Wie Sie CMMC-Compliance-Risiken in der Lieferkette reduzieren
Ab 2025 wird CMMC 2.0 eine gesetzliche Anforderung für die Zusammenarbeit mit dem DoD sein. Auftragnehmer in Großbritannien und den USA setzen derzeit die Compliance-Anforderungen um, aber tun Ihre Partner dasselbe?
Als wesentliches Glied in seiner Lieferkette stellen Auftragnehmer und Unterauftragnehmer der Defense Industrial Base (DIB) ein potenzielles Cybersicherheitsrisiko für das DoD dar. Wenn Auftragnehmer CMMC 2.0-konform sein möchten, ist es wesentlich, ihre eigene Lieferkette zu bewerten, um sicherzustellen, dass sie hohen Sicherheitsstandards entsprechen.
In diesem Artikel diskutieren wir, wie Sie die Risiken in Ihrer Lieferkette reduzieren können, indem wir vier praktische Schritte vorstellen, mit denen Sie die Sicherheits- und Compliance-Position Ihrer Partner bewerten können.
Warum CMMC-Compliance über Ihre Lieferkette hinausgeht
Cybersecurity-Bedrohungen werden zunehmend raffinierter und jeder Verstoß eines Drittanbieters könnte ein Risiko für das DoD und die nationale Sicherheit der USA darstellen. Das Verteidigungsministerium (MoD) hat kürzlich einen Verstoß erlitten, bei dem über einen Drittanbieter von Gehaltsabrechnungssystemen auf Personaldaten zugegriffen wurde, was die Bedeutung der Sicherheit der Lieferkette unterstreicht.
Daher haben Regierungsorganisationen oft Vorschriften, die von ihren Lieferanten verlangen, bestimmte Cybersicherheitsstandards zu erfüllen. Zum Beispiel hat das MoD die Defence Cyber Protection Partnership (DCPP) eingeführt, die dazu dient, den Schutz der Verteidigungslieferkette vor Cyber-Bedrohungen zu verbessern.
CMMC 2.0 hat ähnliche Auswirkungen für Organisationen, die mit dem DoD, einem Auftragnehmer oder einem Unterauftragnehmer zusammenarbeiten. Die CMMC-Richtlinien besagen:
Wenn Auftragnehmer und Unterauftragnehmer denselben Typ von FCI und CUI handhaben, dann gilt für beide die gleiche CMMC-Stufe. In Fällen, in denen der Hauptauftragnehmer nur ausgewählte Informationen weitergibt, kann eine niedrigere CMMC-Stufe für den Unterauftragnehmer gelten.
Daher sollten DIB-Auftragnehmer auch die Cyber-Risiken bewerten, die von ihrer eigenen Lieferkette ausgehen. Tun sie dies nicht, könnten ihre DoD-Verträge gefährdet sein. Tatsächlich ist es wahrscheinlich, dass andere große Verteidigungsorganisationen wie das MoD oder DoD-Partner die Anforderungen von CMMC 2.0 offiziell in ihre eigenen Lieferantenverträge integrieren werden.
4 Möglichkeiten, Ihr Lieferkettenrisiko unter CMMC 2.0 zu reduzieren
Um sicherzustellen, dass Ihre Lieferkette den Anforderungen von DoDs CMMC 2.0 entspricht, sollten Auftragnehmer diese vier Schritte zur Reduzierung des Cyber-Risikos befolgen:
1. Überprüfen Sie die Selbstbewertungen Ihrer aktuellen Partner
Zur Vorbereitung auf CMMC 2.0 müssen Organisationen ihren eigenen Compliance-Status überprüfen. Organisationen werden hinsichtlich der Reife ihrer Cybersicherheitspraktiken sowie ihrer Transparenz und ihres Bewusstseins bewertet.
Um die potenziellen Risiken, die von ihrer eigenen Lieferkette ausgehen, zu managen, sollten sie dieselben Prinzipien auf die Bewertung der Cyber-Position ihrer Lieferanten anwenden. Führen Sie eine Lückenanalyse gegenüber den CMMC-Sicherheitsanforderungen durch und identifizieren Sie, welche Maßnahmen Drittanbieter ergreifen müssen.
Zu beantwortende Fragen:
- Halten die Mitglieder meiner Lieferkette die CMMC-Compliance aufrecht?
- Haben sie dies nachgewiesen?
- Sind sie auf bevorstehende CMMC-Bewertungen vorbereitet?
- Bin ich darauf vorbereitet, meine CMMC-Compliance nachzuweisen?
