CUI handhaben.

Vereinfachen Sie Ihre CMMC 2.0 Level 2 Compliance-Reise mit Kiteworks

Die Navigation durch das CMMC 2.0-Framework kann ein komplexer Prozess sein, insbesondere für DoD-Auftragnehmer und Subunternehmer, die Level 2-Konformität erreichen müssen. Die Zusammenarbeit mit CMMC-Experten ist eine kluge Entscheidung, um eine reibungslose Compliance-Reise zu gewährleisten.

Spezialisierte Beratungspraktiken, wie Optiv, können Ihnen dabei helfen, Ihre bestehenden Kontrollen und Technologien mit den Anforderungen der Level 2-Praxis in Einklang zu bringen. Diese Experten können Sie durch die Behebung von Aktionsplänen und Meilensteinen (POA&M) führen und mit zertifizierten CMMC Dritte Partei Bewerter Organisationen (C3PAOs) für Bewertung und Akkreditierung zusammenarbeiten.

Neben fachkundiger Beratung kann die Auswahl der richtigen Plattform für sensible Inhaltskommunikation Ihren CMMC 2.0 Level 2 Compliance-Prozess erheblich beschleunigen. Anstatt mehrere Tools zum Senden, Teilen, Empfangen und Speichern sensibler Informationen wie CUI und FCI zu verwenden, reduziert eine einheitliche Lösung Komplexität, Ineffizienzen und Risiken.

Mehr als 3.800 Organisationen haben sich für die Kiteworks-Plattform entschieden, eine FedRAMP autorisierte Lösung für Auswirkungen auf moderatem Niveau (sechs Jahre in Folge). Unter anderem unterscheidet die FedRAMP-Konformität von Kiteworks es von anderen Lösungen, die DoD-Lieferanten für Datei- und E-Mail-Datenkommunikation nutzen. Aufgrund seiner FedRAMP-Konformität und gehärteten virtuellen Appliance unterstützt Kiteworks fast 90% der 110 Praxiskontrollen in CMMC 2.0 Level 2 – mehr als jede andere vergleichbare Lösung auf dem Markt.

Erfahren Sie, wie Sie der Konkurrenz voraus bleiben und Ihre Reise zur Einhaltung von CMMC 2.0 Level 2 beschleunigen können, indem Sie eine individuelle Demo von Kiteworks heute planen.

Zusätzliche Ressourcen

 

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks