CMMC 1.0 vs. CMMC 2.0: Was hat sich geändert und was bedeutet das für Ihr Unternehmen?
Die Cybersecurity Maturity Model Certification (CMMC) umfasst eine Reihe von übergreifenden Cybersicherheitsstandards und -verfahren, die Unternehmen der Defense Industrial Base (DIB) implementieren müssen, um ihre Geschäftsdaten zu schützen. Das CMMC wurde vom US-Verteidigungsministerium (DoD) im Jahr 2020 eingeführt, um die Vertraulichkeit von US-Bundesvertragsdaten (Federal Contractual Information, FCI) und nicht als Verschlusssache eingestuften Informationen (Controlled, Unclassified Information, CUI) zu schützen.
Aufgrund der Sensibilität der Informationen, die von Unternehmen verarbeitet werden, die Verträge mit dem US-Verteidigungsministerium (DoD) abschließen, sind Auftragnehmer und Subunternehmer verpflichtet, mindestens eine Stufe des CMMC zu erfüllen. Dies bedeutet, dass Unternehmen, die in der Lieferkette des DoD tätig sind, einen guten Cybersicherheitsstatus erreichen und aufrechterhalten müssen. Die schrittweise Einführung beginnt im Laufe dieses Jahres und soll bis Ende 2025 vollständig umgesetzt sein.
Was bedeutet CMMC?
Die Cybersecurity Maturity Model Certification (CMMC) umfasst einen einheitlichen Katalog von Cybersicherheitsstandards und -verfahren, die für alle Auftragnehmer des DoD gelten. Es bietet ein einheitliches Set an Anforderungen, die Unternehmen erfüllen müssen, um FCI und CUI vor unbefugtem Zugriff und Änderungen zu schützen. Die CMMC soll sicherstellen, dass die Auftragnehmer des DoD die Cybersicherheitsrichtlinien der Regierung einhalten und die unbefugte Handhabung und Verbreitung sensibler Inhalte verhindern.
Warum ist das wichtig?
CMMC ist aus zwei Gründen wichtig. Erstens bietet es Unternehmen einen Rahmen für die Einhaltung der DoD-Cybersicherheitsstandards. Zweitens hilft es Unternehmen, die Vertraulichkeit von FCI und CUI zu schützen. Dies ist wichtig für Auftragnehmer des DoD, da der unbefugte Zugriff oder die unbefugte Änderung von FCI und CUI erhebliche finanzielle, rufschädigende und rechtliche Folgen haben kann.
Von CMMC 1.0 zu CMMC 2.0
Im November 2021 kündigte das DoD an, dass es die CMMC 2.0 anstelle von CMMC 1.0 einführen wird. Dieses aktualisierte Framework führt mehrere Änderungen ein, um die Cyberhygiene aller Auftragnehmer zu verbessern, die Verträge mit dem DoD abschließen oder daran teilnehmen. Das DoD kündigte an, in den darauffolgenden 9 bis 24 Monaten Vorschriften zu erlassen, so dass es für Auftragnehmer und Unterauftragnehmer auf US-Bundesebene von entscheidender Bedeutung ist, sich auf die Einführung der CMMC 2.0 vorzubereiten, damit sie die Vorschriften einhalten können.
Die CMMC 1.0, die 2020 veröffentlicht wurde, umfasst Kontrollbereiche und Sicherheitsverfahren, die in fünf Sicherheitsreifegrade (Maturity Levels) unterteilt sind, von grundlegender Cyberhygiene (Level 1) bis zu fortgeschrittenen/progressiven Maßnahmen (Level 5). CMMC 2.0 reduziert die Reifegrade von 5 auf 3 und entfernt die Stufen 2 und 4. Der Reifegrad 1 bleibt unverändert. Er umfasst weiterhin 17 praktische Anforderungen, die den 15 Cybersicherheitsverfahren in FAR 52.204-21 entsprechen.
CMMC 2.0 Level 2 ersetzt den vorherigen Reifegrad Level 3, allerdings ohne die Delta-20-Verfahren, so dass dieser Level mit den 110 Verfahren des NIST SP 800-171 übereinstimmt. CMMC 2.0 Level 3 ist noch in der Entwicklung und basiert auf einer Teilmenge von NIST 800-172. Er ersetzt die früheren Reifegrade 4 und 5.
CMMC 1.0 vs. CMMC 2.0: Wesentliche Unterschiede
Einige der wichtigsten Unterschiede, die mit der Einführung von CMMC 2.0 gegenüber CMMC 1.0 entstanden sind, sind:
Zertifizierungsstufen
Das CMMC 1.0 Modell sah fünf Zertifizierungsstufen vor, während das CMMC 2.0 Modell die Zertifizierungsstufen auf drei konsolidiert hat. Die Zertifizierungsstufen sind entscheidend für die Bestimmung der Sicherheitsanforderungen für den jeweiligen Vertrag.