2. Arbeiten Sie regelmäßig mit den genannten Drittparteien zusammen
Das DoD wird zeitnahe und regelmäßige Berichterstattungen über Vorfälle, Bedrohungsinformationen, Informationsaustausch, technische Unterstützung und mehr verlangen. DIB-Auftragnehmer und Unterauftragnehmer können ihre Lieferanten stromaufwärts und stromabwärts unterstützen, die CMMC-Standards einzuhalten, indem sie kollaborieren und konsequent kommunizieren.
DIB-Vertragspartner sollten sicherstellen, dass Drittanbieter über die Erwartungen gemäß CMMC informiert sind. Sie sollten auch ihre eigenen CMMC-Richtlinien oder -Verfahren teilen, um ihre Lieferkette daran auszurichten.
Die Überprüfung von Subunternehmern vor den CMMC-Bewertungen gibt den DIB-Vertragspartnern auch Zeit, nicht konforme Organisationen zu unterstützen, sich zu verbessern oder diese Verträge zu beenden.
3. Zusammenarbeit mit kleineren Lieferanten
Kleinere Subunternehmer des DoD verfügen möglicherweise nicht über die Ressourcen, um die Compliance-Anforderungen zu erfüllen, insbesondere wenn die Einhaltung dieser Standards große Änderungen an ihrer Infrastruktur oder ihren Betriebsabläufen erfordert. Direkte Partner des DoD haben die Möglichkeit, zusätzliche Anleitung und Unterstützung zu bieten. Dies kann beinhalten:
- Durchführung von Audits und Lückenanalysen
- Erstellung von Sanierungsplänen, einschließlich Empfehlungen für CMMC-konforme Werkzeuge
- Freigabe von Rahmenwerken und Richtlinienvorlagen
- Schulung interner Teams
- Laufende Unterstützung bei der Bewertung
4. CMMC-Compliance im gesamten Unternehmen aufrechterhalten
Sicherzustellen, dass Drittanbieter konform sind, beginnt damit, mit gutem Beispiel voranzugehen. DIB-Vertragspartner sollten zunächst auf ihre eigene Compliance achten und sicherstellen, dass sie alle Praktiken und Richtlinien implementiert haben, um den CMMC 2.0-Standards zu entsprechen.
DIB-Vertragspartner können auch die Sicherheit der Kommunikation zwischen sich und ihren Partnern kontrollieren. Sicherheitstools für die Kommunikation von Inhalten – wie Ende-zu-Ende-Verschlüsselung von E-Mails, granulare Zugriffskontrollen, sicheres Filesharing oder Managed File Transfer – schützen sensible Daten, wenn diese mit Dritten geteilt oder von diesen gesendet werden.
Die Wahl kompatibler Lösungen bedeutet, dass die Sicherheitsschicht unabhängig davon, an wen Daten gesendet werden, intakt bleibt und verhindert, dass interne oder externe Akteure ohne Autorisierung auf Daten zugreifen, diese herunterladen, teilen oder bearbeiten können.
Wie Kiteworks helfen kann
Kiteworks ist eine sichere Plattform für Datei- und E-Mail-Datenkommunikation, die entwickelt wurde, um fast 90% der Anforderungen von CMMC 2.0 Level 2 direkt zu unterstützen. Mit der FedRAMP Moderate Autorisierung ermöglicht Kiteworks die Einhaltung der Anforderungen für NIST SP 800-171.
Die KiteworksPrivate Content Network unterstützt auch den Rest Ihrer Lieferkette. Seine starken Sicherheits- und Zugriffskontrollfunktionen ermöglichen es Verteidigungsunternehmern, sensible Inhalte intern und innerhalb ihrer Lieferkette über E-Mail, Filesharing, Dateitransfer und andere Kanäle zu teilen, sodass CUI und andere sensible Daten auf jedem Schritt geschützt bleiben.
Mit Kiteworks können Sie mit all Ihren Partnern, Auftragnehmern und Lieferanten kommunizieren und zusammenarbeiten und das Risiko von Cyber-Sicherheitsvorfällen minimieren.
Stellen Sie sicher, dass Sie für CMMC und die Zukunft der regulatorischen Datenlandschaft bereit sind.
Laden Sie unseren Leitfaden zu ‘Sicheren Datenkommunikationslösungen für britische DIB-Unternehmer’ herunter, um Einblicke in Daten- und Cybersicherheitstrends zu erhalten und die Lösungen kennenzulernen, die Sie benötigen, um diese anzugehen.
FAQ
CMMC 2.0 gilt für alle Dritten innerhalb der Verteidigungslieferkette, einschließlich Auftragnehmer, Lieferanten und jegliche andere Vertragsparteien, die den Verteidigungsministerium (DoD) unterstützen. Alle Organisationen, die mit dem DoD Geschäfte machen, müssen CMMC 2.0 einhalten, abhängig von der Art der CUI und/oder FCI, die sie verarbeiten, speichern, senden oder empfangen. Die Liste der Entitäten umfasst:
- Hauptauftragnehmer des DoD
- Unterauftragnehmer des DoD
- Lieferanten auf allen Ebenen in der DIB
- Kleine Unternehmenslieferanten des DoD
- Nicht-amerikanische Unternehmen
Einmal implementiert, sind für alle Ebenen jährliche Selbstbewertungen erforderlich, und die Ebenen 2 und 3 erfordern eine dreijährige Bewertung durch einen C3PAO.
Das Niveau einer Organisation basiert auf den Arten von Informationen, die sie verarbeitet. Wenn sowohl Auftragnehmer als auch ihre Unterauftragnehmer FCI- und CUI-Daten verarbeiten, müssen sie denselben CMMC-Standards entsprechen. Wenn der Hauptauftragnehmer diese Informationen nicht teilt oder nur bestimmte Informationen mit seinen Unterauftragnehmern teilt, können sie einem niedrigeren Niveau unterliegen.
CMMC 2.0 ist ein Update der Cybersecurity Maturity Model Certification (CMMC), die ursprünglich im Januar 2021 veröffentlicht wurde. Es ist die Methode des Verteidigungsministeriums (DoD), um zu fordern, dass Organisationen der DoD-Lieferkette Bundesvertragsinformationen (FCI) und Controlled Unclassified Information (CUI) auf dem angemessenen festgelegten Niveau schützen (es gibt drei Ebenen in CMMC 2.0). CMMC 2.0 ist eine Umstrukturierung der CMMC-Reifegrade, indem zwei der fünf ursprünglichen Bewertungen eliminiert werden, die Bewertungsprotokolle verbessert werden, die Kosten für die Auftragnehmer reduzieren, und ein flexiblerer Weg zur Zertifizierung durch Aktionspläne & Fristen (POA&Ms) eingeführt wird.
Die Zusammenarbeit mit einer Organisation für Drittparteienbewertung CMMC (C3PAO) bietet mehrere Vorteile für Organisationen, die eine Zertifizierung nach den CMMC 2.0-Standards anstreben, zusätzlich zur Verpflichtung für die Ebenen 2 und 3:
- Expertise: Ein zertifizierter Drittbewerter verfügt über umfangreiche Erfahrung in der Bewertung von Cybersicherheitsprogrammen in verschiedenen Branchen und kann wertvolle Einblicke in bewährte Verfahren zur Erreichung der Konformität mit den CMMC 2.0-Standards bieten.
- Objektivität: Ein unabhängiger Drittbewerter bietet unparteiisches Feedback zur Sicherheitslage einer Organisation, das helfen kann, Bereiche zu identifizieren, die Verbesserungen benötigen.
- Kosteneinsparungen: Die Arbeit mit einem zertifizierten Drittbewerter kann Zeit und Geld sparen im Vergleich zur Einstellung internen Personals oder Beratern, die möglicherweise nicht über die Expertise in der Bewertung von Cybersicherheitsprogrammen verfügen.
- Effizienz: Ein zertifizierter Drittbewerter kann schnell Lücken in der Sicherheitslage einer Organisation identifizieren, was dazu beitragen kann, die Zeit für die Vorbereitung auf die Zertifizierung zu verkürzen.
- Ruhe: Ein unabhängiger Drittbewerter, der das Cybersicherheitsprogramm eines DoD-Lieferanten überprüft, bietet Ruhe, indem sichergestellt wird, dass die Organisationen alle notwendigen Schritte unternommen haben, um die Konformität mit den CMMC 2.0-Standards zu erreichen.
Zusätzliche Ressourcen
- Blogbeitrag Wie man sich auf die CMMC-Konformität vorbereitet
- Blogbeitrag Umfassende CMMC-Konformitätscheckliste für 2024
- Blogbeitrag Wesentliche Anforderungen für CMMC Level 2
- Leitfaden Fahrplan zur CMMC 2.0-Konformität für DoD-Vertragspartner
- Kurzbericht Wie CMMC-konforme Inhaltskommunikation Ihr DoD-Geschäft fördern kann