Für CMMC 2.0 ist Level 1 (Foundational) für DoD-Vertragspartner und Unterauftragnehmer, die mit FCI umgehen, erforderlich. CMMC 2.0 Level 1 verlangt von Unternehmen die Einhaltung grundlegender Cybersicherheitsverfahren, die auf den Schutz von FCI ausgerichtet sind, wie in der FAR-Klausel 52.204-21 beschrieben.
CMMC 2.0 Level 2 (Advanced) verlangt, dass Unternehmen über robustere Cybersicherheitsverfahren verfügen, wie z. B. Zugangskontrolle, Reaktion auf Zwischenfälle und Medienschutz. Diese Stufe wurde entwickelt, um die Integrität und Verfügbarkeit von CUI vor komplexeren Bedrohungen zu schützen. Die fortgeschrittene Stufe orientiert sich am National Institute of Standards & Technology SP 800-171 (NIST 800-171). Diese Stufe erfordert alle drei Jahre eine Bewertung durch eine CMMC Third Party Assessor Organization (C3PAO).
Level 3 (Expert) ist die höchste Stufe der CMMC und erfordert die Implementierung fortgeschrittener Verfahren wie Systemhärtung und Datenwiederherstellung. Diese Stufe dient dazu, die Vertraulichkeit, Integrität und Verfügbarkeit von CUI vor fortgeschrittenen, anhaltenden Bedrohungen zu schützen. Informationen zu Level 3 werden zu einem späteren Zeitpunkt veröffentlicht und enthalten eine Untermenge der in NIST SP 800-172 spezifizierten Sicherheitsanforderungen.
Bereichsstruktur
Die Anzahl der Sicherheitsbereiche im CMMC 2.0 Modell hat sich im Vergleich zum CMMC 1.0 Modell deutlich erhöht. Die zusätzlichen Bereiche beziehen sich mehr auf den täglichen Betrieb und umfassen Themen wie Incident Response, Anomaly Detection, Supply Chain Risk Management und System Security Planning. Diese neuen Bereiche bieten einen umfassenderen Überblick über den Betrieb eines Auftragnehmers und erhöhen die Sicherheit seiner Anlagen.
Third-Party Assessors
Das CMMC 2.0 Modell erfordert den Einsatz von C3PAO für Level 2 und Level 3. C3PAOs sind damit betraut, zu bewerten und zu zertifizieren, dass Unternehmen in der DIB-Lieferkette die Cybersicherheitsanforderungen des CMMC-Standards erfüllt haben. Zu ihren Aufgaben gehören die Bewertung und Ausstellung von Zertifikaten über die Einhaltung des CMMC-Standards.
Best Practices zur Erreichung der CMMC 2. 0-Compliance
Damit ein Unternehmen eine der drei Stufen der CMMC 2. 0-Compliance erfolgreich einhalten und zertifiziert werden kann, muss es einige Best Practices befolgen, darunter:
Implementierung von Sicherheitskontrollen
Der erste Schritt zur Erfüllung der CMMC 2.0-Anforderungen besteht in der Implementierung von Sicherheitskontrollen. Zu Beginn sollten Unternehmen ihre aktuellen Compliance-Anforderungen ermitteln und eine grundlegende Risikobewertung vornehmen, die den Umfang der zu implementierenden Sicherheitskontrollen festlegt. Die Sicherheitskontrollen sollten auf die spezifischen Bedürfnisse eines Unternehmens zugeschnitten sein und sicherstellen, dass alle Systeme und Prozesse abgedeckt sind. Unternehmen sollten die technischen und verfahrenstechnischen Maßnahmen berücksichtigen, die zum Schutz von Informationen und Systemen erforderlich sind, wie z. B. Zugriffskontrolle, Identitäts- und Authentifizierungsmanagement, Konfigurationsmanagement, Aufgabentrennung, Datensicherheit, System-Patching und Schwachstellenmanagement, Sicherheitsschulungen und Reaktionspläne auf Vorfälle.
Durchführen einer kontinuierlichen Überwachung
Sobald die Sicherheitskontrollen eingerichtet sind, sollten Unternehmen sicherstellen, dass diese kontinuierlich überwacht werden. Die kontinuierliche Überwachung beinhaltet eine regelmäßige Bewertung der Umgebung, um die Wirksamkeit der implementierten Sicherheitskontrollen zu gewährleisten und sicherzustellen, dass aktuelle Bedrohungen rechtzeitig erkannt und beseitigt werden. Unternehmen sollten einen Prozess entwickeln, um Probleme, die bei der Überwachung auftreten, zu identifizieren, zu bewerten und zu beheben. Dieser Prozess sollte Maßnahmen zur Dokumentation von Sicherheitsvorfällen, zur Überprüfung von Sicherheitsaktivitäten und -trends sowie zur Ergreifung geeigneter Maßnahmen bei Bedarf umfassen.
Erstellung von Plänen zur Reaktion auf Vorfälle
Unternehmen sollten auch einen Plan für die Reaktion auf Vorfälle aufstellen, bevor sie versuchen, die Anforderungen von CMMC 2.0 zu erfüllen. Dieser Plan sollte die Schritte umreißen, die ein Unternehmen im Falle eines Sicherheitsvorfalls unternehmen wird, wie z. B. die Arten von Vorfällen, die eine Reaktion auslösen, die Rollen und Verantwortlichkeiten der beteiligten Mitarbeiter, die zu befolgenden Prozesse und die entsprechenden Kommunikationsaktivitäten. Es ist auch wichtig, dass Unternehmen einen Plan für die Wiederherstellung nach einem Sicherheitsvorfall entwickeln, der die wiederherzustellenden Daten und Systeme, die dafür erforderlichen Schritte und die zu benachrichtigenden Mitarbeiter enthält. Darüber hinaus sollten Unternehmen darauf achten, dass sie ihre Pläne zur Reaktion auf Vorfälle regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass sie aktuell und effektiv sind.
Dokumentation der Compliance
Unternehmen sollten ihre Prozesse und Aktivitäten dokumentieren, um die Einhaltung von CMMC 2.0 nachzuweisen. Die Dokumentation sollte alle Sicherheitsrichtlinien, Verfahren und Schulungsmaßnahmen, Reaktionspläne auf Vorfälle und Bewertungsergebnisse enthalten. Es ist wichtig, sicherzustellen, dass die gesamte Dokumentation korrekt, aktuell und leicht zugänglich ist. Die Unternehmen sollten außerdem dafür sorgen, dass alle Mitarbeiter mit der Dokumentation vertraut sind und wissen, wie sie zu verwenden ist und was sie abdeckt. Darüber hinaus sollten Unternehmen Verfahren entwickeln, die sicherstellen, dass die Dokumentation regelmäßig überprüft und aktualisiert wird, um mit den Veränderungen in der Umgebung Schritt zu halten.
FAQs
Warum ist die Erfüllung der CMMC-Anforderungen wichtig?
Das DoD schreibt vor, dass alle Auftragnehmer die CMMC-Anforderungen erfüllen müssen, um für Aufträge der US-Regierung in Frage zu kommen. Dadurch wird sichergestellt, dass diese Auftragnehmer die Schutzmaßnahmen gegen kriminelle Akteure und Datenschutzverletzungen verstehen und aktiv umsetzen. Die Einhaltung der CMMC-Anforderungen ist für Unternehmen auch wichtig, um ihr Engagement für die Cybersicherheit zu demonstrieren und nachzuweisen, dass sensible Kundendaten ordnungsgemäß geschützt sind.
Was sind die CMMC-Sicherheitsanforderungen?
Die CMMC-Sicherheitsanforderungen umfassen eine Reihe von Sicherheitsstandards, die Unternehmen dabei helfen sollen, ihre Netzwerke zu sichern, ihre Daten zu schützen und die geltenden Gesetze und Vorschriften einzuhalten. Die Anforderungen sind in die drei oben beschriebenen CMMC 2.0-Stufen unterteilt und decken Bereiche wie Zugriffskontrolle, Konfigurationsmanagement, Reaktion auf Vorfälle, Medienschutz, System- und Kommunikationsschutz, Personalsicherheit und physischen Schutz ab.
Wie unterscheiden sich die Anforderungen des CMMC von denen des NIST SP 800-171?
CMMC 2.0 Level 2 orientiert sich an NIST SP 800-171 und legt fest, dass Unternehmen in der DIB sich selbst zertifizieren müssen – entweder sie erfüllen die Anforderungen oder sie unternehmen konkrete Schritte in Richtung Compliance. Die CMMC-Stufen 2 und 3 sehen vor, dass die C3PAOs die Unternehmen bewerten und ihnen einen Reifegrad zuweisen, der auf dem Stand ihres Cybersicherheitsprogramms basiert. Stufe 1, die Grundstufe, erfordert nur eine Selbsteinschätzung.
Mit Kiteworks die Compliance mit CMMC beschleunigen
Kiteworks ist ein renommierter Anbieter von Cybersicherheitslösungen für US-Bundesbehörden wie das DoD sowie für verschiedene DIB-Lieferanten, die eine CMMC-Zertifizierung benötigen. Da Kiteworks FedRAMP Authorized for Moderate Level Impact ist, sind DoD-Lieferanten, die Kiteworks nutzen, in der Lage, mehr als 90% der CMMC 2.0 Level 2 Praxisanforderungen zu erfüllen. Dadurch wird die Zeit, die DoD-Auftragnehmer und Subunternehmer benötigen, um die CMMC Level 2-Compliance zu erreichen, erheblich verkürzt.
Dies führt zu positiven Ergebnissen, wenn ein DoD-Lieferant ein C3PAO-Audit durchläuft. Das Kiteworks Private Content Network hilft ihnen, die CMMC-Prozesse und Audit-Verfahren zu rationalisieren und den gesamten Prozess schneller und effizienter zu gestalten. Mit der Unterstützung von Kiteworks können DoD-Auftragnehmer ihr DoD-Geschäft schützen, indem sie die CMMC-Compliance schnell und einfach erreichen.
Vereinbaren Sie einen Termin für eine maßgeschneiderte Demo, um die Kiteworks-Plattform in Aktion zu sehen und zu erfahren, wie sie Ihre CMMC-Compliance beschleunigen kann.